استغل قراصنة، صباح اليوم الجمعة، ثغرة في بروتوكول “Qubit ” الذي يعمل على شبكة بينانس الذكية، وقاموا بسرقة ما قيمته 80 مليون دولار من العملات الرقمية.
واستغل القراصنة الثغرة، من أجل إنشاء عدد غير محدود من عملة “xETH “، حيث تظهر العناوين المرتبطة بالهجوم أن 206809 من عملة (BNB) قد تم تفريغها من بروتوكول QBridge الخاص بشركة Qubit.
The protocol was exploited by;
0xd01ae1a708614948b2b5e0b7ab5be6afa01325c7
The hacker minted unlimited xETH to borrow on BSC.
The team is currently working with security and network partners on next steps.
We will share further updates when available.— Qubit Finance (@QubitFin) January 28, 2022
وأكدت شركة الأمن PeckShield في تغريدة على تويتر، أن الأصول تزيد قيمتها عن 80 مليون دولار بالأسعار الحالية. حيث تعتمد مشاريع التمويل اللامركزي (DeFi) مثل Qubit Finance على العقود الذكية بدلاً من الأطراف الثالثة لتقديم الخدمات المالية، مثل التداول والإقراض والاقتراض للمستخدمين.
ويسمح qubit للمستخدمين بتزويد مقتنياتهم المشفرة للبروتوكول واقتراض قروض مقابل هذا الضمان مقابل رسوم ثابتة. QBridge ميزة عبر سلسة تمكن المستخدمين من ضمان اصولهم على شبكات أخرى دون نقل الأصول من سلسلة الى أخرى.
من جهته، قال peckShield، الذي قام بمراجعة العقود الذكية لشركة Qubit، “إنه تم اختراق QBridge لصك “كمية هائلة من ضمانات xETH” التي تم استخدامها بعد ذلك لاستنزاف الكمية الكاملة من BNB المحتفظ بها في QBridge في تقرير عن الحادث”.
وقالت شركة الأمن CertiK “إن المهاجم استخدم وظيفة الإيداع في عقد QBridge وسك بشكل غير قانوني 77162 qXETH ، وهو أصل يمثل الأثير الذي تم جسره عبر Qubit”. وخدع المهاجمون البروتوكول لإثبات قدرتهم على الحصول على عملة BNB!!!
2. The Ethereum QBridge captured the Deposit event and minted $qXETH for the hacker on #BSC.
The QBridge treats the Deposit event as an event of depositing #ETH because the `deposit` and `depositETH` methods in the #QBridge contract emit the same event. pic.twitter.com/4TzsZqOOtI
— CertiK Security Leaderboard (@CertiKCommunity) January 28, 2022
بدورها، غردت CertiK Security Leaderboard قائلة: “إن الهاكر ادعى الايداع في عقد QBridge #eth بدون أي إيداع بالفعل وأرسل حدث الإيداع.
في ذات السياق، غردت أيضا CertiK Security Leaderboard “استحوذت شركة ethereum QBridge على حدث الإيداع وصك مبلغ qXETH $ للمتسلل على #BSC.
ويتعامل QBridge مع حدث الإيداع على أنه حدث إيداع #ETH لأن طريقتي “الإيداع” في عقد #QBridge ينبعثان من نفس الحدث.”
وقال CertiK في تغريدة على تويتر “إن هذه الخطوات تكررت عدة مرات، ثم قام المهاجم بتحويل جميع الأصول إلى BNB.
3. The hacker repeated steps 1 & 2 to gain a large amount of $qXETH. Lastly, the hacker converted all the assets to $BNB and the profit is around $80M.
QBridge (Eth):
0x99309d2e7265528dc7c3067004cc4a90d37b7cc3One of the tx:https://t.co/uM74gQf7Mv
— CertiK Security Leaderboard (@CertiKCommunity) January 28, 2022
الاستغلال: هو سابع أكبر هجوم على بروتوكول DeFi من خلال مقدار الأموال المسروقة، ووفقاً لبيانات من أداة التحليلات DeFi Yield.
انخفض QBT الخاص بـ qubit بنسبة 25٪ خلال الـ 24 ساعة الماضية، وحسب البيانات CoinGecko. يواصل مطورو qubit مراقبة الموقف في وقت كتابة هذا التقرير ، وفقاً لتغريدة.
Update:
1. The team continues to track the exploiter and monitor affected assets
2. The team has contacted the exploiter to offer the maximum bounty— Qubit Finance (@QubitFin) January 28, 2022
