عقد StakeDAO على Arbitrum متأثر باستغلال 5.4 تريليون vsdCRV
مشاعر الذكاء الاصطناعي: 12/100 هابط
يُنشأ هذا التقييم من خلال تحليل مدعوم بالذكاء الاصطناعي لمحتوى المقال.
بتقنية
بيع أي مراكز متعلقة بـ vsdCRV (رمز vsdCRV أو أي تعرض لمشتقات StakeDAO على Arbitrum). يظهر العقد فشلًا محاسبيًا من نوع "سكّ لانهائي" أدى إلى إنشاء نحو 5.4T vsdCRV ومكّن خروج تدفقات بحوالي $91k. هذا النوع من الأخطاء عادةً ما يعني أن محاسبة الحصص/المكافآت للرمز غير موثوقة حتى يثبت إصلاح كامل للعقد وتنفيذ ترحيل.
المخاطر الرئيسية: تصحيح سريع وموثوق بالإضافة إلى ترحيل نظيف يعيد آلية السكّ الصحيحة ويجعل السوق يثق أن vsdCRV قابلة للاسترداد بالكامل مرة أخرى.
قم ببيع مكشوف لمخاطر مشتقات الرهان المرتبطة بـ Curve/Arbitrum عبر بيع التعرض للسيولة المرتبطة بـ CRV (مثل رموز LP أو حصص الخزنات التي تعتمد على مشتقات رهان قائمة على Curve). كان مسار الاستغلال عبر مراكز سيولة مرتبطة بـ Curve ومشتقات الرهان؛ إذا أمكن التلاعب بمحاسبة خزنة واحدة، فقد تشهد الخزنات المشتقة المترابطة انفصالًا في السعر/ضغوط سحب وتراجعًا في السيولة.
المخاطر الرئيسية: احتواء الحادث ليبقى محصورًا بعقد vsdCRV الخاص بـ StakeDAO دون انتقال إلى خزائن أخرى قائمة على Curve ودون تأثير ذي أهمية على السيولة/السعر.
- الهجوم ضَخّم معروض vsdCRV عبر ثغرة في إصدار العقد.
- تم سحب نحو $91K خلال نشاط الاستغلال.
- تنشأ المشكلة من خلل في محاسبة الرهان على منصة Arbitrum.
تعرّضت بنية StakeDAO التحتية على Arbitrum لحادث أمني، حيث حدَّد الباحثون نشاطًا غير طبيعي مرتبطًا بعقد vsdCRV الخاص بها.
يرتبط الاستغلال بثغرة يُشتبه بأنها تتيح سكًّا لا نهائيًا قد سمحت بإنشاء معروض ضخم من رموز الستاكينغ الاصطناعية، ويُقدّر أن ذلك شمل حوالي 5.4 تريليون وحدة vsdCRV.
تشير التتبعات المبكرة أيضًا إلى أن نحو $91,000 من الأموال سُحبت خلال الحادث.
تم اكتشاف النشاط في البداية من خلال سلوك غير عادي على السلسلة يتعلق بمشتقات الرهان المرتبطة بمراكز سيولة قائمة على Curve.
We are aware of the ongoing situation.
— Stake DAO (@StakeDAOHQ) May 27, 2026
Please do not interact with vsdCRV. https://t.co/3wZhMo52r6
حركات الرموز غير النظامية لم تتطابق مع أنماط توزيع المكافآت المتوقعة، مما دفع إلى مراجعة أعمق لبنية العقد.
الاستغلال يتركز على سكّ vsdCRV ومنطق الخزائن
النظام المتأثر هو آلية vsdCRV الخاصة بـ StakeDAO، وهي مشتق رهان سائل مرتبط بمراكز على Curve Finance.
في هذا الإعداد، يودع المستخدمون CRV أو أصولًا مرتبطة بـ CRV ويتلقون رموز vsdCRV التي تمثّل حصتهم من قوة الرهان والمكافآت.
وفقًا لتحليل على السلسلة، يبدو أن الثغرة تنبع من إطار إصدار الرموز ومخطط المحاسبة المستخدم من قبل العقد المنشور على Arbitrum.
يعتقد الباحثون أن الخلل قد أوجد سيناريو "سكّ لانهائي" حيث فشل البروتوكول في تقييد إصدار الرموز بشكل صحيح.
يمكن أن تظهر هذه النوعية من الثغرات عندما تعتمد حسابات المعروض على متغيرات قابلة للتلاعب مثل أرصدة الحصص أو مؤشرات المكافآت.
