فشلت معاملة تتضمن XRP بقيمة 15 مليار دولار تقريبًا من محفظة غير معروفة إلى بورصة Bitfinex كجزء من “استغلال المدفوعات الجزئية”.
تم لفت انتباه الجمهور إلى هذه الصفقة لأول مرة من خلال حساب تتبع blockchain المعروف باسم Whale Alert، والذي أبلغ عن تحويل مذهل بقيمة 25.6 مليار XRP، أي ما يقرب من نصف المعروض المتداول للعملة المشفرة، من محفظة مجهولة إلى Bitfinex.
ومع ذلك، فإن الإثارة لم تدم طويلاً حيث قام Whale Alert بحذف المنشور على الفور، نقلا عن قضية مع قراءة استجابة عقدة الريبل التي أدت إلى تنبيه خاطئ.
وفي وقت لاحق، كشف باولو أردوينو، كبير مسؤولي التكنولوجيا في Bitfinex، أن الصفقة الضخمة كانت في الواقع محاولة للهجوم على Bitfinex من خلال ما يعرف باسم “استغلال المدفوعات الجزئية”.
حاول شخص ما الهجوم @bitfinex عبر “استغلال المدفوعات الجزئية”.
فشل الهجوم لأن Bitfinex يتعامل بشكل صحيح مع حقل بيانات “delivered_amount”.https://t.co/EiGw9UQmmq(تم التحديث باستخدام صورة GIF أفضل) https://t.co/8I7vlO05ou pic.twitter.com/DxOnJLLkhU
— باولو أردوينو 🍐 (@paoloardoino) 14 يناير 2024
اعتمد هذا العمل الخبيث على افتراض أن منصة Bitfinex قامت بتكوين برنامجها بشكل غير صحيح لمعالجة المدفوعات الجزئية، وهي ثغرة سعى المهاجم إلى استغلالها.
كيف تعمل برمجيات استغلال المدفوعات الجزئية؟
تعتمد آليات استغلال المدفوعات الجزئية على خداع النظام للتعرف على مبلغ مختلف عما تم إرساله بالفعل.
يتلاعب المهاجم بحقل معاملة لإظهار مبلغ أصغر مما هو مشار إليه في جزء آخر من المعاملة، بهدف الحصول على رصيد مقابل الفارق من الكيان المستهدف.
ولحسن حظ Bitfinex ومستخدميها، كشفت Ardoino أنه تم إحباط الهجوم لأن نظام Bitfinex يتعامل بشكل صحيح مع حقل البيانات “delivered_amount”، مما يجعل الاستغلال غير فعال.
والمثير للدهشة أن طموحات المهاجم لم تنته عند Bitfinex.
تُظهر بيانات Blockchain أيضًا أنهم حاولوا شن هجوم مماثل على Binance، وهذه المرة بنقل مذهل قدره 58.9 مليار XRP.
ومع ذلك، تمامًا مثل مساعيهم السابقة، فقد واجه هذا الهجوم أيضًا الفشل.
يواصل المتسللون استهداف Bitfinex
في نوفمبر من العام الماضي، قامت منصة Bitfinex تعرضت لحادث أمني “بسيط”. بعد أن وقع أحد وكلاء دعم العملاء التابعين لها ضحية لمحاولة اختراق، مما أدى إلى استهداف العديد من المستخدمين في سلسلة من هجمات التصيد الاحتيالي.
ال تبادل التشفير وقالت إن الحادث وقع بين 30 أكتوبر و5 نوفمبر.
ومع ذلك، أكدت منصة Bitfinex لعملائها أن التأثير كان ضئيلًا ولم تحدث أي أضرار كبيرة.
حدث الانتهاك من خلال التصيد الاحتيالي لوكيل دعم العملاء، الذي كان لديه إمكانية الوصول إلى معلومات جزئية.
ولحسن الحظ، لم يكن لدى الوكيل أذونات عليا وكان لديه وصول محدود إلى أدوات الدعم وتذاكر مكتب المساعدة، كما أكدت منصة Bitfinex.
وأكدت البورصة أن أنظمتها ظلت سليمة ولم تفقد أي أموال للعملاء طوال الحادث.
وقالت الشركة أيضًا إنها أبلغت سلطات إنفاذ القانون بالانتهاك وتتعاون بشكل نشط مع سلطات التحقيق لتحديد هوية مرتكب هجوم التصيد والقبض عليه.
وقالت Bitfinex: “لدينا سجل حافل في تأمين الإدانات الناجحة ضد الأفراد الذين حاولوا مهاجمة عملياتنا في الماضي”.
تأسست Bitfinex في هونغ كونغ في عام 2012، وقد أثبتت نفسها كلاعب مهم في صناعة العملات المشفرة.
وتحت قيادة الرئيس التنفيذي جان لويس فان دير فيلدي منذ عام 2013، ارتفعت البورصة إلى المركز 17 في مؤشر “نقاط الثقة” الخاص بـ CoinGecko بين جميع بورصات العملات المشفرة.
