الصفحة الرئيسية
الأخبار
التفاصيل

تم تفريغ عقد ذكي مهجور لـ Aztec Connect بمبلغ 2.1 مليون دولار

iconCryptoBreaking
مشاركة
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
ETH
$1,818.95‮‭9.41‎‎‬%‬
This is the logo of the coin.
DAI
----
AI summary iconملخص

expand icon
أدى ثغرة في منطق العقد الذكي لـ Aztec Connect إلى استغلال بقيمة 2.1 مليون دولار، حيث قام المهاجمون بتفريغ الأرصدة غير المضمونة من خلال عدم توافق في التحقق والتسوية. نفّذ المهاجم الاستغلال سبع مرات، وسرق 909 ETH و270,000 DAI. تأكّدت Aztec Labs من الحادث، لكنها قالت إن شبكة Aztec الحالية غير متأثرة. وشددت الشركة على أن عقودها الذكية أصبحت غير قابلة للتغيير تمامًا، دون امتلاك أي مفاتيح إدارية. ويُبرز هذا الحادث أهمية أمن العقود في التخفيف من ثغرات العقود الذكية.
Aztec Connect Abandoned Smart Contract Drained $2.1m

تم إخلاء منصة Aztec Connect، وهي منصة DeFi مُلغاة مرتبطة بشبكة Aztec، من حوالي 2.1 مليون دولار في العملات المشفرة بعد أن استغل مهاجم ثغرة في منطق التحقق من المعاملات في المنصة. ويشير هذا الحادث إلى كيفية بقاء العقود "المهجورة" كأهداف قابلة للتنفيذ لفترة طويلة بعد إلغائها رسميًا.

قالت Aztec Labs على X إنها تحقق في استغلال محتمل يؤثر على Aztec Connect، حيث تم نقل حوالي 2.1 مليون دولار من عقد ذكي للمنصة. وأضافت الشركة أن المشكلة لم تؤثر على المستخدمين أو الأصول على شبكة Aztec الحالية.

أبرز النقاط

  • تم سرقة حوالي 2.1 مليون دولار من Aztec Connect بعد أن استغل المهاجم مسار التحقق والتسوية.
  • قال BlockSec إن المعاملات الموثقة لم تُربط بشكل فعال بمجموعة المعاملات التي تفرضها إثبات ZK، مما خلق مسارًا لسحب أرصدة غير مدعومة.
  • يُزعم أن المهاجم نفّذ الاستغلال سبع مرات عبر سبع أصول، وجمع 909 ETH و270,000 DAI، من بين أصول أخرى.
  • تم إيقاف Aztec Connect في مارس 2023، مع إيقاف الإيداعات وانتقال الفريق إلى Aztec Network.
  • أفادت Aztec Labs أنها لا تمتلك مفاتيح إدارية ولا يمكنها إيقاف أو ترقية Aztec Connect، بينما قال مطور إن العقود أصبحت غير قابلة للتغيير تمامًا.

ما قالته آزتيك لابس أنّه حدث

في تحديثها العام، وصفت Aztec Labs استغلالًا ظاهريًا أثر على العقد الذكي لـ Aztec Connect، ولاحظت أن حوالي 2.1 مليون دولار تم تحويلها خارجًا. وأكدت الشركة أن الحادث لم يؤثر على الأصول أو أرصدة المستخدمين على شبكة Aztec الحية.

يرتبط Aztec Connect ببيئة ZK rollup المركزة على الخصوصية المبنية على Ethereum. وفقًا للسياق نفسه المذكور في التقرير، كان Aztec Connect نسخة سابقة من المنصة أُطلقت في عام 2022 كجسر DeFi.

كيف مكّنت ضعف التحقق من السحوبات

قالت شركة الأمن BlockSec إن المهاجم استغل عدم توافق في طريقة تحقق Aztec Connect من المعاملات مقارنة بكيفية تسويتها على Ethereum.

ركز شرح BlockSec على كيفية تعامل النظام مع العلاقة بين المعاملات الموثقة ومجموعة المعاملات التي فرضها إثبات ZK. وفي رأيه، لم تُربط المعاملات المعتمدة عبر مسار التحقق الخاص بـ Aztec Connect بشكل فعال بمجموعة المعاملات التي فرضها إثبات ZK. وقد سمح هذا الفجوة لمنطق التحقق والتسوية الخاص بالعقد على إيثريوم بتفسير قائمة المعاملات بشكل مختلف.

مع هذا التناقض، كان يمكن للمهاجم وضع معاملات بحيث يُقرّر العقد قيمة دون حدوث التحقق المقابل على إيثريوم. وقال BlockSec إن هذا مكّن إنشاء أرصدة غير مدعومة، يمكن بعد ذلك سحبها.