في هذه الحالة، من المُعتقد أن المهاجم استغل الضعف لزيادة معروض vsdCRV بشكل كبير، وتشير التقديرات إلى حدث سكّ شمل حوالي 5.4 تريليون رمز.
The StakeDAO deployer private key (0x000755Fbe4A24d7478bfcFC1E561AfCE82d1ff62) was compromised. The attacker used it to reconfigure the LayerZero v2 OFT peer on the vsdCRV (Vote Boosted sdCRV) token contract, redirecting trust from the legitimate Ethereum-side vsdCRVOFTAdapter to…
— Blockaid (@blockaid_) May 27, 2026
بمجرد إنشاء الرصيد المتضخم، قد تكون استُخدمت تلك الأرصدة لاستخراج قيمة من نظام الخزائن أو لتحريف عملية توزيع المكافآت في البروتوكول.
لا يبدو أن الحادث مرتبطًا بمسألة اختراق مفتاح خاص أو هجوم على مستوى المحفظة.
بدلاً من ذلك، تشير التحليلات الأولية إلى فشل في المحاسبة الداخلية للعقد الذكي، حيث ربما قام النظام بالتحقق من شروط السكّ بشكل غير صحيح في ظل حالات معاملات محددة.
سحب أموال أثناء استمرار رصد الاستغلال
جنبًا إلى جنب مع حدث تضخم الرموز، تشير نشاطات البلوكشين إلى أنه تم نقل ما يقرب من $91,000 من الأصول خارج المراكز المتأثرة خلال نافذة الاستغلال.
تشير التدفقات الخارجة إلى أن المهاجم تمكن من تحويل رصيد vsdCRV المُعدّل إلى قيمة قابلة للتحويل قبل احتواء الشذوذ.
تم تحديد الاستغلال بينما كان النشاط لا يزال جاريًا، وما زال الباحثون يراقبون تفاعلات العقد في الوقت الفعلي.
لا يزال الحادث قيد التحقيق بينما يعمل المحللون على تحديد النطاق الكامل للتعرّض.
تركزت النشاطات على Arbitrum، حيث يتفاعل نشر StakeDAO مع البنية التحتية للسيولة المرتبطة بـ Curve.
جمع بين مشتقات الرهان وأنظمة المكافآت الآلية صعّب جهود عزل الأثر الكامل على الفور، لا سيما بينما تستمر المعاملات في الانتشار عبر مجمعات سيولة DeFi.
النتائج الأولية تشير إلى فشل محاسبي
تشير النتائج الأولية إلى أن المشكلة الأساسية تكمن في كيفية حساب العقد لحقوق السكّ لـ vsdCRV.
في أنظمة كهذه، عادةً ما يكون السكّ مرتبطًا بنسبة بين الأصول المودعة والحصص المصدرة.
إذا أمكن التلاعب بتلك النسبة من خلال تفاعلات في حالات متطرفة أو تحديثات حالة سيئة الإعداد، فقد يخلق ذلك فتحة لإصدار رموز غير متناسب.
بمجرد أن أطلق المهاجم الخلل، يبدو أن العقد قبل انتقال حالة غير صالح مما مكّن من إنشاء رموز مفرطة.
بعد ذلك أدى الرصيد المتضخم إلى تعطيل إطار المحاسبة الداخلية المستخدم بواسطة نظام الخزائن.
يرتبط هذا النوع من الاستغلال عادةً ببروتوكولات DeFi التي تعتمد بشكل كبير على نماذج محاسبة قائمة على الحصص دون فرض قيود ثابتة صارمة.
عندما تفشل تلك الضوابط، يمكن للنظام أن يتعامل بشكل خاطئ مع الرموز المُنشأة صناعيًا على أنها قوة رهان شرعية.
Fhenix تستحوذ على Sunscreen وتعيّن مؤسسها لقيادة أبحاث الخصوصية
إيثيريوم يعود فوق $1,600 — هل سيستمر الارتداد؟
سعر Pi Network ينهار إلى أدنى مستوى قياسي: هل سينتعش في النصف الثاني؟
هل يستعد سعر Jupiter لاختراق جديد أم لتراجع؟
سعر MemeCore يرتد بقوة بعد الانهيار — هل يمكن للمضاربين الوثوق بالارتفاع؟
لم يتم العثور على نتائج
جارٍ تحميل المقالات...
Failed to load articles. Please try again.