أفضل المعلومات حول العملات الرقمية تصلك مباشرة إلى بريدك الإلكتروني.
تم اختراق مستخدم deltatiger.eth في Goldfinch Finance، وسرقة 330 ألف دولار حتى الآن
- خسر مستخدم Goldfinch Finance deltatiger.eth مبلغ 330 ألف دولار في استغلالtracذكي على Ethereum، مع توجيه الأموال عبر Tornado Cash.
- استغل الهجوم وظيفة collectInterestRepayment()، مما سمح بالسحب المتكرر لعملة USDC بعد تضخيم أسعار الأسهم.
- تظل عمليات اختراق منصات DeFi واسعة النطاق، بما في ذلك استنزاف yETH الخاص بـ Yearn Finance، مما يسلط الضوء على المخاطر الأمنية المستمرة في البروتوكولات اللامركزية.
dentمستخدم معروف لمنصة DeFi المستندة إلى EthereumGoldfinch Finance لاستغلال أدى إلى خسائر تقدر بنحو 330 ألف دولار، وفقًا لمنصة أمان blockchain PeckShield.
أفاد موقع PeckShieldAlert يوم الثلاثاء أن مهاجم مستخدم Goldfinch deltatiger.eth قد أرسل حوالي 118 ETH إلى Tornado Cash بعد اختراقtracذكي قديم على Ethereum.
مكّنtracالمخترق، الذيdentتحديده برقم 0x0689aa2234d06Ac0d04cdac874331d287aFA4B43، الجاني من السيطرة على محفظة deltatiger واستنزاف الأموال.
#PeckShieldAlert @goldfinch_fiمستخدم @deltatigernz تعرض
قام المخترق بإيداع 118 دولارًا ETH من الأموال المسروقة في #TornadoCash.
🚨يرجى إلغاء الموافقات على هذا العقدtrac:… pic.twitter.com/OOuv39YVU9
— تنبيه بيك شيلد (@PeckShieldAlert) ٢ ديسمبر ٢٠٢٥
تكمن الثغرة في دالة collectInterestRepayment() الخاصةtrac، والتي يمكنها تحويل عملات USDC من أي عنوان يمنح الموافقة. وأفادت التقارير أن المهاجم أودع 1000 دولار أمريكي، ثم سحب الأموال مرارًا وتكرارًا بعد تضخيم سعر السهم بشكل مصطنع.
حذرت شركة PeckShield المستخدمين من "إلغاء جميع الموافقات على العقدtracعلى الفور لمنع المتسلل من سرقة المزيد من الرموز حيث استمروا في استخدام خلاط العملات المشفرة Tornado Cash لغسل الرموز المسروقة.
ولم ترد أي تحديثات من deltatiger وGoldfinch حتى الآن، ولم يكشف أي من الكيانين ما إذا كان المهاجم قد تواصل معهما بعد وقوع الاستغلال في حوالي الساعة 9:30 صباحًا بتوقيت UTC اليوم.
طريقة الإقراض اللامركزية لشركة Goldfinch Finance معيبة
Goldfinch Finance هو بروتوكول تمويل لامركزي (DeFi) مدعوم من قبل كبار اللاعبين في صناعة التشفير، بما في ذلك a16z Crypto و Coinbase Ventures.
بخلاف معظم منصات إقراض العملات المشفرة، لا تشترط منصة Goldfinch على المقترضين تقديم ضمانات. بل يمكنهم تقديم مقترحات قروض لمراجعتها من قِبل الداعمين والمدققين، والتي تُصدر إذا حظيت المقترحات بدعم كافٍ. يحصل مزودو السيولة والداعمون والمدققون على فوائد كمكافأة، بينما يحصل المقترضون على رأس المال دون تقديم ضمانات.
انطلق البروتوكول على Ethereum في فبراير 2021، حيث أصدر قروضًا بقيمة مليون دولار أمريكي في البداية. أُطلق الإصدار 1.1 بعد شهر في مارس 2021، وجمعت منصة جولدفينش تمويلًا بقيمة 11 مليون دولار أمريكي من أندريسن هورويتز بعد أشهر. في أكتوبر 2021، دخلت المنصة في شراكة مع نيكسوس ميوتشوال، مما سمح لمقدمي السيولة والداعمين بشراء تأمينtracذكي.
وفقًا لمحطة الرمز المميزة الخاصة بـ Coingecko، يتمتع بروتوكول Goldfinch بقيمة سوقية مخففة بالكامل تبلغ 30.5 مليون دولار، وحجم تداول الرمز المميز 12.4 مليون دولار في آخر 30 يومًا، وقروض نشطة إجمالية تبلغ 91.3 مليون دولار.
