العقود الآجلة
وصول إلى مئات العقود الدائمة
CFD
الذهب
منصّة واحدة للأصول التقليدية العالمية
الخیارات المتاحة
Hot
تداول خيارات الفانيلا على الطريقة الأوروبية
الحساب الموحد
زيادة كفاءة رأس المال إلى أقصى حد
التداول التجريبي
مقدمة حول تداول العقود الآجلة
استعد لتداول العقود الآجلة
أحداث مستقبلية
"انضم إلى الفعاليات لكسب المكافآت "
التداول التجريبي
استخدم الأموال الافتراضية لتجربة التداول بدون مخاطر
إطلاق
CandyDrop
اجمع الحلوى لتحصل على توزيعات مجانية.
منصة الإطلاق
-التخزين السريع، واربح رموزًا مميزة جديدة محتملة!
HODLer Airdrop
احتفظ بـ GT واحصل على توزيعات مجانية ضخمة مجانًا
Pre-IPOs
افتح الوصول الكامل إلى الاكتتابات العامة للأسهم العالمية
نقاط Alpha
تداول الأصول على السلسلة واكسب التوزيعات المجانية
نقاط العقود الآجلة
اكسب نقاط العقود الآجلة وطالب بمكافآت التوزيع المجاني
عروض ترويجية
AI
Gate AI
شريكك الذكي الشامل في الذكاء الاصطناعي
Gate AI Bot
استخدم Gate AI مباشرة في تطبيقك الاجتماعي
GateClaw
Gate الأزرق، جاهز للاستخدام
Gate for AI Agent
البنية التحتية للذكاء الاصطناعي، Gate MCP، Skills و CLI
Gate Skills Hub
أكثر من 10 آلاف مهارة
من المكتب إلى التداول، مكتبة المهارات الشاملة تجعل الذكاء الاصطناعي أكثر فعالية
GateRouter
ختر بذكاء من أكثر من 40 نموذج ذكاء اصطناعي، بدون أي رسوم إضافية 0%
#StablRStablecoinDepegsAfterExploit
هذا مثال كلاسيكي ومؤلم على "الحوكمة باسم فقط" التي تعود لتؤذي مشروعًا. عندما يستخدم بروتوكول توقيع متعدد من واحد من ثلاثة لأمر حاسم مثل حقوق التوريد، فإنه يقضي تمامًا على هدف وجود محفظة توقيع متعدد في المقام الأول.
إليك تحليل لما حدث بشكل خاطئ، كيف استخرج المهاجم الأموال، ولماذا كانت "الأرباح" أقل بكثير من القيمة الاسمية للرموز.
كيف تطورت الهجمة
كان الاستغلال في الأساس فشلًا في إدارة المفاتيح أكثر من كونه ثغرة برمجية. لأنه يتطلب توقيع واحد فقط من ثلاثة لتنفيذ المعاملات، فإن اختراق مفتاح خاص واحد أعطى المهاجم مفاتيح كاملة للمملكة.
تقدم الهجمة
الخطوة 1: اختراق المفتاح والسيطرة: حصل المهاجم على وصول إلى أحد المفاتيح الخاصة الثلاثة. باستخدام هذا التوقيع الوحيد، نفذ أمرًا إداريًا لإضافة عنوانه الخاص كمالك وإزالة الموقعين الشرعيين الآخرين تمامًا.
الخطوة 2: التوريد غير المدعوم: مع السيطرة الكاملة على عقد التوريد، قام فورًا بتوريد 8.35 مليون USDR و4.5 مليون EURR دون تقديم أي ضمانات.
الخطوة 3: تصفية البورصة اللامركزية: سارع المهاجم إلى البورصات اللامركزية (DEXs) لمبادلة الرموز غير المدعومة بالإيثريوم (ETH).
الانزلاق والسيولة الضعيفة: خصم 7.6 مليون دولار
قام المهاجم بتوريد قيمة اسمية مجمعة تقارب 10.4 مليون دولار عند السعر الثابت. ومع ذلك، غادر فقط بما يقارب 1,115 ETH (حوالي 2.8 مليون دولار).
لماذا الفارق الكبير؟ السيولة الضعيفة.
تستند تجمعات العملات المستقرة على DEXs إلى سيولة عميقة للحفاظ على تسعير صانع السوق الآلي (AMM). نظرًا لأن تجمعات StablR كانت ضحلة نسبيًا، فإن أوامر البيع المفاجئة والكبيرة للمهاجم أغرقت السيولة المتاحة تمامًا. أدى ذلك إلى انزلاق سعر شديد، مما أدى فعليًا إلى انهيار قيمة الرموز التي كانوا يحاولون تصفيتها أثناء عملية المبادلة نفسها.
اللمسة التنظيمية (MiCA)
ما يجعل هذا الأمر ملحوظًا بشكل خاص هو تموضع StablR كمصدر مرخص ومنظم في أوروبا ومتوافق مع MiCA. تنظيم الأسواق في الأصول المشفرة (MiCA) يفرض قواعد صارمة على الاحتياطيات، ومتطلبات رأس المال، والتدقيق.
ومع ذلك، كما أشارت شركة الأمان Blockaid، فإن التدقيقات التنظيمية القياسية عادةً تركز على الاحتياطيات المالية والهياكل القانونية بدلاً من الأمان التشغيلي التقني في الوقت الحقيقي (OpSec). الامتثال القانوني لا يساوي تلقائيًا الأمان التشفيري الهيكلي؛ فهيكل التوقيع متعدد من واحد من ثلاثة هو نقطة فشل واضحة بغض النظر عن مدى التوافقية القانونية للشركة على الورق.