تقوم بروتوكول التشفير Resolv Labs في 6 أبريل بترقية عبر العقود الذكية لإجبار تدمير 36.73 مليون USR المستقرَّة (stables) الموجودة في عناوين المهاجمين، وذلك كأحدث تطور في أعقاب حادث هجوم استغلال ثغرة سكّ العملة بتاريخ 22 مارس. استخدم المهاجمون مفاتيح خاصة لخدمة إدارة مفاتيح AWS KMS المسربة على مستوى ما قبل السلسلة (off-chain) لتمكين سكّ 80 مليون USR غير مضمونة باستخدام ضمان أولي لا يتجاوز 200 ألف دولار.
إعادة بناء الهجوم: كيف أدت مفاتيح AWS المسربة إلى خسارة منهجية
وفقًا لتحليل Chainalysis، يتمثل جوهر نقطة الدخول لهذه العملية الهجومية في مفتاح KMS خاص (AWS KMS - خدمة إدارة المفاتيح) مسرب ضمن بنية Resolv التحتية المرخّصة خارج السلسلة (off-chain). استخدم المهاجمون هذا المفتاح للتحايل على آلية تفويض سكّ العملات، وإنجاز عمليتي سكّ رئيسيتين على السلسلة: 50 مليون USR و30 مليون USR، حيث كان الضمان الأولي 100 ألف إلى 200 ألف دولار من USDC فقط.
مسار تحويل أموال الهجوم
السكّ: سكّ 80 مليون USR غير مضمونة بضمان أقل من 200 ألف دولار
التحويل: تغليف USR إلى wstUSR (نسخة مُغلَّفة للمَرهون)، ثم التحويل تدريجيًا إلى عملات مستقرة أخرى
جني الأرباح: في النهاية، التحويل إلى نحو 11,409 ETH بقيمة تبلغ حوالي 24.48 مليون دولار
أثر السعر: أدى تدفق كميات كبيرة من الرموز غير المضمونة إلى مسابح السيولة في DeFi؛ وهبط USR لفترة إلى 0.14 دولار
يشير Chainalysis إلى أن العيب الجوهري في هذا الهجوم يتمثل في أن نظام سكّ العملة لدى Resolv يفتقر إلى حدود قصوى للسكّ على السلسلة وآليات تحقق على السلسلة، ويعتمد كليًا على التوقيعات خارج السلسلة لإجراء التفويض؛ وبمجرد تسريب المفتاح الخاص، يتشكل انكشاف منهجي.
إجراءات Resolv Labs المضادة: ترقية العقود وتأكيد حدود الخسائر
(المصدر: Etherscan)
راقب محلل السلسلة رَميْنغ يان (Yu Jin) أن Resolv Labs في 6 أبريل، عبر ترقية عبر العقود الذكية، أجبر على تدمير 36.73 مليون USR قسرًا من عناوين المهاجمين. وبالدمج مع إجراءات المعالجة السابقة، أزالت فرقة Resolv عبر عدة ترقيات عقود نحو 46 مليون USR من عناوين المهاجمين.
ومع ذلك، لا يمكن استرداد جزء من الرموز غير المضمونة الذي كان قد استخرجه المهاجمون بالفعل بصيغة ETH. وأكد البروتوكول في النهاية أن الخسارة الاقتصادية الفعلية تقارب 34 مليون دولار. شددت Resolv Labs على أنه رغم أن الثغرة أدت إلى سكّ مفرط لـ 80 مليون USR، فإن بركة الضمان الخاصة بالبروتوكول «لا تزال سليمة دون أن تتعرض لأي ضرر».
كما تكشف هذه الواقعة عن ازدواجية آلية التحكم في العقود ذات الامتيازات—فمجموعة واحدة من صلاحيات الترقية يمكن أن يستخدمها المهاجمون لإثارة أزمة، ويمكن كذلك استخدامها من جانب الجهة المُعاهِدة (الموافِق/المتعاقد) لإيقاف الضرر بشكل عاجل. وهذه السمة تُشكّل مخاطر حوكمة طويلة الأجل لبروتوكول DeFi الذي يُسوّق على نحو اسمي باعتباره لامركزيًا.
تنبيه أمني لـ DeFi: البنية التحتية خارج السلسلة هي ساحة الهجوم الرئيسية التالية
على الرغم من أن Resolv نجحت في اجتياز 18 عملية تدقيق أمني، فإن ثغرة الحماية في البنية التحتية AWS خارج السلسلة أدت إلى خسائر نطاقية، ما يبرز الثغرات البنيوية في نطاق تدقيقات أمان DeFi الحالية.
وأشار باحثون في الأمن إلى أنه إذا تم نشر أدوات مراقبة على السلسلة في الوقت الفعلي مثل Hexagate، لكان يمكن وسم نسبة السكّ غير الطبيعية بشكل آلي في وقت مبكر وإيقاف تنفيذ العقد، وبما يؤدي إلى تقليص حجم الخسائر بشكل كبير. تتمثل الدروس الأساسية لهذه الواقعة في أن إطار أمان بروتوكولات DeFi يجب أن يضمّن آليات تدوير مفاتيح الخلفية (backend key rotation)، والتحكم في وصول بنية السحابة (cloud infrastructure access control)، وآليات الإيقاف التلقائي (熔断) للمعاملات غير الطبيعية (abnormal transactions) ضمن منظومة الحماية وبنفس أولوية تدقيقات العقود الذكية.
الأسئلة الشائعة
كيف تفرض Resolv Labs تدمير USR الذي بحوزة المخترقين؟
تنفذ Resolv Labs عملية إجبار على تدمير الرموز المحتفظ بها من قبل عناوين المهاجمين عبر آلية ترقية العقود الذكية. يعتمد هذا الإجراء على صلاحيات المديرين المميزين (privileged managers) في البروتوكول، ولا يحتاج إلى موافقة المهاجمين لتنفيذه على السلسلة، وهو ما يوفّر تدبيرًا طارئًا مركزيا.
ما مقدار الخسارة الفعلية لهذه الثغرة في Resolv؟
حوّل المهاجمون نحو 34 مليون USR إلى 11,409 ETH (حوالي 24.48 مليون دولار) ثم نقلوا تلك الكمية؛ ولا يمكن استرداد هذا الجزء. وتبلغ الخسارة الصافية الفعلية المؤكدة من قبل البروتوكول قرابة 34 مليون دولار. في حين أن 36.73 مليون USR التي قامت Resolv Labs بتدميرها تمثل الحصص المتبقية لدى المهاجمين والتي لم يتم تحويلها إلى نقد بعد.
ما التأثير الذي أحدثته هذه الهجمة على آلية ربط USR؟
بعد وقوع الهجوم، هبط USR لفترة إلى 0.14 دولار، ثم عاد إلى الارتفاع تدريجيًا بعد تذبذب في نطاق 0.23 إلى 0.27 دولار. وذكرت Resolv Labs أن بركة الضمان سليمة، لكن هذه الواقعة أحدثت تأثيرًا هيكليًا على مدى موثوقية السوق في ربط USR، كما دفعت البروتوكول إلى إيقاف التشغيل وإطلاق خطة استعادة.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
