تعرضت شركة Curio لاستغلال بقيمة 16 مليون دولار بسبب ثغرة في قوة التصويت

فريق التحرير
كتب فريق التحرير 5 دقيقة للقراءة

وقع مشروع كوريو، وهو مشروع يركز على تسهيل السيولة من الأصول الحقيقية للشركات، ضحية لاستغلال العقود الذكية المتعلقة بضعف امتيازات قوة التصويت.

وقالت شركة Curio إنها ستجري برنامج تعويضات مالية لمزودي السيولة المتأثرين، والذي قد يستغرق ما يصل إلى عام واحد حتى يكتمل.

شركة Curio تُبلغ عن استغلال العقود الذكية وثغرات التصويت، وتؤكد للمستخدمين اتخاذ إجراءات فورية وإجراءات أمنية

وفقا لشركة الأمن Web3 Cyvers، من المرجح أن يكون الاختراق قد حدث بسبب ثغرة أمنية في منطق الوصول المسموح به. سمحت هذه الثغرة الأمنية للمهاجم بإنشاء مليار رمز CGT إضافي، مما أدى بدوره إلى حصول المتسلل على رموز CGT بقيمة 16 مليون دولار تقريبًا.

تأتي رسالة Cyvers Alerts بعد أن حذرت شركة Curio المجتمع من استغلال العقد الذكي في 23 مارس.

التحف أخطرت أناts من الاستغلال من خلال منشور على X وأكد لهم أنه يعالج الموقف بنشاط. تم الكشف عن تعرض العقد الذكي المستند إلى MakerDAO والمستخدم داخل Curio للاختراق.

كما يؤكدون للمستخدمين أن العقد الذكي من جانب الإيثيريوم فقط هو الذي تأثر، وأن جميع العقود على Polkadot وCurio Chain ظلت آمنة. وقال فريق النظام البيئي كوريو،

“لسوء الحظ، تم استغلال العقود الذكية المستندة إلى MakerDAO والمستخدمة داخل نظامنا البيئي على جانب Ethereum. نحن نتعامل مع الموقف بنشاط وسنبقيك على اطلاع دائم. كن مطمئنًا، تظل جميع عقود Polkadot وCurio Chain آمنة.”

في 25 مارس كوريو أصدرت تقريرا بعد الوفاة على استغلال وخطة التعويض للمستخدمين المتضررين. وأوضح التقرير أن المشكلة تنبع من خلل في التحكم في الوصول إلى امتيازات قوة التصويت.

تمكن المهاجم من الوصول إلى عدد قليل من رموز Curio Governance (CGT)، مما مكنهم من زيادة قوة التصويت الخاصة بهم ضمن العقد الذكي للمشروع. ومع قوة التصويت المرتفعة، نفذ المهاجم سلسلة من الخطوات التي سمحت له بتنفيذ إجراءات تعسفية ضمن عقد Curio DAO، مما أدى في النهاية إلى سك كمية كبيرة من رموز CGT بشكل غير مصرح به.

تعلن شركة Curio عن خطط التعافي وبرنامج التعويضات بعد الاستغلال

بعد هذا الاستغلال، أعلنت شركة Curio عن خطط لمكافأة قراصنة القبعة البيضاء الذين ساعدوهم في استعادة الأموال المفقودة. وذكر الفريق أن المتسللين يمكن أن يحصلوا على مكافأة تعادل 10% من الأموال المستردة خلال مرحلة الاسترداد الأولية.

وذكر فريق كوريو أيضًا أن جميع الأموال المتضررة من الهجوم ستعاد إلى الأطراف المتضررة. لتسهيل ذلك، أعلن الفريق عن إنشاء رمز مميز جديد يسمى CGT 2.0، والذي سيتم استخدامه لاستعادة 100٪ من الأموال لحاملي CGT.

بالإضافة إلى ذلك، أوضحت شركة Curio برنامج تعويضات مالية لمزودي السيولة المتأثرين بالاستغلال. سيتم تنفيذ برنامج التعويضات على أربع مراحل متتالية، تستمر كل منها 90 يومًا.

خلال كل مرحلة، سيتم دفع التعويض بعملة USDC أو USDT، بما يصل إلى 25% من الخسائر التي تكبدها الرمز الثاني في مجمعات السيولة. يشير هذا النهج المرحلي إلى أن التعويض الإجمالي قد يستغرق ما يصل إلى عام واحد حتى يكتمل.

في فبراير، الخسائر الناجمة عن الاختراق والاحتيال انخفضت إلى حوالي 67 مليون دولار، ما يقرب من نصف رقم يناير. كانت جميع نواقل الهجوم مرتبطة بقطاع التمويل اللامركزي (DeFi)، في حين ظلت المنصات المركزية غير متأثرة.

تُعزى معظم الخسائر في شهر فبراير إلى اختراقات منصة الألعاب PlayDapp والبورصة اللامركزية FixedFloat، والتي خسرت مجتمعة 58.45 مليون دولار. بالإضافة إلى ذلك، تكبد كازينو Duelbits للعملات المشفرة خسارة قدرها 4.6 مليون دولار بسبب اختراق المفتاح الخاص.

شارك المقال
اترك تعليقك

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *