تم استنزاف Bedrock DeFi ، وهو بروتوكول DeFi قائم على Bitcoin مع أصول ملفوفة، بقيمة 1.7 مليون دولار. حدثت سرقة uniBTC بعد يوم واحد فقط من الهجوم على Onyx Finance.
تم استغلال Bedrock DeFi مقابل 1.7 مليون دولار في uniBTC، حيث تم استنزاف مجموعة الاستعادة من خلال استغلال trac الذكي. بعد البحث في الهجوم، قام Bedrock بإغلاق trac الذكي matic ، وتجنب المزيد من عمليات الاستغلال . كان المتسلل قادرًا على سك uniBTC بلا حدود، مما قد يؤدي إلى كشف جميع المجمعات وأزواج التداول ذات الصلة.
تم اكتشاف الثغرة في البداية من قبل فريق تحليل Dedaub، الذي حاول على الفور الاتصال بمطوري Bedrock. ومع ذلك، بعد أقل من ثلاث ساعات، قام مهاجم آخر بتطبيق تلك المعرفة وأنشأ فائضًا من uniBTC.
أعلن Bedrock DeFi أن الاستغلال أثر فقط على uniBTC، وهو شكل رمزي آخر من BTC. تظل الاحتياطيات الأساسية آمنة، وقد حل البروتوكول المشكلة. تحتوي المنصة على أصول تزيد قيمتها عن 243 مليون دولار من شبكات مختلفة، بما في ذلك Bitcoin و Ethereum . يهدف Bedrock DeFi إلى تقديم إعادة تخزين سائلة متعددة السلاسل، حيث يمكن للأصول الخاملة أن تكسب دخلاً سلبيًا.
أصول uniBTC المميزة هي trac ERC-20 على سلسلة Ethereum . يتم الاحتفاظ بعملة BTC المغلفة في 3,552 عنوانًا ويبلغ إجمالي قيمتها السوقية 75.4 مليون دولار. بعد فترة وجيزة من الاستغلال، شهدت بعض الأزواج اللامركزية إجراءً استثنائيًا.
توجد إصدارات uniBTC على إجمالي ثماني شبكات، وبعض البروتوكولات مثل Pendle تتعرض لما يصل إلى 30 مليون دولار للأصل، المرتبط ببروتوكول Corn. كان trac مماثل ضعيف لسك عملة uniBTC يخلق تهديدات على Ethereum و Binance وArbitrum وOptimism mainnet وMantle وMode وBOB وZetaChain. حذر باحثون من Dedaub شركة Pendle، التي أنقذت معظم القيمة المقفلة من الاستغلال كسيولة خروج.
تسبب اختراق uniBTC في حدوث بعض العدوى في البورصات اللامركزية. شهد أحد مجمعات Uniswap V3 انهيار السعر إلى 17,889.15 دولارًا ، بينما تم تداول زوج آخر بخصم أصغر عند 62,311.48 دولارًا. انهارت نسخة التفاؤل من الزوج اللامركزي بنسبة 90٪ إلى أقل من 18000 دولار. وصل الأصل أيضًا إلى مستوى منخفض جديد عند 5,741.48 دولارًا. يهيمن ضغط البيع، مما يمنع محاولات المراجحة، بسبب انخفاض سيولة الأزواج.
قد يكون الانهيار الفعلي لسعر المبادلة قد أضر بالبروتوكول بشكل أكبر، مما أدى أيضًا إلى إلحاق الضرر بالسمعة. بعد ساعات من الاختراق، لم تسترد uniBTC تكافؤها مع WBTC، والتي تشكل معظم أزواج التداول.
كما هو الحال مع عمليات الاستغلال الأخرى، دعت التعليقات المزيفة على وسائل التواصل الاجتماعي إلى استخدام موقع ويب للإلغاء. يواجه مستخدمو المحفظة مخاطر إضافية من تلك الروابط الضارة، والتي قد تستنزف الأصول المتبقية.
استغل المتسلل دعوة Bedrock trac uniBTC
وقد أثر هذا الاستغلال على uniBTC المغلف بالرمز، والذي يتمتع بدعم فعلي من BTC وWBTC. ادعى باحثون مثل Dedaub أنهم لاحظوا الوظيفة المحتملة لاستغلال Bedrock، لكن الاختراق حدث بعد ساعات من التحذير.
وأشار ديدوب إلى أن ممثلًا خبيثًا يمكنه إنشاء عدد لا نهائي من وحدات uniBTC ومهاجمة الخزائن والأزواج اللامركزية. من المحتمل أن يؤثر الهجوم على Pendle وCorn، بالإضافة إلى Bedrock DeFi . يمكن للمستغل إيداع كمية صغيرة من ETH وسك uniBTC بسعر صرف مختلف. سيكون الأصل المُصاغ حديثًا قابلاً للتحويل بالكامل ويمكن إعادة بيعه لمزيد من WBTC على Uniswap أو البروتوكولات اللامركزية الأخرى.
وأشار باحث آخر، تشوفان شو، إلى أن trac uniBTC كان عرضة لاستدعاء الوظيفة. تم تجفيف المبلغ المعرض للخطر بدقة قبل ساعات قليلة من التحليل.
يمكنك استخدام ItyFuzz لإنشاء استغلال كامل الوظائف يسرق ما يصل إلى 1.7 مليون دولار من @Bedrock_DeFi uniBTC.
وكل ما يتطلبه الأمر هو نواة وحدة المعالجة المركزية + 0.5 ثانية. pic.twitter.com/SMMD1MSbvT
— شوفان شو (@shoucccc) 27 سبتمبر 2024
Calls to smart contracts remain one of the biggest risks, especially after boosting the value locked in DeFi protocols. The attack against Bedrock DeFi happened while the protocol’s total value locked was near an all-time high of $243M.
What saved the protocol was the non-custodial nature of the staking, which allowed the hacker to steal the wrapped asset and affect DEX liquidity pools, but not the underlying reserves. Wrapped BTC often uses cold wallets and is not easily swappable back to the original asset.
Bedrock uses Babylon Labs and Eigen Layer to achieve its reward structure. Those protocols are securely unlocking the value of BTC and ETH, without exposing the assets directly to risk. The uniBTC created could also be used on Pendle and Velodrome to achieve passive returns.
Most of the attacks in the past weeks have been against Ethereum-based DeFi. The current attack affected a Bitcoin-derivative asset, though one still using the Ethereum blockchain for the bulk of value transfers.
Cryptopolitan reporting by Hristina Vasileva