تم اختراق Aave بواسطة عقد ثانوي — سرقة 56 ألف دولار من “صندوق البقشيش”!

تعرض عقد ثانوي في أكبر منصة إقراض في قطاع التمويل اللامركزي (DeFi)، Aave، للاختراق اليوم بمبلغ إجمالي قدره 56,000 دولار.

Aave، والذي يحتوي على أصول تزيد قيمتها عن 11 مليار دولار وفقًا لبيانات DeFiLlama، أوضح أن الهجوم الذي بدأ حوالي الساعة 04:30 بتوقيت جرينتش لم يعرض أموال المستخدمين للخطر. قام المؤسس ستاني كوليكوف ومندوب الحوكمة مارك زيلر بتهدئة المستخدمين عبر منصة X (تويتر سابقاً).

تحليل الاختراق

أشار تشافان شو من Fuzzland إلى أن سبب الاختراق يتعلق بمعاملات على أربع شبكات: إيثريوم، آربتروم، بوليجون، وأوبتيميست. وقدر أن إجمالي الأموال المعرضة للخطر يصل إلى حوالي 70,000 دولار.

وفقًا لتحليل شركة الأمن QuillAudits، بلغت الخسائر الناتجة عن الهجمات على الشبكات المذكورة حوالي 51,000 دولار، بينما تأثر هجوم آخر على شبكة أفالانش بحوالي 5,000 دولار. تم تحويل الأموال إلى عنوان تجميدي على جميع الشبكات.

تفاصيل العقد المتأثر

العقد المتأثر، ParaSwapRepayAdapter، ليس جزءًا من بروتوكول Aave الأساسي ويبدو أنه لم يتم مراجعته. يسمح هذا العقد للمستخدمين بسداد مواقف القروض باستخدام الضمانات الحالية عن طريق مقايضة الأصول عبر بورصة ParaSwap اللامركزية.

وعلى الرغم من أن العقد نفسه ليس مصممًا للاحتفاظ بأموال المستخدمين، إلا أن الانزلاق الإيجابي في المقايضات يؤدي إلى تراكم تدريجي لأي توكنات متبقية.

ردود الفعل

في رد على تساؤلات حول أصل الأموال المسروقة، قال مندوب Aave مارك زيلر: “لقد نهب أحدهم صندوق الإكراميات”.

في وقت لاحق، استجابت مختبرات BGD المساهمة في تطوير Aave بتفاصيل إضافية، مشيرة إلى أن الخسائر كانت محدودة بالعقود المتأثرة ولا يمكن أن تنتشر إلى البروتوكول الأوسع. كما أكدوا أنه لا يوجد خطر من هجوم متعلق بموافقة التوكنات.

خلافات في مجتمع DeFi

قبل يومين، اتهم مؤسس Euler Finance، مايكل بنتلي، فريق Aave بالتغطية على “مشاكل أمنية كبرى”، وذلك ردًا على سخرية كوليكوف من اختراق Euler بمبلغ 200 مليون دولار في مارس الماضي.

ظهرت هذه التعليقات مجددًا بعد أخبار اليوم، مما أدى إلى جدال بين بروتوكولي الإقراض. اتهم بنتلي فريق Aave بالاحتفال ونشر معلومات مغلوطة بعد سرقة Euler، وزعم أن Aave يتم التعامل معه بمعايير أمنية مختلفة من قبل المجتمع.

في نوفمبر 2023، أدى حادث أمني مُعلن إلى إيقاف عدد من تجمعات Aave، لكن التفاصيل الكاملة لم تُنشر بسبب القلق بشأن “الفوركات” المحتملة الضعيفة.

علاقات مضطربة

تعرضت العديد من فوركات Aave للاختراق في الماضي، مع قليل من التعاطف من البروتوكول الأصلي. أشار كوليكوف إلى تعليقه السابق بأنه كان “مزحة” وقلل من أهمية حدث اليوم بأنه كان “مجرد صندوق إكراميات”. وعبر عن استيائه من حديث بنتلي عن Euler v2 قائلاً: “قم ببنائه وابتعد”.

ليس Aave غريبًا عن العلاقات المتوترة مع منظمات أخرى في مجال DeFi؛ في وقت سابق من هذا العام، قرر فريق إدارة المخاطر Gauntlet مغادرة البروتوكول بعد تصاعد التوترات.