وقع مشروع كوريو، وهو مشروع يركز على تسهيل السيولة من الأصول الحقيقية للشركات، ضحية لاستغلال العقود الذكية المتعلقة بضعف امتيازات قوة التصويت.
وقالت شركة Curio إنها ستجري برنامج تعويضات مالية لمزودي السيولة المتأثرين، والذي قد يستغرق ما يصل إلى عام واحد حتى يكتمل.
شركة Curio تُبلغ عن استغلال العقود الذكية وثغرات التصويت، وتؤكد للمستخدمين اتخاذ إجراءات فورية وإجراءات أمنية
🚨تنبيه🚨@curio_invest تعرض لاستغلال بقيمة 16 مليون دولار يتضمن عقدًا ذكيًا يعتمد على @MakerDAO داخل نظامهم البيئي!
يبدو أن الاستغلال ينبع من ثغرة أمنية في منطق الوصول إلى الأذونات. استفاد المهاجم من هذه الثغرة الأمنية لسك 1B إضافية $CGT.… https://t.co/xWvvYzrWaI pic.twitter.com/mdrKyV3t9U
— 🚨 تنبيهات سايفرز 🚨 (@CyversAlerts) 25 مارس 2024
وفقا لشركة الأمن Web3 Cyvers، من المرجح أن يكون الاختراق قد حدث بسبب ثغرة أمنية في منطق الوصول المسموح به. سمحت هذه الثغرة الأمنية للمهاجم بإنشاء مليار رمز CGT إضافي، مما أدى بدوره إلى حصول المتسلل على رموز CGT بقيمة 16 مليون دولار تقريبًا.
تأتي رسالة Cyvers Alerts بعد أن حذرت شركة Curio المجتمع من استغلال العقد الذكي في 23 مارس.
تنبيه المجتمع: لقد تم إخطارنا للتو بوجود استغلال للعقد الذكي داخل نظامنا البيئي. لسوء الحظ، تم استغلال العقد الذكي القائم على MakerDAO والمستخدم داخل نظامنا البيئي من جانب Ethereum. نحن نتعامل مع الموقف بنشاط وسنبقيك على اطلاع دائم. استراحة…
— النظام البيئي للتحف | رمز العالم (@curio_invest) 23 مارس 2024
التحف أخطرت أناts من الاستغلال من خلال منشور على X وأكد لهم أنه يعالج الموقف بنشاط. تم الكشف عن تعرض العقد الذكي المستند إلى MakerDAO والمستخدم داخل Curio للاختراق.
كما يؤكدون للمستخدمين أن العقد الذكي من جانب الإيثيريوم فقط هو الذي تأثر، وأن جميع العقود على Polkadot وCurio Chain ظلت آمنة. وقال فريق النظام البيئي كوريو،
“لسوء الحظ، تم استغلال العقود الذكية المستندة إلى MakerDAO والمستخدمة داخل نظامنا البيئي على جانب Ethereum. نحن نتعامل مع الموقف بنشاط وسنبقيك على اطلاع دائم. كن مطمئنًا، تظل جميع عقود Polkadot وCurio Chain آمنة.”
في 25 مارس كوريو أصدرت تقريرا بعد الوفاة على استغلال وخطة التعويض للمستخدمين المتضررين. وأوضح التقرير أن المشكلة تنبع من خلل في التحكم في الوصول إلى امتيازات قوة التصويت.
تمكن المهاجم من الوصول إلى عدد قليل من رموز Curio Governance (CGT)، مما مكنهم من زيادة قوة التصويت الخاصة بهم ضمن العقد الذكي للمشروع. ومع قوة التصويت المرتفعة، نفذ المهاجم سلسلة من الخطوات التي سمحت له بتنفيذ إجراءات تعسفية ضمن عقد Curio DAO، مما أدى في النهاية إلى سك كمية كبيرة من رموز CGT بشكل غير مصرح به.
تعلن شركة Curio عن خطط التعافي وبرنامج التعويضات بعد الاستغلال
🚀أخبار مثيرة! إن إستراتيجية CurioDAO للتعافي من الاستغلال الأخير جارية حاليًا. إليك ما يحدث:
– الاستجابة السريعة: تحرك فريقنا على الفور لاحتواء التأثير.
– التدابير الأمنية المعززة: تنفيذ بروتوكولات أمنية قوية لمنع وقوع حوادث في المستقبل.
-…— النظام البيئي للتحف | رمز العالم (@curio_invest) 25 مارس 2024
بعد هذا الاستغلال، أعلنت شركة Curio عن خطط لمكافأة قراصنة القبعة البيضاء الذين ساعدوهم في استعادة الأموال المفقودة. وذكر الفريق أن المتسللين يمكن أن يحصلوا على مكافأة تعادل 10% من الأموال المستردة خلال مرحلة الاسترداد الأولية.
وذكر فريق كوريو أيضًا أن جميع الأموال المتضررة من الهجوم ستعاد إلى الأطراف المتضررة. لتسهيل ذلك، أعلن الفريق عن إنشاء رمز مميز جديد يسمى CGT 2.0، والذي سيتم استخدامه لاستعادة 100٪ من الأموال لحاملي CGT.
بالإضافة إلى ذلك، أوضحت شركة Curio برنامج تعويضات مالية لمزودي السيولة المتأثرين بالاستغلال. سيتم تنفيذ برنامج التعويضات على أربع مراحل متتالية، تستمر كل منها 90 يومًا.
خلال كل مرحلة، سيتم دفع التعويض بعملة USDC أو USDT، بما يصل إلى 25% من الخسائر التي تكبدها الرمز الثاني في مجمعات السيولة. يشير هذا النهج المرحلي إلى أن التعويض الإجمالي قد يستغرق ما يصل إلى عام واحد حتى يكتمل.
في فبراير، الخسائر الناجمة عن الاختراق والاحتيال انخفضت إلى حوالي 67 مليون دولار، ما يقرب من نصف رقم يناير. كانت جميع نواقل الهجوم مرتبطة بقطاع التمويل اللامركزي (DeFi)، في حين ظلت المنصات المركزية غير متأثرة.
تُعزى معظم الخسائر في شهر فبراير إلى اختراقات منصة الألعاب PlayDapp والبورصة اللامركزية FixedFloat، والتي خسرت مجتمعة 58.45 مليون دولار. بالإضافة إلى ذلك، تكبد كازينو Duelbits للعملات المشفرة خسارة قدرها 4.6 مليون دولار بسبب اختراق المفتاح الخاص.