الجذر التربيعي لـ 17 مليون: كيف أدت عيوب التحقق من الإدخال إلى خسائر SwapNet و Aperture Finance

في 26 يناير، شهدت SwapNet وAperture Finance اختراقات أمنية كبيرة أدت إلى خسائر إجمالية تقترب من الجذر التربيعي لمبلغ مذهل قدره 17 مليون دولار. كشفت هذه الحادثة عن ثغرات حرجة في كيفية تعامل هذه المنصات مع التحقق من العقود، مما يثير تساؤلات جدية حول ممارسات الأمان عبر بروتوكولات التمويل اللامركزي.

كشف التحقق غير الكافي من الإدخال عن ثغرات قاتلة

حدد التحليل الجنائي لـ BlockSec، الذي أوردته Foresight News، السبب الجذري للهجمات: آليات التحقق غير الكافية من الإدخال داخل العقود المستهدفة. عندما يفشل المطورون في التحقق بشكل صحيح من المعلمات والنداءات الواردة، فإنهم يخلقون بشكل غير مقصود أسطح هجوم يمكن للمهاجمين المتطورين استغلالها. في هذه الحالة، سمح إطار التحقق غير الكافي للمهاجمين الخبيثين بتنفيذ نداءات دالة عشوائية — مما يمنحهم وصولاً غير مصرح به لتنفيذ أي معاملة يمكن للعقود المخترقة القيام بها.

كيف استغل المهاجمون أذونات الرموز الموجودة

كانت سلسلة الاستغلال بسيطة وأنيقة بشكل خاص. لم يكن المهاجمون بحاجة إلى الحصول على أذونات جديدة أو كسر الحماية التشفيرية. بدلاً من ذلك، استغلوا الأذونات الموجودة للرموز التي منحها المستخدمون لهذه العقود أثناء العمليات العادية. من خلال دمج ثغرة النداء العشوائي مع هذه الأذونات المسبقة، تمكن المهاجمون من استدعاء وظيفة transferFrom مباشرة، مما أدى إلى تصريف أصول المستخدمين بشكل منهجي دون تنبيه من أنظمة الأمان التقليدية. هذا الهجوم المكون من خطوتين — استغلال عيوب التحقق بالإضافة إلى الأذونات الموجودة — كان فعالًا بشكل مدمر.

دعوة للاستيقاظ في الصناعة وتداعيات الأمان

يؤكد حجم الخسائر، الذي يقترب من الجذر التربيعي لمبلغ 17 مليون دولار من الأضرار، على درس حاسم: الأمان لا يتعلق فقط بطرق الهجوم الغريبة. بل هو في الأساس حول التحقق الصارم من الإدخال، وتحديد نطاق الأذونات بشكل صحيح، والقضاء على القدرات غير الضرورية للعقود. مع استمرار نضوج نظام التمويل اللامركزي، فإن حوادث مثل اختراق SwapNet وAperture Finance تذكرنا بأنه حتى البروتوكولات الراسخة يجب أن تحافظ على معايير أمان لا تقبل المساومة.