هاجم أحد المخترقين منصة StakeDAO على شبكة Arbitrum، وقام بسك أكثر من 5.4 تريليون رمز من عملة vsdCRV، لكنه لم يتمكن من تحويل سوى حوالي 91 ألف دولار فقط منها إلى نقد بسبب ضعف السيولة في السوق.
تفاصيل الهجوم
قالت شركة PeckShield لأمن البلوكتشين يوم الأربعاء إن المخترق استبدل جزءًا من عملات vsdCRV التي سكها بحوالي 43.7 إيثر (ETH) قيمتها 91 ألف دولار تقريبًا، ثم نقل الأموال إلى شبكة إيثريوم. وأوضح محلل البلوكتشين EmberCN أن المخترق استبدل حوالي 16.83 مليون رمز vsdCRV فقط، بينما لم تكن للرموز المتبقية سيولة كافية لتحويلها.
قدّر EmberCN القيمة الاسمية لـ 5.4 تريليون vsdCRV بحوالي 763 مليار دولار، لكن هذا الرقم لا يمثل الربح الفعلي للمخترق ولا الخسارة المؤكدة للمنصة.
الفرق بين القيمة الاسمية والقيمة الحقيقية
تكشف هذه الحادثة الفجوة بين القيمة الاسمية للرموز الرقمية وقيمتها القابلة للتحويل في اختراقات التمويل اللامركزي (DeFi)، حيث يمكن للمخترقين سك كميات هائلة من الرموز لكنهم لا يستطيعون صرفها إلا بقدر ما تسمح به السيولة المتاحة. في هذه الحالة، كانت أرباح المخترق محدودة بسبب صغر حجم مجمعات السيولة لعملة vsdCRV.
تحذير من StakeDAO
أكدت منصة StakeDAO علمها بالحادثة وحذرت مستخدميها من التعامل مع عملة vsdCRV في الوقت الحالي.
اختراق مفتاح النشر (Deployer Key)
صرح شاليف كيرين، الرئيس التنفيذي للمنتجات والشريك المؤسس لشركة Sodot لإدارة المفاتيح المشفرة، أن حادثة StakeDAO “مشابهة من الناحية الهيكلية” لاختراقات مفاتيح النشر الأخرى التي حدثت هذا العام، بما في ذلك حادثة منصة Wasabi الشهر الماضي التي سرقت حوالي 5.5 مليون دولار من العملات المشفرة.
قال كيرين إن مفتاح نشر واحد لمنصة StakeDAO على شبكة Arbitrum تم استخدامه لتغيير إعدادات جسر vsdCRV cross-chain ليتجه إلى عقد يتحكم به المخترق على شبكة إيثريوم. بعد حوالي 25 ثانية، أرسل هذا العقد رسالة عبر بروتوكول LayerZero عائدة إلى Arbitrum، مما تسبب في سك أكثر من 5 تريليون رمز vsdCRV لصالح المخترق.
وأضاف كيرين: “لا يوجد خطأ في العقود الذكية ولا خلل في بروتوكول LayerZero. المشكلة تكمن في مفتاح خاص واحد يتحكم في وظيفة تكوين واحدة، بدون توقيع متعدد (Multi-Sig) وبدون أي تأخير بين تغيير الإعداد وعملية السك على السلسلة”.
أوضح كيرين أن المشكلة الأكبر لبروتوكولات التمويل اللامركزي في 2026 لم تعد تقتصر على تدقيق العقود فقط، بل أصبحت تشمل المفاتيح التشغيلية التي تتحكم في هذه العقود، والتي تظل نقطة فشل واحدة.
أسئلة وأجوبة شائعة
- س: كم سرق المخترق من منصة StakeDAO؟
ج: تمكن المخترق من تحويل حوالي 91 ألف دولار فقط من أصل أكثر من 5.4 تريليون رمز vsdCRV قام بسكها، وذلك بسبب ضعف السيولة في السوق. - س: كيف تمكن المخترق من تنفيذ الهجوم؟
ج: استخدم المخترق مفتاح نشر (deployer key) واحدًا على شبكة Arbitrum لتغيير إعدادات الجسر إلى عقد يتحكم به على شبكة إيثريوم، مما سمح له بسك كميات هائلة من الرموز دون الحاجة لاختراق العقود الذكية نفسها. - س: ما الدرس المستفاد من هذه الحادثة لبروتوكولات DeFi؟
ج: توضح الحادثة أن المفاتيح التشغيلية (operational keys) تمثل نقطة فشل واحدة خطيرة، وأنه يجب استخدام التوقيع المتعدد (Multi-Sig) وإضافة تأخير زمني بين تغييرات الإعدادات وعمليات السك لمنع مثل هذه الاختراقات.
