في الساعة 2:21 صباحًا بتوقيت العالم المنسق (UTC) يوم الأحد، استغل المهاجمون ثغرة في التحكم في الوصول لعقد التكوين الخاص بـ USR، وهي عملة مستقرة تعتمد على بروتوكول Resolv، من خلال عملية التكوين، حيث قاموا بخلق حوالي 80 مليون رمز بدون ضمانات بقيمة تقارب 200,000 دولار من USDC، واستولوا على حوالي 25 مليون دولار من خلال التبادل في البورصات. بعد ذلك، انهارت مجموعة السيولة الرئيسية في Curve Finance إلى سعر 0.025 دولار.
آلية الهجوم: كيف تم استغلال عقد التكوين
(المصدر: Etherscan)
أول سجل لعملية غير طبيعية من حساب YieldsAndMore على شبكة الإيثيريوم: حيث قام المهاجمون بإيداع 100,000 USDC في عقد USR Counter الخاص بـ Resolv، وحصلوا على 50 مليون USR، أي حوالي 500 ضعف الكمية العادية؛ ثم قاموا بعملية ثانية لخلق 30 مليون USR إضافية، ليصل الإجمالي إلى حوالي 80 مليون USR.
حلل محللو الشبكة، مثل Andrew Hong، أن أصل الثغرة يعود إلى دور الصلاحية SERVICE_ROLE في البروتوكول. هذا الدور يُستخدم لإتمام طلبات التبادل، لكنه يُسيطر عليه حساب خارجي عادي (EOA) وليس بواسطة توقيع متعدد أكثر أمانًا. بالإضافة إلى ذلك، يفتقر عقد التكوين إلى التحقق من أسعار أوثان، وحدود على الكمية، وآليات تحديد سقف التكوين.
اقترحت صناديق التمويل اللامركزية D2 Finance ثلاث مسارات محتملة للهجوم: التلاعب في سعر الأوثان، اختراق الموقع الموقّع خارج السلسلة، أو غياب التحقق من الكمية بين طلب التكوين والتنفيذ.
تأثير السوق: انتشار تأثير الانفصال عن الربط إلى نظام DeFi للإقراض
(المصدر: Trading View)
بعد إتمام التكوين خلال 17 دقيقة، انهارت قيمة USR في مجموعة السيولة في Curve Finance إلى سعر 0.025 دولار، ثم ارتفعت مرة أخرى إلى حوالي 0.85 دولار، لكن لم تستعد الربط الكامل. العنوان الرئيسي للمهاجم (الذي يبدأ بـ 0x04A2) يمتلك في النهاية 11,409 من ETH، بقيمة تقارب 23.7 مليون دولار، وعنوان مرتبط آخر يمتلك حوالي مليون و100 ألف دولار من رموز wstUSR.
السلسلة التتابعية لتفكك USR عن الربط
تضرر سيولة منصات الإقراض: حيث يُستخدم USR وwstUSR كضمانات في منصات مثل Morpho وGauntlet، وبعد الانفصال عن الربط، قام بعض المضاربين بشراء USR بخصم، ثم اقترضوا USDC بقيمتها الاسمية، مما أدى إلى استنزاف السيولة في الخزائن بسرعة.
ضغط على طبقة التأمين RLP: كانت السيولة المتداولة قبل الهجوم في مجموعة Resolv حوالي 38.6 مليون دولار؛ وأكبر مالك، Stream Finance، يمتلك 13.6 مليون USR في Morpho، مع تعرض صافٍ يقارب 17 مليون دولار.
انخفاض رموز RESOLV الخاصة بالحوكمة: تأثرت بقيمة الحدث، حيث انخفضت حوالي 8.5% خلال 24 ساعة.
على الرغم من أن Resolv Labs أعلنت أن خزائن الضمان “سليمة تمامًا”، أشار محللو الشبكة إلى أن الهجوم كان في جوهره تضخيمًا في العرض وليس سرقة مباشرة للضمانات. حيث أدى إصدار 80 مليون رمز جديد إلى تخفيف حدة السيولة الحالية، وبيع المهاجمين أدى إلى تدمير السيولة، وواجه المستخدمون الذين يمتلكون USR خسائر فعلية خلال فترة الهجوم.
قيود التدقيق الأمني وتداخل السياسات التنظيمية
قال Deddy Lavid، المدير التنفيذي لشركة Cyvers: “الاعتماد فقط على التدقيق غير كافٍ، فبدون مراقبة فورية لكمية التكوين والإمداد، فإن الأمر يشبه العمى في اللحظات الحرجة.” وتدعي منصة Resolv أنها أكملت 14 تدقيقًا من خمس مؤسسات، وأنشأت خطة مكافآت ثغرات بقيمة 500,000 دولار عبر منصة Immunefi.
وقع الحادث في وقت حساس، حيث تعمل الهيئات التشريعية الأمريكية على تنظيم العملات المستقرة ذات العائد وفقًا لقانون GENIUS، وقد توصل العديد من أعضاء مجلس الشيوخ إلى اتفاق مبدئي بشأن طرق معالجة العوائد قبل وقوع الهجوم بيوم واحد. بالإضافة إلى ذلك، وفقًا لتقرير Immunefi الأخير، فإن متوسط خسائر هجمات التشفير في عام 2026 يقدر بحوالي 25 مليون دولار، وتطابق قيمة هذا الحادث المتوسط الصناعي.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
