قام برنامج تشفير تابع لجهة خارجية يحمل اسم "Squid" بسحب ما يقارب 3.2 مليون دولار من 86 خزنة Gnosis Safes على منصتي Ethereum وBase، مما أثار حالة من الارتباك في جميع أنحاء نظام DeFi البيئي بعد أن اعتقد المستخدمون في البداية أن الثغرة مرتبطة بـ Squid نفسها.
وقالت شركتا أمن البلوك تشين Blockaid وPeckShield إن العقد المعرض للثغرة، والذي تم التحقق منه على Basescan تحت اسم "SquidRouterModule"، لم يتم تطويره أو نشره أو تشغيله بواسطة Squid.
وكتب فيج، المؤسس المشارك لـ Squid، على منصة X: "لا نعرف حتى الآن من كتب أو نشر هذا"، مضيفًا أن البنية التحتية الأساسية لجهاز التوجيه للمشروع ظلت سليمة لأن الوحدة المتأثرة تعمل بشكل مستقل عن بنية بروتوكول Squid.
استغرقت عملية الاستغلال ساعتين تقريبًا، واستنزفت الأموال من عشرات الخزائن قبل أن يجمع المهاجمون العائدات في ملايين من عملة DAI.
وفقًا لشركة Squid، نجح الاستغلال لأن الوحدة النمطية قبلت بشكل غير صحيح سلسلة ثابتة مقدمة من المتصل كدليل على أن المعاملة آمنة.
سمحت هذه الثغرة النمطية للمهاجمين بتنفيذ بيانات استدعاء عشوائية ونقل الرموز المميزة من خزائن الضحايا دون الحاجة إلى توقيعات صالحة.
ذكرت Blockaid أن المهاجم نشر عقود استغلال مبنية على Foundry تستهدف مسار تنفيذ "DelegateBundler" الخاص بالوحدة. من خلال انتحال صفة المندوبين المعتمدين على كل خزنة، تمكن المهاجم من إحداث عمليات تبادل غير مصرح بها عبر مجمعات سيولة Uniswap V3.
تم توجيه الأصول المسروقة عبر مجمعات سيولة يتحكم بها المهاجم وتحويلها إلى رمز عديم القيمة يُسمى "u"، مما أدى فعليًا إلى احتجاز القيمة داخل مجمعات تم التلاعب بها قبل أن يقوم المهاجم لاحقًا بسحب السيولة واستخراج الأموال.
وفقًا لـ PeckShield، قام المهاجم في النهاية بتجميع ما يقرب من 3.07 مليون DAI في محفظة تبدأ بـ "0xa447...54859".
ورد أن عملية الاختراق قد تم ضخها بـ 2.1 ETH مصدرها Tornado Cash. ردّت منصة Squid بقوة على التقارير الأولية التي وصفت الحادث بأنه استغلال لثغرة "SquidRouter"، بحجة أن التسمية تخلق ارتباطًا مضللًا بالبروتوكول نفسه.
وأوضح المشروع أن الوحدة ببساطة اندمجت مع Squid إلى جانب بروتوكولات أخرى، وأنها تعمل خارج سيطرة الفريق تمامًا.
"يحمل العقد اسم Squid، لكنه لا يرتبط بـ Squid."
يسلط هذا الحادث الضوء على مشكلة متنامية في مجال التمويل اللامركزي، حيث يمكن لأدوات الطرف الثالث وعمليات التكامل ووحدات العقود الذكية الاستفادة من العلامة التجارية للبروتوكول مع الحفاظ على استقلاليتها التشغيلية عن المشاريع التي تشير إليها.
غالبًا ما يصبح هذا الفصل غير واضح للمستخدمين فقط بعد وقوع الثغرات.
يُضاف هذا الهجوم إلى عام يزداد فيه خطر الاختراقات الأمنية في مجال التمويل اللامركزي.
وفقًا لبيانات من The Block، فقد عانت بروتوكولات التمويل اللامركزي بالفعل من المزيد خسائر تتجاوز 770 مليون دولار خلال عام 2026. وشهد شهر أبريل وحده ما يقارب 30 حادثة منفصلة، وسُرقت أموال تجاوزت 630 مليون دولار.
من المرجح أن يؤدي هذا الاستغلال الأخير إلى تكثيف التدقيق حول عمليات دمج العقود الذكية التابعة لجهات خارجية ووحدات المحافظ القادرة على التفاعل مباشرة مع أصول المستخدم.
مع ازدياد ترابط بنية التمويل اللامركزي (DeFi) وتكاملها، يحذر باحثو الأمن من أن عمليات الدمج غير الرسمية والعقود المنشورة خارجيًا قد تستمر في خلق ثغرات أمنية خفية قادرة على تجاوز افتراضات ثقة المستخدم وسمعة البروتوكول على حد سواء.
