يخسر Fluid مبلغ 215000 دولار أمريكي في استغلال نظام المكافآت بعد اختراق المفتاح

خسر بروتوكول التمويل اللامركزي Fluid ما يقرب من 215000 دولار بعد استغلال نظام توزيع المكافآت القائم على Ethereum في وقت سابق من هذا الأسبوع، وفقًا لتقرير صادر عن منصة BlackHart لاستخبارات مخاطر DeFi. نشأ الحادث عن مفاتيح تشغيلية معرضة للخطر وليس عن خلل في كود العقد الذكي الأساسي.

كيف تكشفت الاستغلال

تمكن المهاجم من السيطرة على مفتاحين تشغيليين يستخدمان لإنشاء قوائم المكافآت والموافقة عليها ضمن البروتوكول. وباستخدام هذا الوصول، قاموا بالتسجيل والموافقة على قائمة المكافآت التي توجه جميع التوزيعات إلى عنوان واحد تحت سيطرتهم. ثم تمت المطالبة بالأموال ونقلها بسرعة. وأكد فلويد أن الاستغلال لم يؤثر على أسواق الإقراض أو الخزائن أو البورصة اللامركزية أو ودائع المستخدمين.

تضمنت الأصول المسروقة 112,883 من رموز FLUID، و47,903 من رموز GHO، وكمية صغيرة من CBTC. قام المهاجم باستبدال هذه الأصول بـ Ether ونقل العائدات من خلال Tornado Cash، وهي أداة خصوصية تُستخدم عادةً للتعتيم على مسارات المعاملات.

الاستجابة والعلاج

صرحت شركة Fluid بأنها استبدلت المفاتيح المخترقة ونقلت أموال المكافأة المتبقية إلى عنوان آمن. وشدد المشروع على أن الحادث تم احتواؤه في نظام توزيع المكافآت وأن وظائف البروتوكول الأساسية تظل عاملة. يسلط هذا الاستغلال الضوء على ثغرة أمنية مستمرة في DeFi: أمن البنية التحتية التشغيلية خارج السلسلة.

لماذا هذا مهم لمستخدمي DeFi

في حين أن عمليات تدقيق العقود الذكية هي ممارسة قياسية، فإن حادثة Fluid تؤكد أن الإدارة الرئيسية لها نفس القدر من الأهمية. يمكن للمفاتيح الإدارية المخترقة تجاوز حتى التعليمات البرمجية الأكثر تدقيقًا. بالنسبة للمستخدمين، يعزز هذا الحدث أهمية البروتوكولات التي تستخدم حوكمة التوقيع المتعدد، والأقفال الزمنية، والإدارة الرئيسية اللامركزية لتقليل نقاط الفشل الفردية.

يؤدي استخدام Tornado Cash في غسل الأموال المسروقة أيضًا إلى تجدد الاهتمام بالتدقيق التنظيمي حول أدوات الخصوصية، خاصة بعد العقوبات الأمريكية ضد المنصة في عام 2022. وقد يؤدي الحادث إلى مزيد من النقاش حول كيف يمكن لبروتوكولات التمويل اللامركزي أن توازن بين الشفافية والأمن التشغيلي.

الاستنتاج

يعد استغلال Fluid بمثابة تذكير بأن أمان DeFi يمتد إلى ما هو أبعد من عمليات تدقيق العقود الذكية. ومع نضوج الصناعة، ستكون ممارسات الإدارة الرئيسية والأمن التشغيلي القوية ضرورية للحفاظ على ثقة المستخدم ومنع الانتهاكات المماثلة. اتخذت شركة Fluid إجراءات تصحيحية فورية، لكن الحادث يضاف إلى قائمة متزايدة من الهجمات التي تستهدف البنية التحتية الإدارية بدلاً من الثغرات الأمنية في التعليمات البرمجية.

الأسئلة الشائعة

س1: هل كان استغلال السوائل ناتجًا عن خطأ في العقد الذكي؟ لا. قام المهاجم باختراق مفتاحين تشغيليين يستخدمان لإنشاء قوائم المكافآت والموافقة عليها، وليس ثغرة أمنية في رمز العقد الذكي نفسه.

السؤال الثاني: هل تأثرت ودائع المستخدمين أو أسواق الإقراض؟ أكدت شركة Fluid أن أسواق الإقراض والخزائن والبورصة المباشرة وودائع المستخدمين لم تتأثر. تم استغلال نظام توزيع المكافآت فقط.

س 3: كيف قام المهاجم بغسل الأموال المسروقة؟ قام المهاجم باستبدال الأصول المسروقة بـ Ether ونقلها من خلال Tornado Cash، وهو مزيج خصوصية يحجب مسارات المعاملات.