تعرض بروتوكول التمويل اللامركزي (DeFi) وصانع السوق Balancer مؤخرًا لاستغلال كبير، مما أدى إلى خسارة أكثر من 120 مليون دولار من الأصول الرقمية.
وبحسب شركات أمن البلوكشين، وصلت الخسائر الإجمالية الآن إلى حوالي 128 مليون دولار، ولا تزال عمليات السحب من محفظة المهاجم مستمرة.
تفاصيل ملحق الموازن
فيمنشور على منصة التواصل الاجتماعي X (المعروفة سابقًا باسم تويتر)، أقرت Balancer بالثغرة، مؤكدةً أن فرقها الهندسية والأمنية تُجري تحقيقًا في الاختراق على وجه السرعة. وأضافت:
تلتزم Balancer بأمن العمليات، وقد خضعت لعمليات تدقيق مكثفة من قِبل شركات رائدة، ولديها برامج مكافآت فعّالة لتحفيز المراجعين المستقلين. نعمل بشكل وثيق مع فرق الأمن والقانون لدينا لضمان سلامة المستخدمين، ونجري تحقيقًا سريعًا وشاملًا. نتقدم بالشكر لشركائنا ومجتمع التمويل اللامركزي (DeFi) على دعمهم.
وأوضح الرئيس التنفيذي للشركة، ديدي لافيد، أن استمرار استنزاف الأموال يرجع على الأرجح إلى آليات التحكم في الوصول المخترقة داخل البروتوكول، والتي سمحت للمهاجمين بالتلاعب المباشر بالأرصدة.
قدم خبير السوق Adi Flips مزيدًا من التفاصيل حول هذه الاستغلال،موضحًا كيف استهدف الهجوم خزائن V2 ومجموعات السيولة الخاصة بـ Balancer من خلال استغلال الثغرات الأمنية في تفاعلات العقود الذكية.
تشير التحقيقات الأولية إلى أن الاستغلال اشتمل على عقد مُنشَر بشكل ضار، تلاعب باستدعاءات الخزنة أثناء تهيئة المجموعة. وقد تم تمكين هذا التلاعب من خلال سوء التعامل مع الأذونات وعمليات الاستعادة، مما سمح للمهاجم بتجاوز إجراءات الأمان الحالية.
ونتيجة لذلك، حدثت عمليات تداول غير مصرح بها وتلاعب بالرصيد في المجمعات المترابطة، مما سمح باستنفاذ الموارد بسرعة في غضون دقائق.
بدأ الهجوم بمعاملة بالغة الأهمية على الشبكة الرئيسية لإيثريوم (ETH)، حيث وجّهت الأصول إلى محفظة جديدة يسيطر عليها المهاجم. ثم جُمعت الأموال المسروقة، على الأرجح لغسلها عبر برامج خلط أو جسور.
تحليل البضائع المسروقة
وفقًا لتحليل Adi Flips، فإن تصميم بروتوكول Balancer، الذي يسمح بالتفاعل القوي بين مجموعاته، أدى إلى تفاقم تأثير الاستغلال.
وقال إن نقاط ضعف مماثلة لوحظت في صناع السوق الآليين (AMMs) في الماضي، وغالباً ما تكون مرتبطة بكيفية تعاملهم مع الرموز الانكماشية أو إدارة إعادة التوازن في المجمع.
من المهم ملاحظة أنه لا يوجد حاليًا أي دليل يشير إلى اختراق مفتاح خاص. وأشار الخبير إلى أن هذه الحادثة تبدو مجرد استغلال بسيط للعقود الذكية.
يتضمن انهيار الأصول المسروقة أكثر من 70 مليون دولار في Ethereum، مع خسائر إضافية تبلغ حوالي 7 ملايين دولار من Base وSonic مجتمعتين وحوالي 2 مليون دولار من سلاسل أخرى.
وفقًا للتحقيقات الجارية، فإن إجمالي سرقة الأصول الرئيسية، بما في ذلك Ethereum المغلفة (WETH)، وStacking Ethereum (wstETH)، وosETH، وfrxETH، وrsETH، وrETH، يتراوح بين 116 مليون دولار و128 مليون دولار.
الصورة المميزة من DALL-E، الرسم البياني من TradingView.com