كما أبلغت BlockSec أن المهاجم كرر هذه التقنية عدة مرات — سبع مرات عبر سبعة أصول مختلفة — بدلاً من الاعتماد على عملية واحدة.

الأصول المبلغ عن سرقتها والسياق الأوسع للقرصنة

شمل السرقة، وفقًا للتقارير، 909 Ether (ETH)، و270,000 Dai (DAI)، و167 من ETH مربوطة ومُستثمرة، وعدة عملات رقمية أخرى. وقد تم الاستشهاد بمنشور منفصل من CertiK في التقرير الأصلي كمثال على بعض الأصول المُستولى عليها.

يأتي حادث Aztec Connect في خضم فترة مزدحمة من استغلالات DeFi. تشير بيانات DeFiLlama المذكورة في التقرير إلى أن ما قيمته 44 مليون دولار من العملات المشفرة قد سُرقت حتى الآن هذا الشهر من ما لا يقل عن 12 استغلالًا منفصلًا.

في وقت سابق من يونيو، كان أكبر سرقة مذكورة مرتبطة بتسريب مفتاح خاص على بروتوكول Humanity، حيث تم الإبلاغ عن خسارة 30 مليون دولار في 8 يونيو. كما تشير التقارير إلى حادث منفصل على جسر Syscoin في اليوم السابق، حيث تم سرقة 8 ملايين دولار على ما يبدو من خلال استغلال دليل مزيف.

لماذا لم يمنع التسمية "المُهمَلة" الهجوم

تم إيقاف Aztec Connect رسميًا في مارس 2023، عندما تم وقف الإيداعات وتم إعادة توجيه موارد التطوير إلى شبكة Aztec من الجيل التالي. ومع ذلك، لم يُزِل عملية الإيقاف الخطر المتمثل في منطق العقد الذكي الأساسي.

أشارت Aztec Labs إلى أنها لا تمتلك مفاتيح إدارية، وبالتالي لا يمكنها إيقاف النظام أو ترقيته. هذا يعني أن عدم قدرة المنصة على التعديل من قبل الفريق يمكن أن يترك الثغرات المنطقية المعروفة أو الناشئة دون معالجة—خاصة إذا ظل كود العقد على Ethereum.

كما قال مطور عملات مشفرة مُعرَّف باسم "Param" إن عقود Aztec Connect أصبحت غير قابلة للتعديل تمامًا، مما يعني أنها لم تعد قابلة للترقية أو الإيقاف.

هذا المزيج—التقاعد دون سلطة الترقية—يساعد على تفسير كيفية ظهور استغلال بعد وقت طويل من تقاعد المنتج. وكما أُشير إليه في التقرير، فإن الحادث هو تذكير آخر بأن العقود المهجورة أو المعطلة في مجال التمويل اللامركزي لا تزال تستقطب المهاجمين بعد سنوات، خاصة عندما يعتمد الاستغلال على دلالات العقد الأساسية بدلاً من المعلمات التشغيلية المؤقتة.

ما الذي يجب مراقبته بعد ذلك

من المرجح أن يركز المحققون على ما إذا كانت الأموال المسحوبة نُقلت فورًا عبر قنوات السيولة أو ما زالت قابلة للتتبع عبر التدفقات على السلسلة، بينما قد تركز استجابة نظام Aztec على تأكيد نطاق التأثير وتعزيز الحدود بين منطق التحقق والتسوية. بالنسبة للمستخدمين، فإن النتيجة العملية هي التعامل مع العقود الملغاة على أنها لا تزال محفوفة بالمخاطر: يمكن أن يظل الكود غير القابل للتغيير قابلاً للاستغلال لفترة طويلة بعد إيقاف الإيداعات.

تم نشر هذه المقالة أصلاً كـ عقد ذكي تم التخلي عنه من قبل Aztec Connect وتم سرقة 2.1 مليون دولار على Crypto Breaking News – مصدرك الموثوق لأخبار التشفير، وأخبار البيتكوين، وتحديثات البلوكشين.

المصدر:عرض النسخة الأصلية
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة قد حصلت عليها من أطراف ثالثة ولا تعكس بالضرورة وجهات نظر أو آراء KuCoin. يُقدّم هذا المحتوى لأغراض إعلامية عامة فقط ، دون أي تمثيل أو ضمان من أي نوع ، ولا يجوز تفسيره على أنه مشورة مالية أو استثمارية. لن تكون KuCoin مسؤولة عن أي أخطاء أو سهو ، أو عن أي نتائج ناتجة عن استخدام هذه المعلومات. يمكن أن تكون الاستثمارات في الأصول الرقمية محفوفة بالمخاطر. يرجى تقييم مخاطر المنتج بعناية وتحملك للمخاطر بناء على ظروفك المالية الخاصة. لمزيد من المعلومات، يرجى الرجوع إلى شروط الاستخدام واخلاء المسؤولية.