استغلال عقد موجه شبكة Aztec يسرق 2.19 مليون دولار بسبب عيب في العقد الذكي

iconAMBCrypto
مشاركة
This is the logo of the coin.
ETH
$1,685.13‮-‭3.7‬%‬
AI summary iconملخص

عقد Router لشبكة Aztec في الأخبار بعد أن كان موضوع معاملة مشبوهة تم اكتشافها على سلسلة Ethereum [ETH]. وقد أدى ذلك إلى خسارة أصول بقيمة حوالي 2.19 مليون دولار.

في الواقع، استخدم عنوان المحفظة "0x0f18….edd17" أموالًا من عقد Router الخاص بالبروتوكول لتنفيذ المعاملة.

كان الهجوم مشبوهًا
كان الهجوم مشبوهًا

وفقًا لـ CertiK، كان الهجوم "مشبوهًا" لأن المهاجم ربما استغل ضعفًا في العقد الذكي، أو حصل على وصول غير مصرح به إلى أموال البروتوكول، أو غيّر منطق العقد لسرقة الأصول.

AD

خلل محتمل في التحقق من العقد الذكي

ومع ذلك، فإن بعض المؤشرات أشارت إلى أن معالجة البروتوكول لبيانات الإثبات كانت معيبة في عملية التحقق من العقد الذكي. بدا أن المشكلة محددة في الدالة computeRootHashes()، التي كانت تشرف على تأكيد شرعية _proofData المقدمة ولكنها فحصت فقط الجزء الأول منها.

ومع ذلك، فقد احتوت الجزء الأوسط من حمولة _proofData على البيانات التي استخدمها processDepositsAndWithdrawals() لاحقًا لتنفيذ تحويلات الرموز.

لذلك، قد يكون المهاجم أنشأ دليل ضار حيث احتوى القسم الأوسط غير المُحقق على تعليمات إيداع أو سحب مُعدلة، بينما ظل الجزء المُحقق صالحًا ومرّر فحوصات الأمان الخاصة بالبروتوكول.

من جهته، انتهى الأمر بالعقد إلى تنفيذ تحويلات رموز غير مصرح بها نتيجة لعدم المصادقة المناسبة على تلك التعليمات قبل المعالجة. ببساطة، بدا أن هناك عدم تطابق بين ما تم التحقق منه وما تم تنفيذه فعليًا.

مزيد من هذه الحوادث

التوقيت هنا مثير للاهتمام لأن رايديوم وجدت أيضًا خطأ في البرمجة في برنامج AMM V3 القديم الخاص بها تسبب في سرقة عملات مشفرة بقيمة 1.34 مليون دولار من خمسة أحواض.

في الوقت نفسه، شهد هجوم آخر على الاستيلاء على الحوكمة مُستغلًا يسرق حوالي 1.5 مليون دولار من Ethereum من حوض سيولة Balancer.

تم اكتشاف استغلال جديد استهدف جسر عملات Alephium الخاص بإيثريوم مؤخرًا. في هذا الاستغلال، تم سحب 815,000 دولار في سبع دقائق باستخدام ثلاثة من المفاتيح الأربعة المخترقة التي وقعت على VAAs مزورة (موافقات الإجراءات الموثقة).

بالمثل، وفقًا لبحث مستقل أجرته Quantstamp، ربط بروتوكول Humanity هجوم تصيد موجه ضد أحد مديريه باستحواذ المهاجم على بيانات اعتماد إدارية، وترقيات للعقود، وتحويلات لعملات Ethereum، وإنشاء رموز H جديدة على سلسلة BNB.

بشكل عام، وصل إجمالي القيمة المسروقة (بالدولار الأمريكي) الآن إلى 81.73 مليون دولار في غضون 30 يومًا، وفقًا لبيانات DeFiLlama. مع خسارة 634.85 مليون دولار في عام 2026 وحده، شهد أبريل أعلى قيمة تم سرقتها حتى الآن.

تم استنزاف القيمة لعام 2026
DeFiLlama

الملخص النهائي

  • يبدو أن العيب نتج عن التحقق غير الكامل لـ _proofData.
  • الحلقة هي الأحدث في سلسلة من ثغرات أمان DeFi.
المصدر:عرض النسخة الأصلية
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة قد حصلت عليها من أطراف ثالثة ولا تعكس بالضرورة وجهات نظر أو آراء KuCoin. يُقدّم هذا المحتوى لأغراض إعلامية عامة فقط ، دون أي تمثيل أو ضمان من أي نوع ، ولا يجوز تفسيره على أنه مشورة مالية أو استثمارية. لن تكون KuCoin مسؤولة عن أي أخطاء أو سهو ، أو عن أي نتائج ناتجة عن استخدام هذه المعلومات. يمكن أن تكون الاستثمارات في الأصول الرقمية محفوفة بالمخاطر. يرجى تقييم مخاطر المنتج بعناية وتحملك للمخاطر بناء على ظروفك المالية الخاصة. لمزيد من المعلومات، يرجى الرجوع إلى شروط الاستخدام واخلاء المسؤولية.