تعرض مجمع البورصات اللامركزية (DEX) على السلسلة، SwapNet، من استغلال كبير للعقود الذكية استنزف ما يقرب من 16.8 مليون دولار من الأصول الرقمية.
تسلط الحادثة الضوء على المخاطر الأمنية المستمرة المرتبطة بالموافقات على الرموز وعقود التوجيه من طرف ثالث في التمويل اللامركزي (DeFi).
Sponsoredتعريض مجمع DEX على السلسلة SwapNet لاستغلال بقيمة 16.8 مليون دولار
أفادت PeckShield أن المهاجم استهدف نشاطا مرتبطا بشبكة SwapNet يمكن الوصول إليه عبر Matcha Meta، وهو مجمع DEX ميتا تم بناؤه بواسطة فريق 0x.
على شبكة القاعدة، قام المهاجم بتبادل حوالي 10.5 مليون دولار من USDC مقابل حوالي 3,655 إيثانيوم قبل أن يربط الأموال بإيثيريوم، وهي استراتيجية شائعة تستخدم لتعقيد جهود التتبع والاسترداد.
أوضحت Matcha Meta أن التعرض لم يكن نابعا من بنيتها التحتية الأساسية. بدلا من ذلك، كان المستخدمون المتأثرون هم الذين اختاروا الانسحاب من نظام الموافقة لمرة واحدة من 0x، وهو ميزة أمنية صممت للحد من صلاحيات الرموز المستمرة.
المستخدمون الذين عطلوا هذا الخيار منحوا الموافقات المباشرة على عقود المجمعين الأساسية، بما في ذلك راوتر SwapNet، الذي أصبح في النهاية هو مسار الهجوم.
قالت Matcha Meta في بيان: "نحن على علم بحادثة مع SwapNet قد يكون المستخدمون قد تعرضوا لها على Matcha Meta لأولئك الذين أوقفوا الموافقات لمرة واحدة".
أكدت المنصة أنها تنسق مع فريق SwapNet، الذي قام بتعطيل العقود المتأثرة مؤقتا بينما تستمر التحقيقات.
Sponsored Sponsoredكإجراء احترازي، حثت Matcha Meta المستخدمين على سحب الموافقات فورا من المجمعين الفرديين خارج إطار الموافقة لمرة واحدة الخاصة ب 0x.
سلطت المنصة الضوء على عقد راوتر SwapNet (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e) كأكثر الموافقات إلحاحا للإلغاء. الفشل في ذلك قد يترك المحافظ مكشوفة حتى بعد احتواء الاستغلال.
مقايضات الأمان في DeFi: الراحة مقابل الأمان وسط تزايد استغلالات العقود الذكية
تعكس الحادثة مقايضة طويلة الأمد في التمويل اللامركزي بين الراحة والأمان. تتطلب الموافقات لمرة واحدة من المستخدمين الموافقة على كل معاملة بشكل فردي، مما يقلل من مستويات الهجمات المستمرة. ومع ذلك، فإنه يضيف أيضا توترا للمتداولين الدائمين.
Sponsoredالموافقات غير المحدودة، رغم أنها أسرع، تمنح العقود الذكية وصولا دائما إلى أموال المستخدمين. ومع ذلك، يصبح هذا الترتيب خطيرا عندما يتم اختراق تلك العقود.
لم تصدر SwapNet بعد تقريرا تقنيا كاملا أو تشير إلى ما إذا كان سيتم تعويض المستخدمين المتضررين. وهذا يترك أسئلة مفتوحة حول المساءلة والتعافي.
من المرجح أن يؤدي نقص الوضوح الفوري إلى تصعيد التدقيق حول ممارسات الموافقة وتكامل المجمعين عبر منظومة DeFi.
استغلال آخر لإيثيريوم يسلط الضوء على مخاطر العقود غير المؤكدة والمغلقة المصدر
يأتي هذا الاستغلال وسط نمط أوسع من هجمات العقود الذكية وحوادث الأمان في سوق العملات الرقمية.
Sponsored Sponsoredفي نفس اليوم، أشار مدقق الأمن باشوف إلى استغلال منفصل لشبكة إيثيريوم الرئيسية تشمل حوالي 37 محطة WBTC، بقيمة تزيد عن 3.1 مليون دولار.
وقد ارتبط ذلك بعقد مغلق المصدر غير موثق نشر قبل 41 يوما فقط. نشر العقد فقط كود بايت غير قابل للقراءة من قبل الإنسان، مما منع المراجعة العامة.
معا، تبرز هذه الحوادث أرضا خصبة وفيرة للمهاجمين في DeFi. وهي:
- رمز غير موثق
- الموافقات المستمرة، و
- طبقات التوجيه المعقدة.
على الرغم من سنوات من التدقيق وتحسينات الأمان، لا يزال التمويل اللامركزي يواجه الثغرات الهيكلية. وهذا يضع عبء المطورين والمستخدمين لموازنة سهولة الاستخدام مع إدارة المخاطر.
