أفضل المعلومات حول العملات الرقمية تصلك مباشرة إلى بريدك الإلكتروني.
- تعرض YearnFinanceV1 لهجوم إلكتروني بقيمة 300 ألف دولار بعد أن قام المهاجمون بالتلاعب بخزينة TUSD قديمة تم تكوينها بشكل خاطئ باستخدام قروض سريعة وتشوهات في الأسعار.
- ربط المحققون الهجوم بثغرات أمنية سابقة في منصة Yearn، حيث علقت الأموال فيtracغير قابلة للتغيير لا يمكن إصلاحها أو استردادها.
- يُضاف هذاdent إلى قائمة متزايدة من عمليات استغلال DeFi التي تستهدفtracالقديمة، بما في ذلك هجوم حديث بقيمة 2.7 مليون دولار على نشر Ribbon Finance القديم لشركة Aevo.
لقد تعرض إصدار قديم من بروتوكول التمويل اللامركزي Yearn لثغرة أمنية، مما أعاد إحياء المخاوف بشأنtracالذكية غير القابلة للتغيير والتي تم تكوينها بشكل خاطئ والتي احتفظت بالأموال على الشبكة لسنوات بعد أن تم إيقاف استخدامها.
في منشور على منصة X يوم الأربعاء، أفادت شركة الأمن السيبراني PeckShield أن اختراق YearnFinanceV1 أسفر عن خسائر تُقدّر بنحو 300 ألف دولار. ووفقًا لصور Etherscan التي نشرتها الشركة، تم تحويل الأموال المسروقة إلى 103 إيثيريوم، وهي موجودة الآن في العنوان 0x0F21…4066.
#PeckShieldAlert منصة YearnFinanceV1 @yearnfi تعرضت
قام المخترق بتحويل الأموال المسروقة إلى 103 إيثيريوم، وهي موجودة الآن في العنوان: 0x0F21…4066. pic.twitter.com/KeyfTLKRHx
— تنبيه بيك شيلد (@PeckShieldAlert) ١٧ ديسمبر ٢٠٢٥
استغلّ المخترقون ثغرةً في نظام Yearn vault القديم المرتبط بـ TrueUSD، والمعروف باسم "iearn TUSD vault"، والذي لا يزال مُستخدمًا على شبكة Ether رغم استبداله بإصدارات أحدث. وقد مكّنت ثغرةٌ في الإعدادات المهاجمين من التلاعب بأسعار الأسهم عبر عدة معاملات.
تسبب خطأ في إعدادات الخزينة لدى شركة Yearn Finance في التلاعب بالأسعار
وفقًا لتحليل أجراه الباحث المجهول في مجال العملات المشفرة وخريج جامعة العلوم والتكنولوجيا في الصين ويلين لي، قام الخزنة بتكوين إحدى استراتيجياتها كخزنة Fulcrum sUSD وقام بحساب سعر سهمها باستخدام رصيد sUSD المودع فقط.
فتح هذا الباب أمام ما يُسمى بـ"هجمات التبرعات"، حيث يقوم المهاجم بتحويل الأصول مباشرةً إلى خزنة لتشويه البيانات المحاسبية. بعد إرسال رموز Fulcrum sUSD إلى خزنة Yearn TUSD، تمكن الجناة من تضخيم سعر السهم المُعلن للخزنة بشكل مصطنع.
تفاقمت المشكلة بسبب وظيفة إعادة التوازن التي تسحب جميع الأصول الأساسية بعملة الدولار الأمريكي (sUSD)، وهي عملة غير مدرجة في حسابات سعر سهم الخزينة. عند بدء إعادة التوازن، انخفض سعر سهم الخزينة بشكل حاد، مما أدى إلى "صدمة سعرية".
بحسب لقطة Etherscan من PeckShield Alert، نفّذ المهاجم قروضًا سريعة متسلسلة، حيث اقترض أولًا كميات كبيرة من عملتي TUSD وsUSD دون ضمانات مسبقة. ثم أودع sUSD لإنشاء رموز Fulcrum sUSD قبل إيداع TUSD في خزنة Yearn TUSD.
في تلك المرحلة، كانت جميع الأصول الأساسية لخزنة TUSD تتألف من رموز Fulcrum sUSD. قام المخترق بسحب أمواله من خزنة Yearn TUSD واستدعى وظيفة إعادة التوازن، مما أجبر Fulcrum على استرداد كل شيء إلى sUSD. ولأن sUSD استُبعد من حسابات سعر السهم، انهار نظام المحاسبة في الخزنة، مما أدى فعليًا إلى انخفاض سعر السهم إلى الصفر.
