أفضل المعلومات حول العملات الرقمية تصلك مباشرة إلى بريدك الإلكتروني.
قام مهاجم بسحب 1.6 مليون دولار من عملة Token of Power (TOP) باستخدام ثغرة في منظمة Aragon DAO
- استغل مهاجم ثغرة في حوكمة منظمة DAO لسك رموز وسحب 944 WETH (1.58 مليون دولار) من مجمع سيولة Balancer.
- من خلال السيطرة على ما يزيد قليلاً عن 50% من إجمالي المعروض من الرموز المميزة لـ TOP، يمكن للمهاجم تمرير وتنفيذ المقترحات من جانب واحد.
- إن عدم وجود قفل زمني سمح بإنشاء المقترحات والموافقة عليها وتنفيذها في معاملة واحدة.
استغل أحد المهاجمين خللاً في تكوين الحوكمة في منظمة Token of Power (TOP) Aragon DAO.
وبحسب ما ورد فقد استخدموا قوة التصويت بالأغلبية لسك الرموز وسحب ما يقرب من 944 WETH، والتي تبلغ قيمتها حوالي 1.58 مليون دولار، من مجمع سيولة Balancer V1 على Ethereum.
أشارت العديد من شركات أمن البلوك تشينdent، معتمدة على الأسلوب الفعال، والذي أظهر أن إجمالي المعروض من رموز TOP كان 16384 رمزًا فقط، وأن المهاجم كان يمتلك أكثر من نصفها بقليل.
كيف تم استغلال ثغرة TOP token؟
TOP هو رمز MiniMeToken يُدار عبر بنية التصويت الخاصة بـ Aragon. وفقًا لتحليل Blockaid، جمع المهاجم 8,192.000001 TOP، وهو ما يكفي لتجاوز عتبة الـ 50% اللازمة لتمرير مقترحات الحوكمة بشكل منفرد.
نتيجة لعدم وجود قفل زمني لتطبيق التصويت Aragon على DAO الخاص بـ TOP، تمكن المهاجم من إنشاء اقتراح والتصويت عليه وتنفيذه في معاملة واحدة.
بلوك سيك فالكون أن الاقتراح الذي تم تمريره قد أنشأ كمية كبيرة من رموز TOP الجديدة لعنوان المهاجم. ثم استخدم المهاجم هذه الرموز الجديدة لسحب 944.2 WETH من رصيد موازنة TOP/WETHtrac.
لوحظ أن بروتوكول Balancer نفسه لم يكن عرضة للاختراق. كانت منصة التداول ببساطة هي المكان الذي يحوّل فيه المهاجم حيازات TOP المتضخمة إلى WETH.
كيف قام المهاجم بتحويل الأموال؟
تم تمويل محفظة المهاجم، 0xff8eF7bC455a57e5893232203052Ce0232b39Fa2، عبر تورنادو Cash. وتم تنفيذ عملية الاستغلال في معاملة واحدة من خلال عقد مخصصtracوفقًا لتحليل Blockaid على سلسلة الكتل.
سيناريو نموذجي للاستيلاء على الحكم
لم يكن السبب الجذري للاستغلال خللاً فيtracالذكي بالمعنى التقليدي. يتميز رمز TOP بقلة المعروض منه وانخفاض قيمته السوقية، مما جعل الحصول على حصة مسيطرة فيه أمراً رخيصاً.
عندما تم دمج ذلك مع تكوين التصويت الخاص بـ Aragon، والذي يسمح بإنشاء الاقتراحات والتصويت عليها وتنفيذها في نفس الكتلة، لم يواجه المهاجم أي عائق كبير بين الحصول على أغلبية السلطة واستنزاف الأموال.
وثائق أراغون الخاصة بأمن DAO الضوء على ضوابط الوصول وأهمية تقييد من يمكنه استدعاء الوظائف الحساسة في العقودtrac.