داهمت الشرطة الروسية موقعًا في سانت بطرسبرغ، وصادرت أكثر من 2700 جهاز تعدين عملات رقمية كانت تعمل سرًا لمدة سبع سنوات. ويُتهم المشغلون بالتلاعب بعدادات الكهرباء لسرقة الكهرباء، مما تسبب في خسائر فادحة للشبكة.
Anaisيخطط بنك إنجلترا لتخفيف القيود المفروضة على حيازات الشركات من العملات المستقرة، مما يسمح بإعفاءات لشركات مثل بورصات العملات المشفرة، واختبار استخدامها في بيئة اختبار الأوراق المالية الرقمية. تأتي هذه الخطوة في ظلّ مواجهة المملكة المتحدة لمنافسة عالمية، وتهدف إلى دعم الابتكار مع إبقاء المخاطر المالية تحت السيطرة.
Weatherlyتم اختراق حساب PancakeSwap الصيني X، حيث تم الترويج لرمز مزيف حقق تداولات تجاوزت 20 مليون دولار قبل إيقاف عملية الاحتيال. لم تُفقد أي أموال من المنصة، لكن بعض المستخدمين وقعوا ضحايا، وخسروا ما بين 8000 و13000 دولار بسبب هجوم التصيد الاحتيالي.
Anaisأطلقت ميتاماسك تداول العقود الآجلة الدائمة، وستدمج قريبًا أسواق التنبؤ الخاصة ببولي ماركت، مما يتيح للمستخدمين التداول والمضاربة مع الحفاظ على التحكم الكامل في أموالهم. كما تُطلق المنصة برنامج مكافآت قبل إطلاق رمزها المميز، مُشيرةً بذلك إلى تحولها من محفظة إلى مركز مالي أوسع.
Weatherlyتعرض الحساب الرسمي لنادي برشلونة لكرة القدم على إنستغرام للاختراق للترويج لرمز $FCB مزيف على بلوكتشين سولانا، مما أدى إلى تضليل المشجعين والتسبب في خسائر مالية محتملة. ارتفعت قيمة الرمز لفترة وجيزة إلى 3 ملايين دولار قبل أن تنهار، مما يُبرز مخاطر عمليات الاحتيال باستخدام علامات تجارية شهيرة وعملات رقمية غير موثقة.
Joyسجلت شركة جيميني كيانًا محليًا لدى هيئة تنظيم الخدمات المالية الأسترالية (AUSTRAC)، مما يسمح لها بالعمل بشكل كامل في أستراليا ودمج أنظمة الدفع المحلية لإجراء تحويلات أسرع وأقل تكلفة. وتخطط البورصة للتقدم بطلب للحصول على ترخيص الخدمات المالية الأسترالية وتوسيع نطاق عروضها، مما يمثل خطوة رئيسية في نموها في منطقة آسيا والمحيط الهادئ.
Weatherlyاستحوذت باي باي على حصة 40% في بينانس اليابان، ما يربط نظامها للدفع غير النقدي بمنصة تداول العملات المشفرة. تتيح هذه الشراكة للمستخدمين شراء وبيع العملات المشفرة باستخدام أرصدة باي باي، مما يُسهّل الوصول إلى العملات المشفرة لملايين الأشخاص في اليابان.
Anaisأطلقت كوين بيس تداولًا لامركزيًا مباشرةً عبر تطبيقها للهواتف المحمولة، مما يتيح لمستخدمي الولايات المتحدة تداول ملايين التوكنات فورًا، باستثناء سكان نيويورك. يدمج التطبيق منصتي تجميع العملات الرقمية اللامركزية 1inch و0x للتداول بدون وصاية، كما يوفر خدمة التخزين في الولايات التي تسمح بذلك.
Anaisأصبح بإمكان هيئة الضرائب في كوريا الجنوبية الآن زيارة المنازل لمصادرة العملات المشفرة المُخزّنة في محافظ باردة من دافعي الضرائب الذين لم يدفعوا. وقد صادرت الهيئة بالفعل أكثر من 146 مليار وون (103 ملايين دولار) من العملات المشفرة من أكثر من 14 ألف شخص خلال السنوات الأربع الماضية.
Anaisتعرض رجل في هرتسليا لاعتداء في منزله على يد ثلاثة رجال، سرقوا مبلغ 547,260 دولارًا من عملة بيتكوين، و42,248 دولارًا من عملة تيثر الأمريكية، وساعة رولكس، ومحفظة تريزور، ونقودًا. طعن المهاجم الرئيسي، مراد محاجنة، الضحية وهدد عائلته، ثم أُلقي القبض عليه لاحقًا، وعُثر بحوزته على أدلة تربطه بالجريمة.
Weatherly