ثم قام المهاجم بتحويل كمية صغيرة من عملة TUSD إلى الخزنة، مما أدى إلى انخفاض سعر السهم إلى مستويات متدنية للغاية، وقام بسك عدد هائل من رموز Yearn TUSD بتكلفة زهيدة. وفي نهاية المطاف، حقق أرباحًا من خلال بيع رموز Yearn TUSD التي حصل عليها بثمن بخس على منصات Curve،tracمن سيولة مزودي الخدمة قبل سداد القروض السريعة.
يستعرض موقع Yearn Finance نقاط الضعف في عام 2023، ويروي باحثٌ تفاصيلها.
وجد الباحث لي أن الثغرة الأمنية مشابهة لهجوم نُفذ عام 2023، وأدى إلى خسائر تجاوزت 10 ملايين دولار. وقد تمtracعقد yUSDT غير القابل للتغيير، الذي استُهدف في تلكdent السابقة، قبل أكثر من ثلاث سنوات، خلال الأيام الأولى لبروتوكول yUSDT عندما كان الراحل أندريه كرونجي يقوده.
للتوضيح فقط، هذا هو نفس أسلوب الهجوم المستخدم في المرة السابقة: https://t.co/MKfn7kikJ7
– ويلين (وليام) لي (@ hklst4r) 16 ديسمبر 2025
أصدر محللو الأمن المتشائمون تحذيراً بشأن الثغرة الأمنية على وسائل التواصل الاجتماعي قبل استغلالها، ولكن بما أنه لا يمكن إصلاح أو إيقافtracالذكية غير القابلة للتغيير بمجرد نشرها، فقد كان ذلك أمراً لا مفر منه.
كتب نيكيتي كيريلوف من شركة PS: "يا iearn finance و Smoothswap، كونوا حذرين. هذا العنوان 0x5bac20…ed8e9cdfe0 حصل على 10 إيثيريوم من Tornado ويقوم بنشرtracمع قروض سريعة باستخدام عناوينكم".
أحد Yearn، المعروف باسم storming0x، بوقوع الهجوم، وطمأن المستخدمين بأن عقودهم الحاليةtrac. ومع ذلك، كشف استغرق 1156 يومًا DeFi لاكتشاف ثغرة أمنية بملايين الدولارات.
حققتtracYearn yUSDT الرقمية عوائد من خلال عقدها الذي استثمر في مجموعة من الأصول المدرة للدخل، بما في ذلك ودائع USDT على منصات AaveوCompound وdYdX وFulcrum التابعة لـ BzX. مع ذلك، احتوت yUSDT منذ إطلاقها على خطأ في النسخ واللصق، حيث أشارت إلى عنوان USDC الخاص بـ Fulcrum بدلاً منtracUSDT الخاص بـ Fulcrum.
باستخدام 10000 USDT فقط، تمكن المتسللون من سك ما يقرب من 1.2 كوادريليون yUSDT، مما أدى إلى استنزاف القيمة من النظام قبل صرف cash.
YearndentCryptopolitanCryptopolitan CryptopolitanCryptopolitanCryptopolitanCryptopolitan CryptopolitanCryptopolitan نشر سحب 2.7 مليون دولار من عقد قديمtractractractractractractractractracالعنوان 0x9D7b…8ae6B76. استخدم المهاجم وظائف مثل transferOwnership و setImplementation للتلاعب ببروكسيات تغذية الأسعار من خلال استدعاءات المندوبين.
هناك حل وسط بين ترك المال في البنك والمجازفة في عالم العملات الرقمية. ابدأ بمشاهدة هذا الفيديو المجاني عن التمويل اللامركزي.
إخلاء مسؤولية: المعلومات الواردة هنا ليست نصيحة استثمارية. Cryptopolitanموقع أي مسؤولية عن أي استثمارات تتم بناءً على المعلومات الواردة في هذه الصفحة. ننصحtrondentdentdentdentdentdentdentdent /أو استشارة مختص مؤهل قبل اتخاذ أي قرارات استثمارية.
دورة
- أي العملات المشفرة يمكن أن تدر عليك المال
- كيفية تعزيز أمانك باستخدام المحفظة الإلكترونية (وأي منها يستحق الاستخدام فعلاً)
- استراتيجيات استثمارية غير معروفة يستخدمها المحترفون
- كيفية البدء في الاستثمار في العملات المشفرة (أي منصات التداول التي يجب استخدامها، وأفضل العملات المشفرة للشراء، إلخ)