أعلنت منصة Aperture Finance عن تعرضها لثغرة أمنية كبيرة أثرت على عقودها الذكية من الإصدارين V3 و V4. وأوضح الفريق أن المهاجمين استغلوا خللاً في أحد العقود لسحب أموال المستخدمين. وقع هذا الاستغلال عبر عدة سلاسل كتل تشمل Ethereum و BNB Chain و Arbitrum و Base.
حجم الخسائر وطريقة الهجوم
تشير التقديرات الأمنية إلى أن إجمالي الخسائر يقارب 17 مليون دولار. لم يعتمد الهجوم على القروض الفورية، بل استغل “الموافقات” السابقة للمحافظ. وهذا يعني أن المستخدمين الذين وافقوا سابقاً على التفويض للعقد المتضرر كانوا معرضين للخطر، حتى لو لم يكونوا يتداولون بنشاط في وقت الهجوم. بعد اكتشاف المشكلة، أوقفت المنصة ميزات رئيسية في واجهتها الأمامية لوقف الموافقات الجديدة ومنع مزيد من الضرر.
السبب وراء الاختراق
كشف التحليل المبكر عن مشكلة في التحقق من صحة المدخلات داخل العقود المتضررة. سمحت هذه الثغرة للمهاجمين بتنفيذ عمليات استدعاء خارجية عشوائية، مما مكن العقد من تحويل أموال المستخدمين المفوضة دون الفحوصات المناسبة. يركز هذا النوع من الهجمات على صلاحيات التفويض وليس على أحجام السيولة في البروتوكولات. بمجرد منح المحفظة التفويض، يمكن للعقد التصرف نيابة عنها، وإذا أصبح هذا العقد غير آمن، تصبح الأموال مكشوفة.
رد فعل الفريق والتحقيق
نشرت Aperture Finance تنبيهاً عاجلاً على منصة X، مؤكدة إيقاف الوظائف الأساسية في الواجهة الأمامية. وأعلنت أنها تتعاون مع شركاء أمنيين خارجيين للتحقيق في السبب الجذري. وعد المشروع بنشر تقرير مفصل بعد التحقق من جميع الحقائق، مع تقديم المزيد من التحديثات أثناء استمرار التحقيق. ورددت شركات أمنية مثل Blockaid و TenArmor التحذير، مصنفة الحادث على أنه هجوم استنزاف قائم على التفويض.
ما الذي يجب على المستخدمين فعله الآن
ناشدت Aperture Finance جميع المستخدمين سحب التفويضات فوراً للعقد الضعيف على شبكة Ethereum الرئيسية. يمكن القيام بذلك باستخدام أدوات مثل Etherscan أو Revoke.cash. يجب على أي شخص تفاعل مع الإصدارين V3 أو V4 في الماضي اتخاذ هذه الخطوة، حتى لو لم يعد نشطاً. وحتى يؤكد الفريق إصلاح المشكلة، يجب تجنب أي تفاعلات جديدة مع عقود Aperture Finance، حيث يمكن أن تعرض الموافقات الجديدة المحافظ للمزيد من المخاطر.
يُسلط هذا الحادث الضوء على مشكلة متزايدة في مجال التمويل اللامركزي DeFi، حيث تستهدف العديد من الهجمات الآن منطق الصلاحيات بدلاً من أرصدة المجمعات. نتيجة لذلك، أصبح الحفاظ على “نظافة التفويضات” بنفس أهمية اختيار البروتوكولات الآمنة. الرسالة حالياً واضحة: اسحب التفويضات، لا تتفاعل مع المنصة، وانتظر التحديثات الرسمية من الفريق.
الأسئلة الشائعة
ما الذي حدث بالضبط في حادث Aperture Finance؟
تعرضت منصة Aperture Finance لثغرة أمنية في عقودها الذكية، استغل فيها المهاجمون خللاً تقنياً لسحب أموال المستخدمين الذين منحوا سابقاً التفويض لتلك العقود.
كيف يمكنني حماية أموالي؟
يجب عليك سحب التفويضات (Revoke Approvals) فوراً للعقد المتضرر على شبكة Ethereum باستخدام أدوات مثل Etherscan، وتجنب أي تفاعل جديد مع عقود المنصة حتى إشعار آخر.
ما هو الدرس المستفاد من هذا الهجوم؟
الهجوم يؤكد أهمية مراجعة وإدارة التفويضات التي تمنحها لعقود الذكية بانتظام، حيث أصبحت هدفاً رئيسياً للمهاجمين في عالم DeFi، إلى جانب ضرورة اختيار المشاريع الآمنة.
