بروتوكول إقراض قائم على Hedera يدعى Bonzo Lend خسر قرابة 9 ملايين دولار بعد أن قام مهاجم بالتلاعب بسعر توكنات SAUCE التي تُستخدم كضمان، مما مكّن الحساب من الاقتراض بأصول تفوق بكثير القيمة المودعة. في تقرير أولي عن الحادث نُشر يوم السبت، عزت Bonzo الاختراق إلى خلل في مُتحقق أوراكل Supra على السلسلة، والذي قبل سعراً مُلاعباً لتوكن SAUCE يحمل توقيعاً تم تعيينه إلى الصفر. وقع الاستغلال خلال الربع الثاني، الذي أصبح أكثر الربعين اختراقاً على الإطلاق بمقدار 83 حادثاً ونحو 755 مليون دولار سُرقت عبر منصات التمويل اللامركزي.
أودع المهاجم 250 توكن SAUCE، لا تزيد قيمتها عن بضعة دولارات، قبل إرسال تحديث سعر أدى إلى تضخيم قيمة التوكن بنحو 12 رتبة من حيث الحجم. ثم اقترضت المحفظة 6.63 مليون USDC و34.5 مليون HBAR مغلف من مجمّع الإقراض. بمجرد قبول الأوراكل للسعر المُضخم، بدا أن إيداع المهاجم منخفض القيمة يدعم قدرة اقتراض بملايين الدولارات.
ذكرت Bonzo أن الحادث لم ينجم عن وجود ثغرة في العقود الذكية لـ Bonzo Lend أو في الشبكة الأساسية لـ Hedera. وقالت إن البروتوكول أقر بأن Supra اعترف بالمشكلة ونشر إصلاحاً.
تُعد أعطال الأوراكل خطيرة بشكل خاص في الإقراض اللامركزي لأن قيم الضمان تحدد مقدار ما يمكن للمستخدم اقتراضه. إذا قبل البروتوكول سعراً غير صحيح، فقد يعتبر ضماناً شبه عديم القيمة كافياً لتأمين قروض كبيرة. لا يحتاج المهاجم إلى كسر مجمّع الإقراض مباشرةً—يكفيه فقط إقناع البروتوكول بأن الضمان يستحق أكثر بكثير من قيمته السوقية الحقيقية.
كان إيداع SAUCE الأولي ذا قيمة محدودة، لكن السعر المُلاعب حوله إلى مصدر ظاهر لقوة اقتراض ضخمة. ثم أطلق مجمّع الإقراض أصولاً سائلة مقابل ضمان لا يمكنه دعم الدين. تركز العديد من البروتوكولات على تدقيقات العقود الذكية ومنطق التطبيقات، لكن أسواق الإقراض لا تكون أكثر أماناً إلا بقدر أنظمة التسعير التي تعتمد عليها.
شهد الربع الثاني 83 استغلالاً وبنحو 755 مليون دولار مسروقة. شكلت استغلالات جسور عبر السلاسل 351 مليون دولار، بينما مثّلت هجمات استهدفت مسؤولين مخترقين والتلاعب بأسعار توكنات مزيفة 37% من الخسائر خلال الربع. سجل CryptoRank 121 اختراقاً وبنحو 942 مليون دولار في الخسائر خلال الفترة.
كما كانت الأموال تغادر القطاع. انخفض إجمالي القيمة المقفلة في DeFi بنسبة 39% إلى أكثر من 70 مليار دولار في يونيو، مقارنةً بنحو 115 مليار دولار في يناير. من المرجح أن تسلسل حوادث الأمان المتكررة أثقل كفة ثقة المستخدمين وعزز خروج رأس المال.
في فبراير، استنزف المهاجمون قرابة 10 ملايين دولار من مجمّع إقراض تُديره YieldBlox DAO بعد التلاعب بمسار السعر المستخدم لتقييم ضمان USTRY. مكّن هذا التلاعب المهاجمين من اقتراض أصول تتجاوز قيمتها الحقيقية كتوكن. وتبرز أهمية التشابه لأنه يُظهر أن ضعف الأوراكل ومسارات التسعير لا يقتصر على سلسلة واحدة أو سوق إقراض واحد.
يجب على أي بروتوكول يقبل قيم الضمان من أنظمة خارجية أن يحمي نفسه من الأسعار الخاطئة، والتغذيات المتقادمة، وفشل التواقيع، والسيولة الرقيقة، ومسارات التوجيه المُلاعبة. تُعد آليات التحقق من الأوراكل وحدود الضمانات وأدوات كبح الهشاشة وآليات الإيقاف السريعة دفاعات محورية ضد الهجمات التي تحوّل الإيداعات الصغيرة إلى مطالبات كبيرة على السيولة.
ما الذي تسبب في خسارة Bonzo Lend البالغة 9 ملايين دولار؟
خسرت Bonzo Lend قرابة 9 ملايين دولار بعد أن قام مهاجم بالتلاعب بسعر توكنات SAUCE المستخدمة كضمان. أودع المهاجم 250 توكن SAUCE لا تزيد قيمتها عن بضعة دولارات، ثم قدم تحديثاً للسعر أدى إلى تضخيم قيمة التوكن بنحو 12 رتبة من حيث الحجم، ما مكن الاقتراض من 6.63 مليون USDC و34.5 مليون HBAR مغلف. عزت Bonzo الحادث إلى خلل في مُتحقق أوراكل Supra على السلسلة، والذي قبل سعراً مُلاعباً لـ SAUCE يحمل توقيعاً تم تعيينه إلى الصفر.
كم عدد استغلالات DeFi التي حدثت في الربع الثاني؟
سجل الربع الثاني 83 استغلالاً مع نحو 755 مليون دولار مسروقة عبر منصات التمويل اللامركزي. شكلت استغلالات الجسور عبر السلاسل 351 مليون دولار من الإجمالي، بينما مثّلت هجمات على مسؤولين مخترقين والتلاعب بأسعار توكنات مزيفة 37% من الخسائر خلال الربع. سجل CryptoRank 121 اختراقاً وبنحو 942 مليون دولار في الخسائر خلال الفترة نفسها.
أخبار ذات صلة
عملاء AI التابعون لمؤسسة Ethereum يكشفون عن ثغرة CVE-2026-34219 في كود libp2p
ليدجر دونجون تكشف عن ثغرة في إعادة تعيين كلمات مرور بطاقات تانغِم عبر هجوم ليزري
إيمونيفي: في النصف الأول من عام 2023، تم تسجيل 207 هجمات قرصنة على العملات المشفرة، وخسائر بقيمة 9.72 مليار دولار
متداول يخسر مليون دولار في هجوم تصيد احتيالي باستخدام Permit2 على Uniswap