اختر منطقتك 
حالة الطقس 
في 16 يوليو 2024، تعرض بروتوكول LiFi لخرق أمني خطير، مما أدى إلى خسارة ما يقرب من 11.6 مليون دولار من العملات المشفرة. وقع الحادث بعد وقت قصير من نشر جانب جديد من العقود الذكية.
سمحت ثغرة أمنية في هذا الجانب الجديد للمهاجمين باستغلال محافظ المستخدم ذاتية الحفظ التي حددت موافقات رمزية غير محدودة.
تقرير بروتوكول LiFi ملاحظة عمق الاختراق الأمني
استغل المتسللون الثغرات الأمنية الناجمة عن الموافقات لاستنزاف 10 ملايين دولار من بروتوكول LiFi.#لاي فاي #التحديhttps://t.co/VSL4VBJhH7
— Cryptonews.com (@cryptonews) 16 يوليو 2024
بعد هجوم 16 يوليوأصدر الفريق تقريرًا بعد الوفاة يوضح بالتفصيل عملية الاختراق والطريقة التي تم بها الاختراق.
تشريح الجثة والخطوات التالية @بروتوكول ليفي الشركاء والمجتمع: https://t.co/H4EEiLAHEc pic.twitter.com/TZmx0VtLxo
— LI.FI (@lifiprotocol) 18 يوليو 2024
وفقًا للتقرير، أثر الاختراق على 153 محفظة عبر سلاسل الكتل Ethereum و Arbitrum، مما أدى إلى استنزاف الأصول بما في ذلك USDC و USDT و DAI.
والجدير بالذكر أن الثغرة الأمنية لم تؤثر على الموافقات المحدودة، وهو الإعداد الافتراضي داخل واجهة برمجة تطبيقات LiFi ومجموعة أدوات التطوير البرمجية والأداة.
بعد اكتشاف الاختراق، قام فريق LiFi بتنشيط خطة الاستجابة للحوادث، مما أدى إلى تعطيل الجانب الضعيف عبر جميع السلاسل بسرعة لاحتواء التهديد.
ونصح الفريق أيضًا المستخدمين بإلغاء الموافقات على عناوين العقود المخترقة، على وجه التحديد:
- 0x1231deb6f5749ef6ce6943a275a1d3e7486f4eae
- 0x341e94069f53234fE6DabeF707aD424830525715
- 0xDE1E598b81620773454588B85D6b5D4eEC32573e
- 0x24ca98fB6972F5eE05f0dB00595c7f68D9FaFd68.
نشأت الثغرة بسبب إهمال أثناء نشر جانب العقد الذكي الجديد. كان المتصلون بالعقد قادرين على إجراء مكالمات عشوائية إلى أي عقد دون التحقق من صحته.
تسهل هذه الإمكانية، التي توفرها مكتبة LibSwap، إجراء مكالمات إلى العديد من البورصات اللامركزية (DEXs)، ومحصلي الرسوم، والكيانات الأخرى قبل ربط الأموال أو إرسالها إلى مستخدم.
وفي حين تضمنت جوانب أخرى من عقد LiFi التحقق من صحة القائمة البيضاء لعناوين ووظائف العقد المعتمدة، إلا أن هذه الخطوة الحاسمة كانت مفقودة في الجانب الجديد بسبب خطأ بشري.
جهود التعافي والتأثير الأوسع
تعطي تقنية LiFi الأولوية لاستعادة الأصول المسروقة بعد الاختراق الأمني الأخير.
ويتعاون الفريق مع سلطات إنفاذ القانون وفرق أمن الصناعة لتتبع الأموال ومحاولة استردادها.
بالإضافة إلى ذلك، وبدعم من كبار المستثمرين، تستكشف تقنية LiFi الخيارات المتاحة للتعويض الكامل للمستخدمين المتضررين.
يتم تشجيع حاملي المحفظة المتأثرين بالاختراق على استكمال النموذج المقدم في الإعلان للتواصل المباشر مع فريق LiFi.
تحديث مهم للمستخدمين المتأثرين:
سيبدأ فريقنا في الاتصال بالمستخدمين اعتبارًا من يوم غد بتفاصيل مخطط التعويض الطوعي الذي نعمل عليه حاليًا.
للمشاركة في برنامج التعويض، يرجى ملء النموذج أدناه 👇https://t.co/i8joNc6rbt
— LI.FI (@lifiprotocol) 18 يوليو 2024
علاوة على ذلك، لتعزيز الأمان، نفذت LiFi العديد من التدابير الإضافية، بما في ذلك عمليات التدقيق المتعددة، والحفاظ على شركة تدقيق على أساس الاحتفاظ بها، والبنية الأساسية الخلفية واختبار اختراق واجهة برمجة التطبيقات، ومكافآت الأخطاء، وإطار الاستجابة للحوادث، وتقييمات أمنية مكثفة للأنظمة المتكاملة التابعة لجهات خارجية.
تتوافق هذه الخطوات مع إرشادات المعهد الوطني للمعايير والتكنولوجيا (NIST).
دفع الاختراق، المنسوب إلى خطأ بشري، شركة LiFi إلى إعادة تقييم وتحسين عملية مراجعة النشر لمنع وقوع حوادث مستقبلية.
وبحسب التقرير، يواصل فريق LiFi العمل مع خبراء الأمن وسيقدم تحديثات مع تقدمهم في تعزيز أمان البروتوكول.
إن هذه الحادثة هي جزء من اتجاه مثير للقلق يتمثل في زيادة الخروقات الأمنية في التمويل اللامركزي (DeFi). وتشمل الهجمات الأخيرة هجوم قرض سريع بقيمة 1.8 مليون دولار لشركة Dough Finance والخسائر الكبيرة لشركة Pike Finance بسبب ثغرة في العقود الذكية.
في يومنا هذا فقط، 18 يوليو، تم استنزاف 235 مليون دولار من بورصة العملات المشفرة الهندية الرائدة WazirX في سلسلة من المعاملات المشبوهة المرتبطة لاحقًا بمجموعة القراصنة الكورية الشمالية الشهيرة Lazarus Group.
كانت مجموعة Lazarus وراء هجمات وخروقات كبرى في صناعة التشفير. تم تعقب عملية الاختراق التي بلغت قيمتها 305 مليون دولار إلى المجموعةكما قامت الأمم المتحدة بالتحقيق في هجوم بقيمة 3 مليار دولار مرتبطة بهم في وقت سابق من هذا العام.
في النصف الأول من عام 2024 وحده، فُقد أكثر من مليار دولار من الأصول الرقمية بسبب حوادث أمنية مختلفة، بما في ذلك هجمات التصيد واختراق المفاتيح الخاصة.
