إختراق بأكثر من 47 مليون دولار في المجمعات المالية لـ”Curve” بسبب ثغرات في أنظمة البرمجة

في 30 يوليو، حدث اختراق تقني كبير على عدد من المجمعات المالية المستقرة في منصة Curve Finance وتستخدم نظام البرمجة Vyper، مما أدى إلى خسائر هائلة تقدر بأكثر من 47 مليون دولار.

وفقًا لـ Vyper، تبين أن الإصدارات 0.2.15 و 0.2.16 و 0.3.0 كانت عرضة لثغراتٍ ومشاكل متكررة.

وأجاب فريق Vyper بسرعة على الحادثة، معلنًا أن التحقيق في المسألة قائم، وأن أي مشاريع تعتمد على الإصدارات المذكورة يجب أن تتواصل معهم على وجه السرعة.

قامت شركة أنسيليا الأمنية بتحليل العقود المتأثرة، كاشفةً أن 136 عقدًا استخدمت إصدار Vyper 0.2.15 مع حماية من التكرار، بينما استخدم 98 عقدًا من إصدار Vyper 0.2.16، واستخدم 226 عقدًا من إصدار Vyper 0.3.0..

تشير النتائج الأولية إلى أن بعض إصدارات مترجم Vyper لم تنفذ الحارس من تكرار الأخطاء والثغرات بشكل صحيح، الذي يهدف إلى منع تنفيذ وظائف متعددة في وقت واحد من خلال قفل العقد، وفقًا لكوين تلغراف. استغلال هذه الثغرة عبر هجمات التكرار سمح بالوصول غير المصرح به والاحتمالات المرتبطة بتفريغ الأموال من العقود.

ومن المهم التنويه إلى أن Vyper هي لغة برمجة مركزة حول العقود تشبه لغة Python وتستهدف آلة Ethereum Virtual Machine (EVM). ونظرًا لتشابهها مع Python، تعتبر Vyper نقطة انطلاق لمطوري Python الذين يتوجهون إلى تطوير الويب 3- Web3 والعقود الذكية.

أثّر الهجوم بشكل كبير على العديد من مشاريع التمويل اللامركزي (DeFi). وقد أفادت منصة التبادل اللا المركزية Ellipsis أن بعض المجمعات المالية مع BNB تم استغلالها باستخدام مترجم Vyper القديم. وتعرض المجمع المالي المجاور لشركة Alchemix لفقدان هائل بلغ 13.6 مليون دولار، بينما شهد المجمع المالي المرتبط بشركة JPEGd فقدان 11.4 مليون دولار.

بالإضافة إلى ذلك، تكبد المجمع المالي المرتبط بشركة Metronome خسارة بقيمة 1.6 مليون دولار. وعلاوةً على ذلك، أكد مايكل إيجوروف، الرئيس التنفيذي لشركة Curve Finance، في قناة Telegram أن 32 مليون ممثل رقمي CRV، بقيمة أكثر من 22 مليون دولار، تم استنزافها من المجمعات المالية.

ومع ذلك، نتيجةً لذلك، شهد الممثل الرقمي الخاص بمنصة Curve Finance تراجعًا بأكثر من 5% في قيمته.

ومن الجيد أن منصة Curve Finance، التي تعمل ببروتوكول تمويل لا مركزي –DeFi الذي يسهل تبادل العملات الرقمية المستقرة على شبكة إيثيريوم للبلوكتشين- Ethereum، لم تتأثر بالهجوم والعقود المرتبطة به.

وعلى الرغم من هذه الحادثة الأخيرة، فإن البروتوكول كان هدفًا للعديد من الهجمات داخل نظامه. وفي الواقع، شهد مجال DeFi التمويل اللامركزي ارتفاعًا في الهجمات خلال الأشهر السابقة. كشف تقرير لتطبيق المحفظة الإلكترونية DeFi، أنه خلال الربع الثاني من عام 2023 وحده، ارتكبت الهجمات والعمليات الاحتيالية بشكل جماعي واستولت على أكثر من 204 مليون دولار. تسلط هذه الحوادث الضوء على تزايد مخاوف الأمان والثغرات ضمن قطاع التمويل اللامركزي.

كما تظهر هذه الحادثة أهمية تدابير الأمان الصارمة والفحص الدقيق للعقود الذكية في مجال التمويل اللامركزي. ومع استمرار التحقيق، ينصح المطورون والمشاريع معالجة الثغرات المحتملة بشكل استباقي لمنع حدوث هذه الثغرات المشابهة في المستقبل.