في عام 2023، تخلفت شركة تمويل الدراجات النارية في شرق إفريقيا المسماة Tugende Kenya عن سداد قرض بالعملة المشفرة بقيمة 5 ملايين دولار بعد تقديم قرض غير مصرح به لشركتها الأم التي يقع مقرها في أوغندا، وهو ما انتهك شروط القرض.
اكتشفت شركة Warbler Labs، الشركة الأم لشركة Goldfinch، أن شركة Tugende Kenya قد حوّلت ما يقرب من مليوني دولار أمريكي إلى شركتها الأم. وكُشف عن الاختراق في ديسمبر من ذلك العام، إلا أن سجلات الشركة تُظهر أنه أُبلغ عنه في منتدى حوكمة Goldfinch في فبراير 2024.
في عام ٢٠٢٤، سجّلت شركة "ليند إيست" للائتمان الخاص، ومقرها سنغافورة، حالة تخلف عن السداد، حيث أعلنت أنها لا تستطيع سداد سوى حوالي ٤.٢٥ مليون دولار أمريكي من قرض بقيمة ١٠.١٥ مليون دولار أمريكي من صندوق "جولدفينش". وكان المبلغ أقل بنسبة ٥٨٪ من قيمة السداد، ويمثل ٧.٧٪ من إجمالي قروض "جولدفينش" النشطة.
كان لصندوق Lend East مدة 25 شهرًا، تستحق في 3 أبريل 2024، بمعدل فائدة سنوي 17% USDC أو معدل فائدة سنوي متغير 28% GFI. زعم أعضاء مجتمع Discord أن مبلغ 750,000 دولار أمريكي المُقترض من Goldfinch استُخدم لسداد ديون مُقترضين آخرين، مُخالفًا بذلك اتفاقية القرض الأصلية.
ديسمبر يرحب ببروتوكولات DeFi للخسائر الناجمة عن عمليات الاختراق
جاء اختراق منصة Goldfinch بعد أقل من 24 ساعة من تعرض عملة yETH التابعة لشركة Yearn Finance لاختراقٍ أدى إلى سكّها بكميات غير محدودة، ما أسفر عن استنزاف كامل رصيد yETH في معاملة واحدة. ووفقًا Cryptopolitanلتقرير Cryptopolitan Tornadoقام المهاجمون بتوليد عدد لا نهائي تقريبًا من رموز yETH، واستولواtracCashCash CashCashCashCash CashCash.
yETH هو رمز مؤشر يعتمد على عدة إصدارات من ETH ذات رهان سائل، تُعرف باسم مشتقات رهان Ethereum السائل (LSTs). أبلغ مستخدم X، Togbe، عن هذه الثغرة، مشيرًا إلى "معاملات كثيفة" على مشتقات رهان الإيثيريوم السائل، بما في ذلك Yearn وRocket Pool وOrigin وDinero.
أكدت شركة Yearn Financedent عبر حسابها الرسمي على منصة X، لكنها أكدت للمستخدمين أن خزينتي V2 وV3 آمنتان. هذا هو الهجوم الثاني منذ عام 2021، عندما أدى اختراق خزينة Yearn yDAI إلى خسارة قدرها 2.8 مليون دولار، وخلل في البرنامج النصي في ديسمبر 2023 أدى إلى محو 63% من محفظة سندات الخزانة.
أفادت شركة "سيرتيك" المتخصصة في أمن تقنية البلوك تشين، يوم الأحد، أن قطاع العملات الرقمية تكبّد خسائر تُقدّر بنحو 127 مليون دولار أمريكي جراء عمليات الاختراق والاستغلال خلال شهر نوفمبر. وأشار تقرير التهديدات الشهري الصادر عن الشركة إلى أن قيمة الأموال المتضررة فعلياً تجاوزت 172 مليون دولار أمريكي، على الرغم من استرداد ما يقارب 45 مليون دولار أمريكي لاحقاً.
لا تكتفِ بقراءة أخبار العملات الرقمية، بل افهمها. اشترك في نشرتنا الإخبارية، إنها مجانية.
إخلاء مسؤولية: المعلومات الواردة هنا ليست نصيحة استثمارية. Cryptopolitanموقع أي مسؤولية عن أي استثمارات تتم بناءً على المعلومات الواردة في هذه الصفحة. ننصحtrondentdentdentdentdentdentdentdent /أو استشارة مختص مؤهل قبل اتخاذ أي قرارات استثمارية.
دورة
- أي العملات المشفرة يمكن أن تدر عليك المال
- كيفية تعزيز أمانك باستخدام المحفظة الإلكترونية (وأي منها يستحق الاستخدام فعلاً)
- استراتيجيات استثمارية غير معروفة يستخدمها المحترفون
- كيفية البدء في الاستثمار في العملات المشفرة (أي منصات التداول التي يجب استخدامها، وأفضل العملات المشفرة للشراء، إلخ)