刚刚看到ARB شبكة حدثت فيها هجمة، حقًا مخيفة بعض الشيء. وفقًا لبيانات Cyvers، قام المهاجمون من خلال استغلال ثغرة في عقد الوكيل بسرقة 1.5 مليون دولار مرة واحدة، وتشمل المشاريع USDGambit و TLP.

أسلوب الهجوم كان في الواقع استهداف صلاحية ProxyAdmin. قام المهاجمون بنشر عقد خاص بهم، وتحديث صلاحيات المدير، متجاوزين قيود الصلاحية الأصلية. تم تحويل 1.5 مليون دولار من USDT على عنوان الضحية مباشرة إلى محفظة المهاجم. نظرت في سجل المعاملات، كانت تدفقات الأموال واضحة جدًا، فهي مجرد تحويل مباشر.

الأكثر إثارة للدهشة هو أن الأموال المسروقة تم نقلها عبر السلسلة إلى إيثريوم، ثم أُدخلت في Tornado Cash لإخفاء مصدر الأموال. بهذه الطريقة، أصبح من المستحيل تقريبًا تتبع الـ1.5 مليون دولار. هذا الحدث كشف حقًا عن ثغرة كبيرة في إدارة العقود الوكيلة، خاصة مخاطر إدارة الصلاحيات المركزية. يبدو أن مشاريع DeFi بحاجة إلى تعزيز تدقيق أمان العقود بشكل أكبر.