في 27 مايو، تعرضت منصة التمويل اللامركزي Stake DAO لاستغلال يسمح بإنشاء غير محدود (Infinite-Minting) على بروتوكولها في Arbitrum. ومع ذلك، تمكن المساهمون الأساسيون في Stake DAO بسرعة من تأمين أموال الشبكة الرئيسية التي تدعم الرموز، وإغلاق جسر vsdCRV، والنجاح في احتواء الاستغلال.
- أبرز النقاط:
-
- تعرضت Stake DAO لاستغلال يسمح بإنشاء غير محدود على Arbitrum في 27 مايو، ويُفترض أنه جعل المهاجم يستنزف 91,000 دولار في أصول رقمية.
-
- أسهم الاختراق في جدل واسع الانتشار حول أمن DeFi أثاره المؤسس المشارك لشركة Openzeppelin Manuel Aráoz.
-
- تعتزم Stake DAO إيقاف سوق asdCRV Llamalend على Arbitrum بشكل تدريجي، والتعاون مع جهات إنفاذ القانون.
ثغرة إنشاء غير محدود تُشعل استغلالاً
أكدت منصة التمويل اللامركزي (DeFi) Stake DAO في 27 مايو أن بروتوكولها على شبكة طبقة 2 Arbitrum تعرض لهجوم استغلالي، ما أتاح لطرف غير مخول إنشاء تريليونات من الرموز الاصطناعية بشكل خبيث. وبحسب نتائج أولية لشركة أمن بلوكتشين Blockaid، استغل المهاجم ثغرة مرتبطة بمنطق قبو vsdCRV في Stake DAO، إلى جانب نظام توزيع المكافآت الآلي.
تقبل العقد انتقال حالة غير صالح، ما أدى إلى فشل محاسبي داخلي حاد. وقد سمح هذا الثغرة للمهاجم بتضخيم المعروض من vsdCRV بمقدار 5.4 تريليون وحدة. تشير بعض التقارير إلى أن المهاجم تمكن من استنزاف ما يقارب 91,000 دولار من الأصول الرقمية القابلة للتحويل من مجمعات السيولة المتأثرة قبل تحديد المشكلة وإيقافها.
تحرك مساهمو Stake DAO الأساسيون بسرعة للتخفيف من أي أضرار إضافية، وأعلنوا أنهم نجحوا في تأمين دعم vsdCRV على شبكة Ethereum الرئيسية. وبسبب سرعة احتواء المشكلة، أكد مسؤولو البروتوكول أنه لا يمكن الاستيلاء على أموال الشبكة الرئيسية من قبل المهاجم. إضافة إلى ذلك، عطلت الحملة جسر vsdCRV، وتمكنت من حصر الأثر الاقتصادي للاستغلال ضمن منظومة Arbitrum.
قالت Stake DAO في بيان نُشر عبر منصة التواصل الاجتماعي X: “استنادًا إلى تقييمنا الحالي، فإن العوائد المعززة (Boosted yields)، وLiquid Lockers، وVotemarket وSantake DAO للإقراض على Morpho غير متأثرة”.
أشارت المنصة، مع ذلك، إلى أن سوق Arbitrum asdCRV Llamalend سيتم إيقافه بشكل دائم عقب الحادث. ونصحت Stake DAO المستخدمين بعدم التعامل مع عقود vsdCRV، وتحث مُودعي crvUSD على نقل رؤوس أموالهم إلى أسواق بديلة غير متأثرة من أسواق Llamalend.
منعطف حرج لأمن DeFi
تم إخطار جهات إنفاذ القانون، وقالت Stake DAO إنها تتعاون مع شركاء أمن خارجيين لتتبع تدفق الأصول المسروقة وإجراء تدقيق جنائي شامل للعقود الذكية المخترقة.
تأتي توقيت الحادث بينما يحاول النظام البيئي الأوسع لـ DeFi رد الاعتبار أمام أطروحة فيروسية شائعة أطلقها المؤسس المشارك لـ Openzeppelin Manuel Aráoz، والذي أكد مؤخراً أن “جميع DeFi غير آمن”. صدمت التقييمات القاتمة التي قدمها Aráoz العاملين في القطاع، ما أجبرهم على مواجهة واقع في صناعة أنهكها بالفعل موجة من استغلالات البروتوكولات ونقاط الضعف البنيوية. ويؤكد استغلال Stake DAO صحة أطروحة Aráoz، ما يعقد جهود الصناعة لاستعادة الثقة لدى المؤسسات والمتعاملين الأفراد.
دفعت هذه الأطروحة Openzeppelin إلى إصدار بيان تنأى فيه عن Aráoz، الذي قالت الشركة إنه غادر المنظمة في عام 2019. كما تناولت Openzeppelin المخاوف الرئيسية التي أثارها Aráoz، مع الاعتراف بأن الذكاء الاصطناعي يُعد فعلاً مساراً حقيقياً للتهديد، لكنه أيضاً أداة دفاعية قوية عند استخدامه “بصرامة وبحكم بشري خبرة”.
قالت Openzeppelin في بيان: “يستخدم باحثونا الذكاء الاصطناعي يومياً لالتقاط المزيد من المشكلات وحالات الحواف (edge cases).” وأضافت: “إن الإجابة عن مخاطر الذكاء الاصطناعي ليست الانسحاب من DeFi. بل هي الأمان الأفضل”.
وعند الحديث عن موجة حوادث الأمن الأخيرة، شددت Openzeppelin على أن الكثير منها يمكن إرجاعه إلى إخفاقات في أمن العمليات (operational security)، وليس إلى أخطاء في العقود الذكية.
