في 27 مايو، تعرضت منصة التمويل اللامركزي Stake DAO لهجوم استغلالي أدى إلى إصدار عملات رقمية بشكل غير محدود عبر بروتوكول Arbitrum الخاص بها. ومع ذلك، سارع المساهمون الرئيسيون في Stake DAO إلى تأمين أموال الشبكة الرئيسية التي تدعم التوكنات، وأغلقوا جسر vsdCRV، ونجحوا في احتواء الهجوم.
"ستيك داو" تجمد أسواق "vsdCRV" على "أربتروم" بعد قيام مهاجم بإصدار 5.4 تريليون من الرموز الاصطناعية
بقلم
مشاركة
النقاط الرئيسية
- تعرضت Stake DAO لهجوم استغلالي لإنشاء عملات رقمية بشكل غير محدود على Arbitrum في 27 مايو، والذي أدى، وفقًا للتقارير، إلى استنزاف المهاجم لأصول رقمية بقيمة 91,000 دولار.
- أثار هذا الاختراق جدلاً واسعاً حول أمن DeFi، بدأه مانويل أراوز، المؤسس المشارك لـ Openzeppelin.
- تقوم Stake DAO بإغلاق سوق Arbitrum asdCRV Llamalend وتتعاون مع سلطات إنفاذ القانون.
ثغرة "السك اللامتناهي" تؤدي إلى استغلال
أكدت منصة التمويل اللامركزي (DeFi) Stake DAO في 27 مايو أن بروتوكولها على شبكة Arbitrum layer-2 تعرض للاستغلال، مما سمح لطرف غير مصرح له بإنشاء تريليونات من الرموز الاصطناعية بشكل ضار. وفقًا للنتائج الأولية التي توصلت إليها شركة أمن البلوكشين Blockaid، استغل المهاجم ثغرة أمنية في "الإنشاء اللامتناهي" مرتبطة بمنطق خزينة vsdCRV ونظام توزيع المكافآت الآلي في Stake DAO.
قبل العقد انتقالًا غير صالح للحالة، مما أدى إلى فشل محاسبي داخلي خطير. سمحت هذه الثغرة للمهاجم بزيادة المعروض من vsdCRV بمقدار 5.4 تريليون وحدة. تشير بعض التقارير إلى أن المهاجم تمكن من سحب ما يقرب من 91,000 دولار من الأصول الرقمية القابلة للتحويل من مجمعات السيولة المتأثرة قبل تحديد المشكلة ووقفها.
تحرك المساهمون الرئيسيون في Stake DAO بسرعة للتخفيف من الأضرار الإضافية، وأعلنوا أنهم نجحوا في تأمين دعم vsdCRV على شبكة Ethereum الرئيسية. وبسبب الاحتواء السريع، أكد مسؤولو البروتوكول أنه لا يمكن للمهاجم الاستيلاء على أي أموال من الشبكة الرئيسية. بالإضافة إلى ذلك، قام الفريق بتعطيل جسر vsdCRV، مما أدى إلى حصر التأثير الاقتصادي للاستغلال بنجاح في نظام Arbitrum البيئي.
وقالت Stake DAO في بيان تم نشره عبر منصة التواصل الاجتماعي X: "بناءً على تقييمنا الحالي، لم تتأثر عوائد Boosted و Liquid Lockers و Votemarket و Stake DAO للإقراض على Morpho".
ومع ذلك، أشار البروتوكول إلى أن سوق Arbitrum asdCRV Llamalend سيتم إغلاقه نهائيًا في أعقاب الحادث. نصحت Stake DAO المستخدمين بعدم التفاعل مع عقود vsdCRV وتحث مودعي crvUSD على نقل رؤوس أموالهم إلى أسواق Llamalend بديلة لم تتأثر.
منعطف حرج لأمن DeFi
تم إخطار وكالات إنفاذ القانون، وقالت Stake DAO إنها تتعاون مع شركاء أمنيين خارجيين لتتبع تدفق الأصول المسروقة وإجراء تدقيق جنائي شامل للعقود الذكية المخترقة.
يأتي توقيت الحادث في الوقت الذي يحاول فيه النظام البيئي الأوسع لـ DeFi الرد على فرضية انتشرت على نطاق واسع نشرها مانويل أراوز، المؤسس المشارك لـ Openzeppelin، الذي أكد مؤخرًا أن "جميع DeFi غير آمنة". أذهل تقييم أراوز القاتم المشاركين في الصناعة، مما أجبر على إجراء تقييم داخل قطاع يعاني بالفعل من موجة من استغلال البروتوكولات ونقاط الضعف الهيكلية. يؤكد استغلال Stake DAO فرضية أراوز، مما يعقد جهود الصناعة لاستعادة ثقة المؤسسات والمستهلكين.
دفعت هذه الفرضية Openzeppelin إلى إصدار بيان تنأى فيه بنفسها عن أراوز، الذي قالت الشركة إنه غادر المنظمة في عام 2019. كما تناولت Openzeppelin المخاوف الرئيسية التي أثارها أراوز، معترفة بأنه في حين أن الذكاء الاصطناعي يمثل ناقل تهديد حقيقي، فإنه يمثل أيضًا أداة دفاعية قوية عند استخدامه "بصرامة وحكم بشري خبير".
وقالت Openzeppelin في بيان: "يستخدم باحثونا الذكاء الاصطناعي يوميًا لاكتشاف المزيد من المشكلات والحالات الاستثنائية". "الحل لمخاطر الذكاء الاصطناعي ليس الانسحاب من DeFi. بل هو تحسين الأمن."
وبالانتقال إلى الموجة الأخيرة من الحوادث الأمنية، أكدت Openzeppelin أن العديد منها يمكن إرجاعه إلى إخفاقات أمنية تشغيلية، وليس إلى أخطاء في العقود الذكية.
