تم استغلالtracالذكي لشركة Vestra DAO (VSTR) بعد أقل من شهر من إطلاقه

يبدو أن Vestra DAO قد تعرضت للاختراق. لاحظ محللو سلسلة الكتل نشاطًا مشبوهًا حيث تم نقل رموز VSTR، وهي رمز ERC-20 الأصلي للبروتوكول، منtracالذكية المتاحة وإرسالها على الفور إلى خلاط Tornado. 

سُرقت رموز بقيمة لا تقل عن 480 ألف دولار وقت ورود التقارير. ورغم أن الهجوم الأولي كان محدودًا نسبيًا، إلا أن الخطر ظل قائمًا بالنسبة للمشاركين الآخرين. وقد أشار الباحث في مجال تقنية البلوك تشين، تشاوفان شو، إلى الثغرة الأمنية لأول مرة، ونصح جميع المستخدمين بسحب صلاحياتهم. 

Vestra DAO @Vestra_DAO للاختراق الآن، ولا يزال الهجوم مستمرًا. بلغت الخسائر 480 ألف دولار أمريكي، والخسارة المتوقعة أكبر. اسحبوا حصتكم ووفروا السيولة فورًا. pic.twitter.com/0b9i1lhrEw

— تشاوفان شو (@Fried_rice) 4 ديسمبر 2024

أثرت الثغرة الأمنية علىtracتخزين رموز VSTR، حيث تم تسييل الأموال فورًا وإرسالها إلى منصة خلط العملات الرقمية Tornado. يُذكر أن أكثر من 65% من رموز VSTR مُجمدة لأغراض الحوكمة، ويبلغ عددها أكثر من 34 مليار رمز.

الذكي المتضررtracالمتبقية 755 مليون ، والتي تمثل 1.51% من إجمالي المعروض. ورغم أن الهجوم استهدف رمزًا صغيرًا نسبيًا، إلا أن انهيار السوق اللاحق أدى إلى خسارة أكبر في قيمة المشروع. في الوقت الحالي، قد تمتلك Vestra DAO ما يكفي من رموز VSTR في احتياطياتها لتعويض المستخدمين، بينما تسعى جاهدةً لإصلاح الضرر الذي لحق بسمعتها.

انتظر المستغل لمدة شهر قبل استغلال ثغرة في منطقtrac

قام المستغل ببيع التخزينtracالرموز على عجل، دافعًا 0.51 إيثيريوم إلى بيفربيلد مقابل إدراجها في كتلة ذات أولوية. تأثر  المقفل لمنظمة فيسترا داو، مما أدى إلى إرسال رموز VSTR مباشرةً

على مدار ساعات، أرسل المهاجم معاملات وهمية بقيمة 520 ألف أو 500 ألف VSTR إلىtrac، ليبلغ إجمالي ما تم تداوله في النهاية 480 ألف دولار. استغل الهجوم ثغرة منطقية فيtrac، مما سمح للمخترق باستلام 20 ألف VSTR بعد كل معاملة. 

أظهر تحليل سلسلة الكتل أن المهاجم قام أولاً بإيداع عملة VSTR في العقدtrac30 يومًا، متخفيًا ودارسًا ثغرات العقدtracثم بدأت سلسلة المعاملات الآلية استخراجtracعملة VSTR مع كل عملية إيداع وسحب.

لم تُسفر عمليات التحقق من البيانات في كل عملية إيداع وسحب عن أي تحذيرات، مما سمح للمهاجم باستنزافtracعبر عمليات إيداع وسحب متعددة. وقد تحقق العقدtracتاريخ الاستحقاق مرة واحدة فقط، لكن المخترق كان قد استوفى الشرط عن طريق التخزين قبل 30 يومًا.

أسفرت عملية الاستغلال عن غنائم بقيمة 125 إيثيريوم، تم تحويلها عبر منصة تورنادو Cash. أنفق المهاجم 40 ألف دولار على رسوم غاز Ethereum لتسريع عمليات التبادل، ليصبح لفترة وجيزة أكبر مستهلك للغاز على الشبكة. 

لم تُصدر منظمة Vestra DAO تفاصيل الهجوم، وادّعت أن أموال المستخدمين لم تتأثر. مع ذلك، فقد تم سحبtracرموز VSTR من العقد، مما أدى بوضوح إلى استنزاف قيمة المشروع. 

تم اختراق رموز VSTR بعد شهر من إطلاق التداول

Vestra DAO هو مشروع جديد نسبياً، حيث يتم تداول رموز VSTR منذ 6 نوفمبر. الرمز متاح فقط في زوج تداول Uniswap V3. 

أطلقت المنظمة اللامركزية المستقلة (DAO) أول اقتراح لها في 14 أكتوبر، وكان مرتبطًا ببيع مليار رمز من خزينة المشروع. ولا يزال رمز VSTR لا يملك سوى 1643 حاملًا، مما يُقلل من تأثير الاختراق. 

انهار سعر العملة الرقمية فورًا بعد الهجوم، من 0.013 دولار إلى 0.005 دولار. لاحقًا، ارتفع سعر VSTR بشكل طفيف إلى 0.009 دولار، لكنه لا يزال يعاني من انخفاض حاد في السيولة وتقلبات كبيرة. إضافةً إلى الخسارة المباشرة، فقدت VSTR نصف قيمتها السوقية.

في هذه المرحلة، قد يكون VSTR أكثر خطورة من رموز الميمات في مراحلها الأولى. يكمن الخطر الأكبر في أن سيولة رموز VSTR لا تتجاوز 1.9 مليون دولار، وهي سيولة غير مُجمّدة، ما يجعلها عرضةً للاستغلال عبر عمليات سحب مفاجئة. 

يتمثل الخطر الآخر الذي يواجه المشروع في أن عقودهtracوظائف من عقود ذكية خارجيةtracعام ظهور تحذير على منصة CoinGecko. وقد زعمت منظمة Vestra DAO أنها أدرجت عقد التخزين الخاص بها في القائمة السوداءtracذكية أخرىtrac. 

حتى في المشاريع الخاضعة للتدقيق، قد لا تكونtracالذكية آمنة تمامًا، وقد تنطوي على ثغرات أمنية. في حالة VestraDAO، قد يتعافى المشروع في مراحله الأولى ويعزز موثوقيته. 

استقطبت منظمة Vestra DAO مجتمع العملات الرقمية التركي، أحد أكثر مجموعات المتبنين الأوائل نشاطًا. حتى أن رمز VSTR كان له سعر تحويل إلى الليرة التركية.