تم هجوم على Aperture Finance وسُرقت 17 مليون دولار من الأموال عبر عدة سلاسل.

وفقا للأخبار في 26 يناير، أكدت شركة Aperture Finance البروتوكوليكية اللامركزية أن عقودها الذكية V3 وV4 تعرضت لهجمات أمنية خطيرة، حيث استغل المهاجمون ثغرات العقود لنقل أصول المستخدمين عبر عدة سلاسل بلوكشين، تشمل إيثيريوم وBNB Chain وArbitrum وBase. تظهر بيانات التتبع على السلسلة من وكالات الأمن أن الحادث أدى إلى خسارة تقارب 17 مليون دولار، ليس من خلال قروض فلاش، بل بسبب إساءة استخدام الوصول الذي كان مستخدما سابقا ممنوح به للعقود.

على عكس استنزاف تجمع السيولة التقليدية، استهدف هذا الهجوم منطق تفويض المحفظة. بمجرد أن يوافق المستخدم على تصاريح تشغيل العقود في الماضي، يمكن للمهاجمين تحريك هذه الأصول مباشرة حتى لو لم تجر أي معاملات حاليا. بعد اكتشاف هذا الخلل، أغلقت Aperture Finance وظائف رئيسية في الواجهة الأمامية، مما منع إنشاء تفويضات جديدة، ومحاولة منع خروج المزيد من التمويل.

يكشف التحليل الفني الأولي أن العقود المتأثرة بها عيوب في التحقق من المدخلات والمكالمات الخارجية، مما يسمح للمهاجمين بتفعيل إجراءات تعسفية لنقل أموال المحفظة المصرح بها متجاوزة الفحوصات الأمنية. كما أصدرت فرق أمنية مثل Blockaid وTenArmor تحذيرات من المخاطر حول عنوان الهجوم، وتظهر السجلات على السلسلة أن الأموال تتدفق باستمرار إلى المحافظ التي تم الإبلاغ عنها.

أصدر فريق Aperture Finance إشعارا طارئا بشأن X، يفيد بأنه يحقق بشكل مشترك في السبب الجذري للحادث مع شركاء أمنيين خارجيين وسيصدر تقرير تحليل كامل بعد الوفاة بعد تأكيد الحقائق. دعا بعض المستخدمين في المجتمع إلى بدء خطة تعويض واسترداد، لكن أولوية الفريق لا تزال هي السيطرة على المخاطر وحماية الأصول المتبقية.

وفي الوقت نفسه، يطلب المسؤول من جميع المستخدمين الذين تفاعلوا مع عقد Aperture V3 أو V4 سحب تفويض عنوان العقد الضعيف 0xD83d960deBEC397fB149b51F8F37DD3B5CFA8913 فورا. يمكن للمستخدمين العمل من خلال أدوات إدارة التفويض داخل السلسلة ويجب ألا يدخلوا في أي تفاعلات جديدة مع العقد المعني حتى يتم حل المشكلة بالكامل. تذكر هذه الحادثة المشاركين في DeFi مرة أخرى بأن إدارة التفويض أصبحت نقطة خطر لا تقل أهمية عن أمن الأصول.