في نفس الوثائق، ذكرت المنظمة أن وظائف سلسلة الكتل متاحة للجميع بشكل افتراضي وأن الوصول المصرح به "يجب أن يقتصر على العناوين المصرح بها" عند سك الرموز أو تحويل الأموال.
ومع ذلك، لم يفرض تكوين TOP قفلًا زمنيًا أو تأخيرًا في النصاب القانوني كان من الممكن أن يمنح حاملي الرموز الآخرين وقتًا للرد.
ماذا تشاهد
لم يصدر فريق Token of Power ولا شركة Aragon أي بيان بخصوص الثغرة حتى وقت النشر.
على الرغم من إمكانية تتبع عملة WETH tracTornado Cash أن تمويل محفظة المهاجم بعملةdent بأن معايير الحوكمة (مثل القيود الزمنية، وعتبات النصاب، وتأخيرات المقترحات) ليست ميزات أمان اختيارية للرموز ذات العرض المنخفض والتي تتمتع بتعرض كبير للخزينة. على سلسلة الكتل، إلا يُعقّد فرص استردادها. تُذكّرنا هذه
أذكى العقول في عالم العملات الرقمية يتابعون نشرتنا الإخبارية بالفعل. هل ترغب بالانضمام إليهم؟ انضم إليهم.
الأسئلة الشائعة
كيف استغل المهاجم ثغرة "رمز القوة"؟
استحوذ المهاجم على أكثر من 50% من إجمالي 16384 رمزًا من رموز TOP، ثم استخدم تطبيق التصويت الخاص بـ Aragon لإنشاء مقترح حوكمة والموافقة عليه وتنفيذه في معاملة واحدة قامت بسك رموز TOP جديدة إلى عنوانهم، والتي تم استبدالها بـ 944.2 WETH من مجمع Balancer V1.
هل تم اختراق بروتوكول Balancer في الهجوم؟
لا. أكدت شركة Blockaid أن بروتوكول Balancer نفسه لم يكن مصدر الثغرة الأمنية. استخدم المهاجم بروتوكول TOP/WETH Balancer V1 BPool فقط كنقطة خروج لتحويل الرموز المميزة المُنشأة إلى WETH.
كم المبلغ المسروق، وهل يمكن استرداد الأموال؟
تم سحب ما يقارب 1.58 مليون دولار من عملة WETH. ويزداد الأمر تعقيداً نظراً لأن محفظة المهاجم كانت ممولة عبر بروتوكول Tornado Cash، وهو بروتوكول خلط معتمد.
إخلاء مسؤولية: المعلومات الواردة هنا ليست نصيحة استثمارية. Cryptopolitanموقع أي مسؤولية عن أي استثمارات تتم بناءً على المعلومات الواردة في هذه الصفحة. ننصحtronبإجراء بحث مستقلdent /أو استشارة مختص مؤهل قبل اتخاذ أي قرارات استثمارية.
هانا كوليمور
هانا كاتبة ومحررة تتمتع بخبرة تقارب عشر سنوات في كتابة المدونات وتغطية الأحداث في مجال العملات الرقمية. في Cryptopolitan، تُساهم هانا في صفحة الأخبار، حيث تُغطي وتُحلل آخر التطورات في DeFi، والأصول المُدارة بالمخاطر (RWA)، وتنظيم العملات الرقمية، والذكاء الاصطناعي، وقطاعات التكنولوجيا الرائدة. تخرجت هانا من جامعة أركاديا بشهادة في إدارة الأعمال.
- أي العملات المشفرة يمكن أن تدر عليك المال
- كيفية تعزيز أمانك باستخدام المحفظة الإلكترونية (وأي منها يستحق الاستخدام فعلاً)
- استراتيجيات استثمارية غير معروفة يستخدمها المحترفون
- كيفية البدء في الاستثمار في العملات المشفرة (أي منصات التداول التي يجب استخدامها، وأفضل العملات المشفرة للشراء، إلخ)