🚀 Trade Smarter with Beirman Capital!
Join one of the most trusted Forex & CFD brokers. Get tight spreads, fast execution, and expert support.
تواجه USPD خرقًا أمنيًا خطيرًا بعد أن تمكن مهاجم بهدوء من السيطرة على عقد الوكيل الخاص بها قبل أشهر واستخدم هذا الوصول لإنشاء رموز جديدة واستنزاف الأموال.
ملخص
- تعرضت USPD لاستغلال بعد أن استولى أحد المهاجمين على حقوق مسؤول الوكيل أثناء النشر.
- أدى الاختراق إلى سك USPD غير مصرح به وتدفقات stETH بقيمة حوالي مليون دولار.
- تضاف هذه الحادثة إلى شهر من الاستغلالات الكبرى التي أثرت على البورصات وبروتوكولات التمويل اللامركزي.
كشفت USPD عن الحادثة في 5 ديسمبر، قائلةً إن الاستغلال سمح للمهاجم بسك نحو 98 مليون USPD وسحب حوالي 232 stETH، بقيمة مليون دولار تقريبًا. وحثّ الفريق المستخدمين على عدم شراء الرمز وإلغاء الموافقات حتى إشعار آخر.
استخدم المهاجمون التحكم بالوكيل المخفي
أكد البروتوكول أن منطق العقود الذكية المُدقَّق لم يكن سبب العطل. وذكرت USPD أن شركات مثل Nethermind وResonance راجعت الشيفرة البرمجية، وأكدت الاختبارات الداخلية السلوك المتوقع. بدلاً من ذلك، جاء الاختراق مما وصفه الفريق بهجوم "CPIMP"، وهو تكتيك يستهدف فترة نشر عقد وكيل.
وفقًا لـ USPD، نفّذ المهاجم عملية التهيئة مسبقًا في 16 سبتمبر باستخدام معاملة Multicall3. قفز المهاجم قبل انتهاء نص النشر، واستولى على صلاحيات المسؤول، وأدخل تطبيق وكيل مخفي.
من أجل إبقاء الإعداد الخبيث مخفيًا عن المستخدمين والمراجعين وحتى Etherscan، قامت النسخة الظلية بتوجيه المكالمات إلى العقد الذي تم تدقيقه.
نجح التمويه لأن المهاجم تلاعب ببيانات الحدث وزيّف منافذ التخزين بحيث عرض مستكشفو الكتل التنفيذ الصحيح. هذا ترك المهاجم مسيطرًا تمامًا لأشهر حتى قام بتحديث الوكيل ونفذ حدث التكسير الذي استنزف البروتوكول.
صرحت USPD بأنها تعمل مع جهات إنفاذ القانون وباحثي الأمن وكبرى منصات التداول لتتبع الأموال ووقف أي حركة أخرى. وعرض الفريق على المهاجم فرصة استعادة 90% من الأصول بموجب نظام مكافآت قياسي، مؤكدًا أنه سيتعامل مع هذا الإجراء على أنه استرداد غير قانوني في حال إعادة الأموال.
استغلال يضيف إلى شهر من العمل الشاق
يأتي حادث USPD خلال واحدة من الفترات النشطة الأخرى للاستغلالات هذا العام، حيث تجاوزت الخسائر في شهر ديسمبر بالفعل 100 مليون دولار.
أكدت منصة Upbit، إحدى أكبر منصات التداول في كوريا الجنوبية، اختراقًا بقيمة 30 مليون دولار مرتبط بمجموعة Lazarus في وقت سابق من هذا الأسبوع. ويقول المحققون إن المهاجمين انتحلوا صفة مسؤولين داخليين للحصول على بيانات، مما يُواصل نمطًا دفع عمليات السرقة المرتبطة بمجموعة Lazarus إلى تجاوز مليار دولار هذا العام.
واجهت شركة Yearn Finance أيضًا ثغرة أمنية في أوائل ديسمبر، أثرت على عقد رمز yETH القديم. استخدم المهاجمون ثغرة أمنية سمحت بإصدار عدد غير محدود من الرموز، ما أدى إلى إنتاج تريليونات من الرموز في معاملة واحدة، واستنزاف حوالي 9 ملايين دولار من قيمتها.
يُسلّط هذا التواتر من الحوادث الضوء على تزايد تعقيد الهجمات المُركّزة على التمويل اللامركزي (DeFi)، لا سيما تلك التي تستهدف عقود الوكلاء ومفاتيح الإدارة والأنظمة القديمة. وتُشير فرق الأمن إلى تزايد الاهتمام بأدوات الحوسبة اللامركزية متعددة الأطراف وأطر النشر المُعزّزة، حيث تسعى البروتوكولات إلى الحدّ من تأثير الأعطال في نقطة واحدة.
Beirman Capital – Your Gateway to Global Markets
Trade Forex, Commodities & Indices with confidence. Join traders worldwide who trust Beirman Capital.
