تواجه Stake DAO، وهي منصة للتمويل اللامركزي (DeFi) تركز على استراتيجيات عائد آلية، استغلالًا متواصلًا بعد أن قام مهاجم بإصدار أكثر من 5.4 تريليون رمز vsdCRV على شبكة Arbitrum، وقام على نحو نشط بتبديلها مقابل ETH. وذكرت عدة شركات متخصصة في أمن البلوكتشين الأربعاء أن المهاجم يتعامل معها بهذه الطريقة. ويُرجَّح أن السبب الجذري هو اختراق مفتاح المطوّر الخاص (private key) الخاص بـ Stake DAO، ما سمح للمهاجم بالتلاعب بإعدادات جسر vsdCRV عبر السلاسل. وتضاف هذه الحادثة إلى موجة متصاعدة من استغلالات DeFi منذ أبريل/نيسان، حيث سُرق أكثر من 600 مليون دولار عبر عشرات البروتوكولات، بما في ذلك استغلال بقيمة 292 مليون دولار لدى Kelp DAO، في وقت يبدو أن التطورات في الذكاء الاصطناعي تقود إلى زيادة تعقيد أساليب الهجوم.
تفاصيل تقنية حول الاستغلال
أفاد Blockaid بأن المهاجم أصدر أكثر من 5.4 تريليون رمز vsdCRV على Arbitrum، وهو يقوم حاليًا بتبديلها مقابل ETH. وأشار PeckShield إلى أنه تم تبديل وجسر 43.78 ETH (بقيمة 91,000 دولار) من الرموز إلى Ethereum. ويمثل vsdCRV، أو رمز sdCRV المعزَّز بالتصويت (vote-boosted sdCRV)، أصلًا مشتقًا مرتبطًا بالعائد في منظومة Curve Finance، ويُستخدم داخل Stake DAO.
وأوضح BlockSec أن المهاجم يبدو أنه حصل على المفتاح الخاص بالمطوّر (deployer) وأنه ضبط نظيرًا (peer) تعسفيًا لـ vsdCRV. وقال BlockSec: "باستخدام ذلك النظير، صاغوا رسالة خبيثة أدت إلى إصدار غير مشروط بنحو ~5.44T من vsdCRV إلى عنوانهم."
صرّح المؤسس المشارك لشركة Sodot، ومدير المنتجات (CPO) شاليف كيرين (Shalev Keren) لـ The Block بأن "مفتاح مُطوّر Stake DAO على Arbitrum استُخدم لإعادة توجيه إعدادات جسر vsdCRV عبر السلاسل إلى عقد يتحكم به المهاجم على Ethereum، وبعد نحو خمسة وعشرين ثانية، أرسل ذلك العقد رسالة من نوع LayerZero عبر الشبكة، ما أدى إلى إصدار الرمز الشرعي على Arbitrum بأكثر من خمسة تريليون vsdCRV للمهاجم، الذي يقوم الآن ببيعها مقابل ETH." وأضاف كيرين أن "لا توجد هنا ثغرة في العقود الذكية، ولا يوجد خلل في LayerZero؛ المشكلة هي مفتاح خاص واحد يتحكم بوظيفة إعداد امتيازية واحدة، دون multisig وبدون تأخير بين تنفيذ تغيير الإعداد وبين اكتمال عملية الإصدار على السلسلة (mint clearing) علىchain."
الرد الرسمي
قالت Stake DAO إنها كانت على علم بالحالة، وحثّت المستخدمين على عدم التفاعل مع vsdCRV.
تحليل أمني
أخبر شاليف كيرين The Block أن استغلال Stake DAO يشبه بنيويًا حادث Wasabi في الشهر الماضي، إضافةً إلى عدة حالات اختراق لمفاتيح المطورين الخاصة هذا العام. وأضاف كيرين أن الحادثة تُبرز مخاوف أوسع تتعلق بالأمن التشغيلي، وتركيز صلاحيات المطور المتميزة المرتبطة ببروتوكولات DeFi التي خضعت للتدقيق.
وفي الثلاثاء، قال Manuel Aráoz من شركة OpenZeppelin لأمن التشفير إنه يعتبر "كل DeFi" غير آمن، مستشهدًا باللا تماثل بين المهاجمين والمدافعين.
سياق أوسع
يستمر الاستغلال في واحد من أسوأ فترات استغلالات DeFi، ويبدو أنه مدفوع بالتطورات في الذكاء الاصطناعي، مع اختراق عشرات البروتوكولات لأكثر من 600 مليون دولار منذ أبريل/نيسان، يقودها استغلال Kelp DAO البالغ 292 مليون دولار.
هذه قصة تتطور.
