استغل مهاجم مفتاح نشر مخترق على StakeDAO لسك 5.4 تريليون رمز vsdCRV على شبكة Arbitrum — لكن السيولة الضعيفة حالت دون تحقيق أرباح تتجاوز 91 ألف دولار. الحادثة التي وقعت مؤخرًا هي الأحدث في سلسلة اختراقات التمويل اللامركزي (DeFi) التي منحت فيها مفاتيح خاصة مسروقة للمهاجمين سيطرة شبه كاملة.
الاختراق: مفتاح واحد، سك هائل
تمكن المهاجم من الوصول إلى مفتاح النشر — وهو مفتاح خاص بصلاحيات مرتفعة داخل نظام العقود الذكية لـStakeDAO. باستخدام هذا المفتاح، صرح بعملية سك 5.4 تريليون رمز vsdCRV، وهو رمز يشبه العملات المستقرة ومرتبط بـCRV الخاص بـCurve DAO. على الورق، كانت الكمية المسكوكة فلكية. عمليًا، تحويل هذا السيل الهائل من الرموز إلى نقد أثبت استحالة شبه مطلقة.
StakeDAO هو بروتوكول لتحسين العوائد مبني على Curve Finance. يمثل رمز vsdCRV مركزًا مراهنًا في مجمعات السيولة الخاصة بـCurve. بسك تريليونات منه، خلق المهاجم فعليًا جبلًا من الرموز دون مشترين طبيعيين.
لماذا خرج المهاجم بمعادل الجيب الصغير
السيولة لـvsdCRV على Arbitrum ضحلة. عندما حاول المهاجم استبدال حتى جزء صغير من الرموز المسكوكة بأصول أكثر سيولة مثل USDC أو ETH، انهار السعر. إجمالي الربح المحقق — المبلغ الذي تمكن المهاجم بالفعل من سحبه — بلغ 91 ألف دولار فقط قبل إعادة تسعير السوق أو اكتشاف الاختراق.
هذا الحصاد الضئيل مقارنة بحجم السك يسلط الضوء على ثغرة تعمل في كلا الاتجاهين: السيولة المنخفضة تحمي البروتوكولات من عمليات السحب الهائلة الفورية، لكنها تعني أيضًا أن المستخدمين الشرعيين يواجهون انزلاقًا سعريًا وخيارات خروج محدودة.
لم تكشف StakeDAO علنًا ما إذا تم استرداد الـ91 ألف دولار المسروقة أو إذا كان البروتوكول يخطط لتعويض المستخدمين المتضررين. تم إلغاء صلاحية مفتاح النشر المخترق، حسبما ذكرت الشركة في بيان مختصر، لكن التفاصيل حول كيفية اختراق المفتاح في البداية لا تزال غير واضحة.
المفاتيح المخترقة: صداع متكرر في DeFi
هذه ليست حالة منفردة. عبر نظام DeFi البيئي، استغل المهاجمون مرارًا مفاتيح خاصة مخترقة — من مفاتيح النشر إلى توقيعات الإدارة المتعددة — لسحب الأموال من البروتوكولات. في عام 2024 وحده، تبع العديد من الاختراقات الكبيرة النمط نفسه: مفتاح واحد مسرب أعطى المهاجم القدرة على سك الرموز أو سحب الأموال أو إيقاف العقود.
المشكلة هيكلية. تعتمد بروتوكولات DeFi غالبًا على حفنة من المفاتيح ذات الصلاحيات لإدارة الترقيات والوظائف الطارئة. إذا كانت تلك المفاتيح موجودة على محافظ ساخنة أو حواسيب المطورين أو على بنية تحتية سحابية دون أمان قوي، فإنها تصبح نقطة فشل واحدة.
أوصت شركات الأمن منذ فترة طويلة باستخدام التوقيع المعتمد على الأجهزة والحوسبة متعددة الأطراف والأقفال الزمنية لتقليل المخاطر. لكن العديد من البروتوكولات لا تزال تعمل بمفاتيح تبعدها رسالة تصيد واحدة أو جهاز واحد مخترق عن السرقة.
ربما يكون الربح المحدود لمهاجم StakeDAO عزاءً باردًا. السؤال الأوسع — كيفية جعل إدارة المفاتيح ذات الصلاحيات محصنة — لا يزال بلا إجابة. حتى تجد الصناعة حلاً قابلًا للتوسع، فإن المفتاح التالي للنشر المُخترق قد يحقق أرباحًا أكبر بكثير.
