عملية اختراق SuperRare: سرقة 730 ألف دولار في عملية اختراق الرهان مع تطور في التشغيل الأمامي

الرؤى الرئيسية:

• أدى اختراق SuperRare إلى سرقة 11.9 مليون توكن RARE من خلال التلاعب بجذر Merkle.
• قام أحد المهاجمين باختطاف الثغرة بعد نشر المهاجم الأصلي للعقد في كتلة واحدة.
• لم تتأثر وظائف المنصة الأساسية، ولكن فشل منطق الرهان كشف عن مخاطر أعمق.

في 28 يوليو، حدث شيء غريب على بلوكشين الإيثيريوم. فقد خُدع عقد ذكي من SuperRare، وهي منصة NFT معروفة، وسُرقت رموز RARE بقيمة 730,000 دولار تقريبًا.

لم يكن هذا مجرد اختراق عادي للعملات الرقمية. كان لاختراق SuperRare تطور غير عادي.

الشخص الذي اكتشف الخلل في الكود لم يحصل على المال في نهاية المطاف. شخص آخر رأى الهجوم قادماً وقفز أولاً.

والآن، يصف الخبراء هذه الحالة بأنها حالة واضحة من التلاعب الأمامي، وهو نوع من التحركات التي يقوم فيها شخص ما بنسخ إجراء ما ولكنه يرسل معاملته بشكل أسرع.

هذا الاختراق SuperRare لا يتعلق فقط بخطأ واحد في التعليمات البرمجية. فهو يُظهر كيف يمكن أن تسوء الأمور حتى عندما يتقاتل المهاجمون فيما بينهم من أجل المال.

ما هو SuperRare وكيف حدث الاختراق؟

SuperRare هو موقع NFT حيث يبيع الفنانون أعمالهم الفنية الرقمية. إنه موجود منذ عام 2018 ويسمح فقط للفنانين المختارين بإدراج أعمالهم. كما أنه يحتوي على رمز خاص يسمى RARE.

يمكن للأشخاص الذين يمتلكون RARE التصويت على كيفية عمل المنصة بل وكسب المكافآت من خلال المراهنة على عملاتهم الرمزية.

لم يؤثر اختراق SuperRare على الجانب الفني أو الرمز المميز RARE نفسه. لقد أصاب عقد الرهان، وهو جزء من الكود الذي يتيح للمستخدمين كسب المكافآت. هذا العقد كان به خطأ فادح.

كان للعقد شيء يسمى جذر Merkle، وهو أداة تُستخدم للتحقق ممن يجب أن يحصل على المكافآت. لكن الشفرة التي تتحكم في من يمكنه تحديث جذر Merkle هذا لم تكن صارمة بما فيه الكفاية.

عادة، لا يُسمح عادةً إلا لمالك العقد بإجراء تغييرات. لكن عقد الرهان SuperRare كان به شيك ضعيف.

سمح ذلك لشخص ما بتحميل نسخته الخاصة من جذر Merkle، مما جعل الأمر يبدو وكأنه مسموح له بالمطالبة بالمكافآت.

باستخدام هذا، أخذوا 11.9 مليون توكن RARE في صفقة واحدة. أي حوالي 730,000 دولار في ذلك الوقت.

أكدت فرق الأمن مثل CertiK و PeckShield اختراق SuperRare مباشرةً بعد حدوثه. كما وجد سايفرز أيضًا أن محفظة المهاجم قد امتلأت بالإيثيريوم من خلال Tornado Cash: وهي أداة تُستخدم لإخفاء الأموال، منذ أكثر من ستة أشهر.

هذا يعني أن المهاجم قد يكون قد أعدّ لذلك منذ فترة طويلة.

التويست الكبير: المرشح الأوفر حظاً يحصل على المال

يصبح اختراق SuperRare أكثر إثارة للاهتمام. الشخص الذي اكتشف الخلل وكتب عقد الهجوم لم يكن الشخص الذي أخذ المال.

شهدت محفظة أخرى الهجوم الأول الذي تم إرساله ونسخ نفس الخطوة بالضبط، ولكن مع رسوم غاز أعلى. وبعبارات بسيطة، هذا يعني أنهم دفعوا المزيد من المال لتتم معالجة معاملتهم أولاً.

ونظرًا لأن مُعدِّني الإيثيريوم يختارون المعاملة الأعلى أجرًا، فقد تم تأكيد حركة المحفظة الثانية قبل الأولى.

يُطلق على هذا النوع من التصرفات اسم “الهروب الأمامي”. إنه مثل قطع الطابور. فالشخص الأول اكتشف عيبًا، لكن الشخص الثاني حصل على المكافأة.

قال فريق Blockaid، أحد الفرق الأمنية التي راجعت اختراق SuperRare، إن هذا مثال واضح على كيفية تعرض المهاجمين للهجوم.

في كتلة واحدة فقط، وبفارق ثوانٍ فقط، اختفت الأموال. المحفظة التي انتهى بها المطاف بالرموز النادرة المسروقة لا تزال تحتفظ بها. لم يقوموا بنقلها أو بيعها بعد.

ما الذي يحدث الآن وما الذي يعلمه الاختراق النادر جداً للجميع؟

في الوقت الحالي، لم تذكر SuperRare الكثير رسمياً. لم يوضحوا ما الذي يخططون لفعله أو ما إذا كانوا سيدفعون للمستخدمين.

لا تزال منصة NFT نفسها تعمل، ولم يتم كسر رمز RARE المميز. لكن الثقة في نظام Staking الخاص بـ SuperRare قد تضررت.

يعلمنا اختراق SuperRare بعض الأشياء المهمة. أولاً، يجب أن يكون للعقود الذكية قواعد صارمة للغاية بشأن من يمكنه إجراء تغييرات. يمكن لخطأ بسيط، مثل إذن فضفاض، أن يفتح الباب أمام خسائر فادحة.

ثانياً، يجب على أي شخص يبني أنظمة على السلسلة أن يفكر في مدى سرعة تصرف الروبوتات. في هذه الحالة، رأى شخص ما هجومًا وتغلب على المهاجم في لعبته الخاصة، مباشرة، على السلسلة.

وثالثاً، اختراق SuperRare لا يتعلق فقط بالأخطاء في التعليمات البرمجية. إنه يتعلق بمدى سرعة حدوث الأشياء في التشفير.

كل شيء علني، وكل شيء يمكن تتبعه، وإذا قمت بحركة ما، فقد يقوم شخص ما بنسخها قبل أن تنتهي منها.

الخسارة التي بلغت 730,000 دولار أمر خطير. ولكن تطور السباق الأمامي يجعل هذه واحدة من أكثر القصص غرابة في تاريخ العملات الرقمية الحديث.

يُظهر اختراق SuperRare أنه حتى المهاجمين يحتاجون إلى حماية أنفسهم. وبالنسبة لمنصات مثل SuperRare، فإن هذا تذكير: تحتاج أنظمة المكافآت إلى نفس القدر من الحماية مثل الخزائن.