الصفحة الرئيسية
الأخبار
التفاصيل

اختراق KelpDAO بقيمة 290 مليون دولار مرتبط بهجوم RPC من مجموعة Lazarus

icon36Crypto
مشاركة
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconملخص

expand icon
أدى اختراق عملات مشفرة مستهدفًا KelpDAO إلى خسارة قدرها 290 مليون دولار بعد أن استغل المهاجمون ثغرة قائمة على RPC مرتبطة بمجموعة Lazarus. تجاوز الاختراق الأمن من خلال التركيز على شبكة تحقق واحدة، مما سمح بتأكيدات معاملات كاذبة. تأكيد LayerZero أن الحادث كان منعزلًا وحث المشاريع على اعتماد أنظمة متعددة المحققين. يسلط هذا الاختراق على البورصة الضوء على المخاطر المستمرة في البنية التحتية اللامركزية.
  • تم تجاوز الحمايات عبر هجوم RPC، مما سمح بعملية استغلال بقيمة 290 مليون دولار على KelpDAO rsETH
  • كشف إعداد مُحقق واحد عن ثغرة أمنية، سمح للمهاجمين بتعديل تأكيدات المعاملات
  • تؤكد LayerZero عدم وجود تأثير مُتسلسل، وتشدد على الحاجة إلى نماذج أمان متعددة المدققين

عانت KelpDAO من استغلال كبير كشف عن نقاط ضعف في البنية التحتية للبلوكشين بدلاً من تصميم البروتوكول الأساسي. وأدى الحادث إلى خسائر قدرها حوالي 290 مليون دولار وجذب انتباهًا واسعًا من الصناعة. ووفقًا لـ LayerZero Labs، تشير الاكتشافات المبكرة إلى هجوم منسق قائم على RPC مرتبط بمجموعة Lazarus.


وفقًا للإفصاح الرسمي، لم يخترق المهاجمون البروتوكول الأساسي. بل استهدفوا عملية التحقق التي تعتمد على مصادر بيانات خارجية. ونتيجةً لذلك، يسلط الهجوم الضوء على التركيز المتزايد على نقاط الضعف على مستوى البنية التحتية داخل الأنظمة اللامركزية.


علاوة على ذلك، ركز الاختراق على تكوين rsETH الخاص بـ KelpDAO، الذي اعتمد على شبكة تحقق واحدة. أدى هذا الإعداد إلى نقطة فشل مباشرة استغلها المهاجمون بدقة. ونتيجة لذلك، مررت البيانات المُشوَّهة عبر فحوصات التحقق ونشَّطت تأكيدات معاملات غير مصرح بها.


بالإضافة إلى ذلك، تأكدت LayerZero أن الاستغلال ظل محدودًا على هذا التكوين المحدد فقط. استمرت التطبيقات الأخرى التي تستخدم نماذج تحقق متنوعة في العمل دون انقطاع. وبالتالي، يُظهر التحكم في الضرر أهمية التحقق الموزع في تقليل المخاطر النظامية.


اقرأ أيضًا: سوق العملات المشفرة يتوقف بينما يحافظ BTC على 74 ألف دولار بينما ترتفع العملات البديلة بشكل كبير


تم تمكين التلاعب بـ RPC لتأكيد المعاملات المزورة

وفقًا للشرح التقني، قام المهاجمون باختراق عقد RPC محددة المستخدمة في التحقق من المعاملات. واستبدلوا ملفات تنفيذ العقد وغيّروا استجابات النظام لتوفير بيانات خاطئة بشكل انتقائي. ونتيجة لذلك، قدمت العقد المُعدلة تفاصيل معاملات غير صحيحة فقط لأنظمة التحقق المستهدفة.


ومع ذلك، استمرت خدمات المراقبة في استلام بيانات دقيقة، مما أدى إلى تأخير اكتشاف الخرق. علاوة على ذلك، شن المهاجمون نشاط DDoS ضد العقد غير المتأثرة لإجبار النظام على التحول إلى النظام الاحتياطي. هذا التحول زاد الاعتماد على البنية التحتية المخترقة وسمح للهجوم بالنجاح.


نتيجةً لذلك، تأكّدت شبكة التحقق من المعاملات التي لم تحدث أبدًا على السلسلة. وعلى الرغم من ذلك، أكّدت LayerZero أن بروتوكولها عمل كما هو مصمم طوال الحادث. نشأ الخلل من الطريقة التي قدم بها البنية التحتية الخارجية البيانات إلى النظام.


علاوة على ذلك، أعادت LayerZero التأكيد على أن الإعدادات متعددة المدققين تقلل الاعتماد على مصدر بيانات واحد. تمنع هذه التكوينات المهاجمين من استغلال نقاط ضعف معزولة داخل شبكات التحقق. على النقيض من ذلك، خلقت نهج KelpDAO ذو الطبقة الواحدة ظروفًا لحدوث الاستغلال. بالإضافة إلى ذلك، تم استبدال جميع الأنظمة المتأثرة، وتم تعزيز تدابير الأمان. يُبرز الاختراق تحولًا نحو استراتيجيات هجوم مركزة على البنية التحتية في نظم البلوكشين. كما يعزز الحاجة إلى أنظمة تحقق مكررة لمنع حوادث مماثلة.


اقرأ أيضًا: مايكل سايلور يُشير إلى استثمار أكبر في البيتكوين مع اقتراب الاستراتيجية من 800,000 بيتكوين


ظهرت المقالة $290M اختراق KelpDAO يكشف عن هجوم RPC مرتبط بمجموعة Lazarus لأول مرة على 36Crypto.

المصدر:عرض النسخة الأصلية
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة قد حصلت عليها من أطراف ثالثة ولا تعكس بالضرورة وجهات نظر أو آراء KuCoin. يُقدّم هذا المحتوى لأغراض إعلامية عامة فقط ، دون أي تمثيل أو ضمان من أي نوع ، ولا يجوز تفسيره على أنه مشورة مالية أو استثمارية. لن تكون KuCoin مسؤولة عن أي أخطاء أو سهو ، أو عن أي نتائج ناتجة عن استخدام هذه المعلومات. يمكن أن تكون الاستثمارات في الأصول الرقمية محفوفة بالمخاطر. يرجى تقييم مخاطر المنتج بعناية وتحملك للمخاطر بناء على ظروفك المالية الخاصة. لمزيد من المعلومات، يرجى الرجوع إلى شروط الاستخدام واخلاء المسؤولية.