عقد StakeDAO على Arbitrum متأثر باستغلال 5.4 تريليون vsdCRV

تعرّضت بنية StakeDAO التحتية على Arbitrum لحادث أمني، حيث حدَّد الباحثون نشاطًا غير طبيعي مرتبطًا بعقد vsdCRV الخاص بها.

يرتبط الاستغلال بثغرة يُشتبه بأنها تتيح سكًّا لا نهائيًا قد سمحت بإنشاء معروض ضخم من رموز الستاكينغ الاصطناعية، ويُقدّر أن ذلك شمل حوالي 5.4 تريليون وحدة vsdCRV.

تشير التتبعات المبكرة أيضًا إلى أن نحو $91,000 من الأموال سُحبت خلال الحادث.

تم اكتشاف النشاط في البداية من خلال سلوك غير عادي على السلسلة يتعلق بمشتقات الرهان المرتبطة بمراكز سيولة قائمة على Curve.

حركات الرموز غير النظامية لم تتطابق مع أنماط توزيع المكافآت المتوقعة، مما دفع إلى مراجعة أعمق لبنية العقد.

الاستغلال يتركز على سكّ vsdCRV ومنطق الخزائن

النظام المتأثر هو آلية vsdCRV الخاصة بـ StakeDAO، وهي مشتق رهان سائل مرتبط بمراكز على Curve Finance.

في هذا الإعداد، يودع المستخدمون CRV أو أصولًا مرتبطة بـ CRV ويتلقون رموز vsdCRV التي تمثّل حصتهم من قوة الرهان والمكافآت.

وفقًا لتحليل على السلسلة، يبدو أن الثغرة تنبع من إطار إصدار الرموز ومخطط المحاسبة المستخدم من قبل العقد المنشور على Arbitrum.

يعتقد الباحثون أن الخلل قد أوجد سيناريو "سكّ لانهائي" حيث فشل البروتوكول في تقييد إصدار الرموز بشكل صحيح.

يمكن أن تظهر هذه النوعية من الثغرات عندما تعتمد حسابات المعروض على متغيرات قابلة للتلاعب مثل أرصدة الحصص أو مؤشرات المكافآت.

في هذه الحالة، من المُعتقد أن المهاجم استغل الضعف لزيادة معروض vsdCRV بشكل كبير، وتشير التقديرات إلى حدث سكّ شمل حوالي 5.4 تريليون رمز.

بمجرد إنشاء الرصيد المتضخم، قد تكون استُخدمت تلك الأرصدة لاستخراج قيمة من نظام الخزائن أو لتحريف عملية توزيع المكافآت في البروتوكول.

لا يبدو أن الحادث مرتبطًا بمسألة اختراق مفتاح خاص أو هجوم على مستوى المحفظة.

بدلاً من ذلك، تشير التحليلات الأولية إلى فشل في المحاسبة الداخلية للعقد الذكي، حيث ربما قام النظام بالتحقق من شروط السكّ بشكل غير صحيح في ظل حالات معاملات محددة.

سحب أموال أثناء استمرار رصد الاستغلال

جنبًا إلى جنب مع حدث تضخم الرموز، تشير نشاطات البلوكشين إلى أنه تم نقل ما يقرب من $91,000 من الأصول خارج المراكز المتأثرة خلال نافذة الاستغلال.

تشير التدفقات الخارجة إلى أن المهاجم تمكن من تحويل رصيد vsdCRV المُعدّل إلى قيمة قابلة للتحويل قبل احتواء الشذوذ.

تم تحديد الاستغلال بينما كان النشاط لا يزال جاريًا، وما زال الباحثون يراقبون تفاعلات العقد في الوقت الفعلي.

لا يزال الحادث قيد التحقيق بينما يعمل المحللون على تحديد النطاق الكامل للتعرّض.

تركزت النشاطات على Arbitrum، حيث يتفاعل نشر StakeDAO مع البنية التحتية للسيولة المرتبطة بـ Curve.

جمع بين مشتقات الرهان وأنظمة المكافآت الآلية صعّب جهود عزل الأثر الكامل على الفور، لا سيما بينما تستمر المعاملات في الانتشار عبر مجمعات سيولة DeFi.

النتائج الأولية تشير إلى فشل محاسبي

تشير النتائج الأولية إلى أن المشكلة الأساسية تكمن في كيفية حساب العقد لحقوق السكّ لـ vsdCRV.

في أنظمة كهذه، عادةً ما يكون السكّ مرتبطًا بنسبة بين الأصول المودعة والحصص المصدرة.

إذا أمكن التلاعب بتلك النسبة من خلال تفاعلات في حالات متطرفة أو تحديثات حالة سيئة الإعداد، فقد يخلق ذلك فتحة لإصدار رموز غير متناسب.

بمجرد أن أطلق المهاجم الخلل، يبدو أن العقد قبل انتقال حالة غير صالح مما مكّن من إنشاء رموز مفرطة.

بعد ذلك أدى الرصيد المتضخم إلى تعطيل إطار المحاسبة الداخلية المستخدم بواسطة نظام الخزائن.

يرتبط هذا النوع من الاستغلال عادةً ببروتوكولات DeFi التي تعتمد بشكل كبير على نماذج محاسبة قائمة على الحصص دون فرض قيود ثابتة صارمة.

عندما تفشل تلك الضوابط، يمكن للنظام أن يتعامل بشكل خاطئ مع الرموز المُنشأة صناعيًا على أنها قوة رهان شرعية.