Ang INK Finance, isang protokolo para sa pamamahala ng treasury at infrastruktura ng workspace sa Polygon, ay nagdanas ng malaking paglabag sa awtorisasyon. Ang mga attacker ay nagbawas ng halos $140,000 pagkatapos gamitin ang mga kahinaan sa loob ng lohika ng pag-verify ng treasury ng platform.
Nag-umpisa ang pag-atake pagkatapos ng isang spoofed na claimer contract na matagumpay na nagpakilala bilang isang pinapayagang whitelisted na entidad sa loob ng treasury system. Pinayagan ng pagbypass na ito ang mga attacker na lumampas sa mga pagsusuri ng kwalipikasyon at mag-trigger ng isang pinapayagang treasury transfer nang walang agad na pagkakaroon ng mga pagtatakda.
Samantala, nakakuha ang exploit ng karagdagang bilis ng pagpapatupad sa pamamagitan ng isang flash loan na halos $25,000 mula sa Balancer V2 na ipinadala mula sa Railgun patungo sa Polygon. Ipinaliwanag ng flow na ito kung paano patuloy na pinapabuti ng mga interconnected na sistema ng likwididad ang epektibidad ng mga exploit sa buong DeFi infrastructure.
Hindi naglalayon ang mga attacker sa mga advanced na kriptograpikong layer, kundi pinagpapalit ang operational trust assumptions tungkol sa whitelist permissions, na nagpapatibay sa paglalago ng mga alalahanin tungkol sa mahina ang disenyo ng pagpapahintulot sa mga treasury arkitektura.
Ang mga sistema ng pagsasagawa ng kaharian ay naging pinakamahinang layer ng DeFi
Ang paglabas sa treasury ay patuloy na nagpapakita ng mas malawak na pagbabago sa pag-unlad ng landscape ng pag-atake sa DeFi sa ilalim ng patuloy na pagkakaroon ng kumplikadong imprastruktura. Sa halip na mag-target sa mga liquidity pool o mga sistema ng presyo, ang mga attacker ay patuloy na tumutok sa mga privileged treasury authorization layers na nagtatago ng malalaking reserve ng protocol.
Ang exploit sa INK Finance ay nagpapatibay din kung paano lalong tumutarget ang mga attacker sa mga sistema ng pagsasagawa ng kahilingan sa pamamagitan ng mga estratehiya na may mababang gastos at mataas na presisyon. Ang pattern na ito ay ipinakita kung paano lalong pinipili ng modernong paraan ng exploit ang pagtaas ng pribilehiyo kaysa sa mas malawak na teknik ng pagmanipula ng likuididad.
Samantala, patuloy na tumataas ang mga insidente sa whitelist at pagkontrol ng pag-access sa mga sistema ng treasury na pinamamahalaan ng DAO sa buong 2026. Ang mga paulit-ulit na pagkabigo ay lalong ipinakita ang mga kahinaan sa mga layer ng operasyonal na pagpapatotoo sa ilalim ng patuloy na lumalawak na DeFi infrastructure.
Gayunpaman, ang patuloy na mga kakulangan sa pagpapahintulot ay nagpakita rin kung paano ang pagiging matatag sa operasyonal na seguridad ay nananatiling nasa likod ng mabilis na paglago ng imprastruktura at kapital sa decentralized finance.
Patuloy na nagpapahina ang mga maliit na pagpapakita ng pagkamali sa tiwala sa DeFi
Ang patuloy na paglago ng alon ng pagpapabaya sa pahintulot ng kaban ay nagsisimulang magdulot ng pagbaba sa pangkabuuang tiwala sa mga imprastruktura ng DeFi. Ang pagpapabaya sa INK Finance ay nanatiling relatibong maliit sa halaga, bagaman ang insidente ay agad na kumalat sa mga dashboard ng seguridad at mga sistema ng pagmamasid sa chain.
Mahalaga ang pagkakita dahil lumalago ang pagtutuon ng mga gumagamit sa paulit-ulit na mga paglabas ng mababang halaga bilang mga signal ng hindi nalulutas na kahinaan ng imprastruktura sa ilalim ng paglago ng ecosystem. Samantala, patuloy na ipinapakita ng mga katulad na insidente na kasangkot ang SmartCredit, Sharwa, at Quant ang mas malawak na pag-aalala tungkol sa mahinang disiplina sa operasyonal na seguridad.
Ipinakita rin ng insidente kung bakit patuloy na may malaking epekto sa merkado ang mga mas maliit na paglabag, bagaman limitado ang direkta na pinsalang pampinansyal. Ang paulit-ulit na pagkabigo sa pagpapahintulot ay nagpapahina sa tiwala ng mga user, nagpapabagal sa pagpapalabas ng kapital, at nagpapataas ng pagiging maingat sa mga interkonektadong sistema ng DeFi.
Gayunpaman, marami sa mga paglabag na ito ay nagmumula pa rin sa makakaiwas na mga pagkakamali sa pahintulot kaysa sa mga komplikadong teknikal na pagkabigo. Sa simpleng salita, patuloy pa ring naiiwan ang operasyonal na kasiguruhan sa harap ng kumplikadong imprastruktura.
Huling Buod
- Nawala ng halos $140,000 ang INK Finance pagkatapos makalabas ang mga attacker sa pagsusuri ng whitelist sa pamamagitan ng spoofed claimer contract sa loob ng kanilang treasury system.
- Patuloy na nagpapahina ang pagkakaroon ng maraming low-value DeFi authorization exploits sa tiwala ng mga user.