أبرتشر فاينانس تؤكد وجود استغلال أمني كبير. يؤثر ذلك على عقودها الذكية V3 و V4. قال الفريق إن المهاجمين استغلوا خللاً في العقد لتفريغ أموال المستخدمين. حدث الاستغلال عبر عدة سلاسل كتل، بما في ذلك إيثريوم، BNB Chain، أربيتروم وBase.
تقديرات متتبعي الأمان تشير إلى خسائر إجمالية تقدر بحوالي 17 مليون دولار. لم يعتمد الهجوم على قروض فلاش، بل استغل موافقات المحافظ الموجودة مسبقًا. هذا يعني أن المستخدمين الذين وافقوا سابقًا على العقد كانوا معرضين للخطر، حتى لو لم يكونوا يتداولون بنشاط في ذلك الوقت. بعد اكتشاف المشكلة، أوقفت أبرتشر فاينانس الميزات الرئيسية على تطبيق الواجهة الأمامية الخاص بها. هدف هذا الإجراء إلى وقف الموافقات الجديدة ومنع المزيد من الضرر.
ما سبب الاختراق
تظهر التحليلات المبكرة وجود مشكلة في التحقق من الإدخال في العقود المتأثرة. سمحت الثغرة للمهاجمين بتنفيذ مكالمات خارجية عشوائية. ونتيجة لذلك، يمكن للعقد نقل أموال المستخدمين المعتمدين دون فحوصات مناسبة. يركز هذا النوع من الهجمات على الأذونات بدلاً من تجمعات السيولة. بمجرد أن يمنح المحفظة موافقة، يمكن للعقد التصرف نيابة عنها. إذا أصبح ذلك العقد غير آمن، تصبح أموال المستخدمين معرضة للخطر.
شركات الأمان حذرت من محفظة المهاجم بعد وقت قصير من الاستغلال. تظهر بيانات السلسلة أن الأموال تنتقل من محافظ المستخدمين إلى عناوين المهاجمين المعروفة. أبلغ بعض المستخدمين عن خسائر بعد توقيعهم معاملات تبدو روتينية أثناء إدارة تجمعاتهم. هذا النمط مشابه للهجمات الأخرى على الموافقات التي شهدتها الأشهر الأخيرة. ويُظهر أن الأدوات غير الحافظة يمكن أن تصبح خطرة عندما تفشل منطق العقود.
رد الفريق والتحقيق
نشر فريق أبرتشر فاينانس تنبيهًا عاجلاً على X. قال الفريق إنه أوقف الوظائف الأساسية للواجهة الأمامية لمنع الموافقات الجديدة. وأكد أنه يعمل مع شركاء أمان خارجيين للتحقيق في السبب الجذري. وعد المشروع بنشر تقرير كامل بعد التحقق من الحقائق. كما ذكر أنه سيشارك تحديثات إضافية مع استمرار التحقيق.
رد المجتمع بسرعة. طلب بعض الأعضاء تعويضات وخطط استرداد. وطلب آخرون الكشف بشكل أسرع عن التفاصيل التقنية. حتى الآن، ركز الفريق على الاحتواء وحماية المستخدمين. وأكدت شركات الأمان مثل Blockaid و TenArmor على التحذير. وصنفت الحادثة على أنها استنزاف يعتمد على الموافقة مرتبط بثغرة في المكالمات العشوائية.
ما يجب على المستخدمين فعله الآن
حثت أبرتشر فاينانس جميع المستخدمين على سحب الموافقات فورًا للعقد الضعيف على شبكة إيثريوم الرئيسية: 0xD83d960deBEC397fB149b51F8F37DD3B5CFA8913
يمكن للمستخدمين سحب الأذونات عبر أدوات مثل مدقق الموافقات في Etherscan أو Revoke.cash. يجب على أي شخص تفاعل مع أبرتشر V3 أو V4 في الماضي اتخاذ هذه الخطوة، حتى لو لم يكن نشطًا الآن. حتى يؤكد الفريق وجود إصلاح، يجب على المستخدمين تجنب أي تفاعلات جديدة مع عقود أبرتشر فاينانس. الموافقات الجديدة قد تعرض المحافظ لمزيد من المخاطر.
تسلط هذه الحادثة الضوء على مشكلة متزايدة في التمويل اللامركزي. تستهدف العديد من الهجمات الآن منطق الأذونات بدلاً من توازنات التجمعات. ونتيجة لذلك، أصبحت نظافة الموافقات مهمة بنفس قدر اختيار البروتوكولات الآمنة. حتى الآن، الرسالة واضحة: سحب الوصول، عدم التفاعل، والانتظار للتحديثات الرسمية من الفريق.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
