قراصنة يسرقون 50 مليون دولار من أحد مشاريع بينانس

أعلنت شركة يورانيوم فاينانس Uranium Finance، منصة أسواق السندات المشفرة العاملة على شبكة “Binance Smart Chain”، عن تعرضها لاختراق أمني مما أدى لخسارة ما يقرب من 50 مليون دولار.

وكشفت الشركة في تغريدة يوم الأربعاء أن الاختراق استهدف حدث الترقية للإصدار v2.1 وأن الفريق كان على اتصال بالفريق الأمني لـ Binance للتخفيف من حدة الموقف.

‼️ We are in contact with Binance Security Team and in the process of escalating this.

If you are in possession of the funds or know someone who is contact me now to arrange a deal before this goes higher.

— Uranium Finance (@UraniumFinance) April 28, 2021

وورد أن المتسلل استغل ثغرة أمنية في منصة “Uranium” والذي أدى إلى تضخيم رصيد المشروع بمقدار 100 ضعف. وأن هذا الخطأ سمح للمخترق بسرقة 50 مليون دولار من المشروع. ولايزال العقد الذي أنشأه المخترق يحمل 36,8 مليون دولار من عملة (BNB) و(BUSD).

وتشمل العملات المسروقة المتبقية 80 بيتكوين  و1800 إثيريوم (ETH ) و26500 بولكادوت (DOT)  و5.7 مليون تيثر (USDT)، بالإضافة إلى 638000 كاردانو (ADA)، و112000 u92 العملة الأصلية للمشروع.

وتظهر التفاصيل من BscScan أن المهاجم قام بتبديل عملة Eth لـ ADA و DOT مما رفع مخزونه من عملة الإثيريوم إلى حوالي 2400 عملة.

وفي الوقت نفسه نقل المتسلل المدبر لعملية السرقة 2400 إثيريوم (أي ما قيمته 5.7 مليون دولار)، مستخدماً أداة الخصوصية إثيريوم تورنادو كاش (Ethereum Tornado Cash).

ووفقاً لـ Uranium فقد تواصل المشروع مع فريق أمان Binance لمنع المتسلل من نقل المزيد من الأموال خارج نظام باينانس البيئي لكن الشركة لم تستجب مباشرة. وكشف متحدث باسم Uranium أن الخطأ لم يتم إصلاحه بعد وأنه تم نصح المستخدمين بالتوقف عن توفير السيولة في المشروع وصرف أموالهم.

كما أنشأ الفريق مجموعة تيليجرام لضحايا الاختراق في حين وعد بتقديم آخر المستجدات حول التقدم المحرز لاستعادة الأموال المسروقة.

ويعد الاختراق الذي حصل أمس الأربعاء الثاني من نوعه على مشروع Uranium على التوالي. ففي وقت سابق من شهر أبريل/ نيسان الجاري استغل المتسللون أحد مجمعات المنصة، وقاموا بسرقة ما قيمته 1.3 مليون دولار من BUSD و BNB.

وأدى الهجوم للعودة إلى الإصدار الثاني قبل أقل من أسبوعين. وقال فريق مطوري Uranium في إعلان سابق أن جهات متعددة قامت بتدقيق عقودها من الإصدار الثاني مستفيدة من أخطائها السابقة. وفي الوقت نفسه تنتشر التكهنات حول ما إذا كان الهجوم عملاً داخلياً، نظراً للقرار المفاجئ بتصميم ترقية إصدار آخر بعد 11 يوما فقط من إكمال العودة للإصدار الثاني.

ويعتبر الاختراق المرتبط بالعقود الذكية أمرا شائعا في مجال التمويل اللامركزي حتى بالنسبة للمشاريع الخاضعة للتدقيق لمراجعة كاملة كما هو الحال مع شركة MoUnterSlayer المالية الذي حدث في وقت سابق من أبريل/ نيسان الجاري.

وأفادت التقارير بأن شركة “Merkat”، المستنسخة عن BSC، خدعت مستخدميها وتم سرقة حوالي 31 مليون دولار خلال هذه العملية، وبعدها بأيام كشف فريق مطوري المشروع عن أن عملية “سحب البساط” المزعوم كان اختباراً بينما حدد الخطط لإعادة الأموال.

كما تم الهجوم على موقع “TurtleDexK” وهو مشروع آخر قائم على شبكة بينانس، بعد وقت قصير من إطلاقه، مما أدى إلى استنزاف أكثر من 9000 BNB تم جمعها خلال عملية البيع المسبق.