العقود الآجلة
وصول إلى مئات العقود الدائمة
TradFi
الذهب
منصّة واحدة للأصول التقليدية العالمية
الخیارات المتاحة
Hot
تداول خيارات الفانيلا على الطريقة الأوروبية
الحساب الموحد
زيادة كفاءة رأس المال إلى أقصى حد
التداول التجريبي
مقدمة حول تداول العقود الآجلة
استعد لتداول العقود الآجلة
أحداث مستقبلية
"انضم إلى الفعاليات لكسب المكافآت "
التداول التجريبي
استخدم الأموال الافتراضية لتجربة التداول بدون مخاطر
إطلاق
CandyDrop
اجمع الحلوى لتحصل على توزيعات مجانية.
منصة الإطلاق
-التخزين السريع، واربح رموزًا مميزة جديدة محتملة!
HODLer Airdrop
احتفظ بـ GT واحصل على توزيعات مجانية ضخمة مجانًا
منصة الإطلاق
كن من الأوائل في الانضمام إلى مشروع التوكن الكبير القادم
نقاط Alpha
تداول الأصول على السلسلة واكسب التوزيعات المجانية
نقاط العقود الآجلة
اكسب نقاط العقود الآجلة وطالب بمكافآت التوزيع المجاني
المزيد
$17 مليون خسارة تكشف عن فجوة حاسمة في التحقق من الإدخال في SwapNet و Aperture Finance
في 26 يناير، وقع بروتوكولان من بروتوكولات التمويل اللامركزي — SwapNet و Aperture Finance — ضحية هجمات منسقة أدت إلى سرقة ما مجموعه 17 مليون دولار من خزائنهما. كشف باحثو الأمن في BlockSec، أثناء تحليلهم للحادث لصالح Foresight News، عن خلل مشترك ولكنه مدمر في جوهر الاختراقين: ضعف في التحقق من صحة الإدخالات في عقودهما الذكية.
الثغرة الأمنية: ضعف التحقق من صحة الإدخالات يفتح الباب
يرجع السبب الجذري إلى عدم وجود تدابير حماية كافية في كيفية معالجة العقود المستهدفة لمكالمات الوظائف الواردة. سمح هذا الضعف للمهاجمين بتنفيذ مكالمات وظائف عشوائية ضد العقود، مما مكنهم من الوصول غير المصرح به إلى منطقها الداخلي. بدلاً من بناء استغلالات هجوم مخصصة من الصفر، استغل المهاجمون نهجًا أكثر أناقة — حيث حوّلوا صلاحيات الرموز الموجودة بالفعل الممنوحة لهذه البروتوكولات إلى سلاح.
كيف أصبحت موافقات الرموز الحالية عبئًا
استغل آلية الهجوم نمطًا أساسيًا في التمويل اللامركزي: موافقات الرموز. غالبًا ما يمنح المستخدمون العقود الذكية إذنًا لإنفاق رموزهم عبر وظيفة transferFrom، وهو ممارسة قياسية في تفاعلات البورصات اللامركزية وزراعة العوائد. في هذه الحالة، استخدم المهاجمون عيوب التحقق من صحة الإدخالات لانتحال صفة المعاملات الشرعية، مما أدى إلى استدعاءات transferFrom التي استنزفت الرموز مباشرة من محافظ المستخدمين واحتياطيات البروتوكول. العقود، غير قادرة على التحقق بشكل صحيح مما إذا كانت العمليات المطلوبة شرعية، نفذت هذه التحويلات الخبيثة دون مقاومة.
ما يكشفه هذا عن أمان التمويل اللامركزي
حادثة سرقة 17 مليون دولار تؤكد كيف يمكن أن تتراكم الثغرات في تصميم العقود إلى خسائر كارثية. يُعتبر التحقق من صحة الإدخالات — التأكد من أن معلمات الوظائف شرعية قبل التنفيذ — عنصرًا أساسيًا يُنظر إليه غالبًا على أنه خطوة أساسية في قائمة التحقق. ومع ذلك، كما يُظهر تحليل BlockSec، حتى البروتوكولات ذات الخبرة يمكن أن تتعثر في أساسيات الأمان. للمنظومة الأوسع للتمويل اللامركزي، الدرس واضح: التحقق القوي من صحة الإدخالات ليس مجرد إجراء أمني اختياري؛ إنه دفاع أساسي يحدد الفرق بين السلامة التشغيلية والتعرض الكامل للاختراق.