اختراق العقد الذكي لـVestra DAO (VSTR) بعد أقل من شهر من إطلاقه – تعرّف على التفاصيل!
يبدو أن Vestra DAO تعرضت للاختراق. لاحظ المحللون على السلسلة نشاطاً مشبوهاً حيث تم نقل رموز VSTR، وهي رمز ERC-20 الأصلي للبروتوكول، من العقود الذكية المتاحة وإرسالها مباشرة إلى خلاط Tornado.
على الأقل تم سرقة رموز بقيمة 480 ألف دولار عند وقت التقارير. على الرغم من أن الهجوم الأولي كان صغيرًا نسبيًا، إلا أن الخطر ظل قائماً على المشاركين الآخرين. أول من لاحظ الثغرة هو الباحث في السلسلة شاوفان شو، حيث قدم نصيحة لجميع المستخدمين بسحب الأذونات.
تأثير على عقد تراكم VSTR
أُصيبت عقدة تراكم رمز VSTR بالضرر، حيث تمت تصفية الأموال فوراً وإرسالها إلى خلاط Tornado. بالنسبة لـVSTR، فإن أكثر من 65% من الرموز مغلقة لأغراض الحوكمة، مع أكثر من 34 مليار رموز.
يحتوي العقد الذكي المتأثر على 755 مليون رمز VSTR المتبقي، مما يشكل 1.51% من إجمالي العرض. وعلى الرغم من الهجوم على رمز صغير نسبيًا، إلا أن الانهيار اللاحق في السوق أدى إلى فقدان المزيد من القيمة من المشروع. في الوقت الحالي، قد تمتلك Vestra DAO كمية كافية من VSTR في احتياطياتها لتعويض المستخدمين، بينما تحاول إصلاح الضرر بسمعتها.
الانتظار لفترة قبل استغلال الثغرة
انتظر الشخص المستغل لمدة شهر قبل استغلال خلل في منطق العقود. باع المستغل بسرعة، حوافلاً بـ0.51 ETH لشركة Beaverbuild من أجل تضمينه في إحدى الكتل بأولوية. تأثرت العقدة المقفلة لـVestra DAO، حيث أرسلت رموز VSTR مباشرة.
لأوقات طويلة، أرسل المستغل معاملات مزعجة بحجم 520 ألف أو 500 ألف رمز VSTR إلى العقد، وفي النهاية تمت مبادلة ما قيمته الإجمالية 480 ألف دولار. استغل الهجوم خلل في منطق العقد، مما سمح للهاكر بتلقي 20,000 رمز VSTR بعد كل معاملة.
أظهرت تحليلات السلسلة أن المهاجم وضع رموز VSTR في العقد قبل 30 يومًا، وقام بمطالعتها ودراسة الخلل. ثم بدأت سلسلة تلقائية من المعاملات لاستخراج VSTR مع كل عملية تراكم وفك تراكم.
عمليات التحقق من البيانات عن كل إيداع وسحب لم تطلق أي تحذيرات، مما سمح للمهاجم بتفريغ العقد على مدى العديد من معاملات الإيداع والسحب. تحقق العقد من النضج مرة واحدة فقط، لكن الهكر كان قد أكمل الشرط بوضعه رموز قبل 30 يومًا.
تداعيات الهجوم
نتيجة الاستغلال كانت الحصول على 125 ETH، تم خلطها عبر Tornado Cash. أنفق المهاجم 40 ألف دولار على غاز Ethereum للقيام بالتبادل بأسرع وقت ممكن، أصبح لفترة وجيزة المستخدم الأكبر للغاز على السلسلة.
لم تصدر Vestra DAO تفاصيل دقيقة للهجوم وادعت أن أموال المستخدمين لم تتأثر. ومع ذلك، تم تفريغ العقد من رموزه VSTR، مما أثر بالقيمة من المشروع بوضوح.
الاختراق بعد شهر من إطلاق التداول
تعد Vestra DAO مشروعًا جديدًا نسبيًا، حيث يتداول رموز VSTR منذ 6 نوفمبر. الرمز متاح فقط في زوج تداول Uniswap V3.
أطلقت DAO اقتراحها الأول في 14 أكتوبر، وكان مرتبطًا ببيع مليار رمز من الخزانة الخاصة بالمشروع. لا يزال لدى رمز VSTR فقط 1,643 حامل، مما يجعل تأثير الاختراق محدودًا.
انهار الرمز فورًا بعد الهجوم، من $0.013 إلى $0.005. لاحقًا، ارتفع VSTR إلى $0.009 ولكنه لا يزال شديد النقص في السيولة وقابلية للتقلب. بالإضافة إلى الخسارة المباشرة، أزال VSTR أيضًا نصف قيمته السوقية.
في هذه المرحلة، قد يكون VSTR أكثر خطورة من رموز الميم المعروفة في المراحل المبكرة. الخطر الأكبر هو أن رموز VSTR لديها فقط $1.9M في السيولة، وهي غير مقفلة ويمكن استغلالها عبر سحب سجاد.
الخطر الآخر للمشروع هو أن عقوده تستدعي وظائف من عقود ذكية خارجية، مما يؤدي إلى تحذير عام على CoinGecko. ادعت Vestra DAO أنها قامت بإدراج عقد التراكم الخاص بها في القائمة السوداء، لكن لا يُعرف ما إذا كانت هناك ثغرات مماثلة لغيرها من العقود الذكية.
حتى بالنسبة للمشاريع التي تم تدقيقها، قد لا تكون العقود الذكية آمنة تمامًا وقد تحتوي على إمكانيات استغلال. قد يستعيد مشروع VestraDAO المبكر مكانته ويعزز مصداقيته.
ناشدت Vestra DAO مجتمع الكريبتو التركي، أحد أكثر المجموعات نشاطًا من المتبنين الأوائل. حتى أن للرمز VSTR سعر تحويل إلى الليرة التركية.
الأسئلة الشائعة
ما الذي تعرض له Vestra DAO؟
تعرضت Vestra DAO لاختراق حيث تم استغلال خلل في العقد الذكي لنقل رموز VSTR إلى خلاط Tornado، مما أدى إلى سرقة قيمتها 480 ألف دولار.
كيف حدثت عملية الاستغلال؟
المهاجم انتظر شهرًا لدراسة خلل في العقد ثم قام بعمليات متعددة من الإيداع والسحب غير المحتملة أو المشبوهة لاستخراج الرموز بسرعة كبيرة.
ما هي الخطوات التي اتخذتها Vestra DAO بعد الهجوم؟
لم تصدر Vestra DAO تفاصيل كاملة عن الهجوم لكنها ادّعت بوجود أموال المستخدمين سليمة وحاولت معالجة الضرر بسمعتها وتعويض المستخدمين المحتمل.
