توقف العقود الذكية: كشف النقطة العمياء في أمان DeFi

قام بروتوكول Bunni DEX بتعليق عقوده الذكية مؤقتًا بعد استغلال كبير أدى إلى فقدان ما يقارب 8.4 ملايين دولار من الأصول. تم الإبلاغ عن الحادث عبر عدة شبكات بلوكشين، ويعد هذا واحدًا من أكبر عمليات الاستغلال في مجال التبادل اللامركزي (DEX) خلال الأشهر الأخيرة. استغل الهجوم ثغرات في وظيفة البروتوكول عبر السلاسل، مما مكن الجاني من سحب الأموال من عدة سلاسل في الوقت نفسه [1].

تشير التحليلات الجنائية الأولية إلى أن الاستغلال استهدف آليات صانع السوق الآلي (AMM) الخاصة بالبروتوكول، والتي تُستخدم لتسهيل التداولات دون الحاجة إلى دفتر أوامر تقليدي. تضمن الاستغلال تلاعبًا معقدًا في مجمعات السيولة، مما سمح للمهاجم بسحب الأصول عبر عدة سلاسل مترابطة قبل اكتشاف الثغرة [2]. لا يزال التحليل الفني المفصل لهذا الاستغلال قيد الانتظار، لكن التقارير الأولية تشير إلى أن الثغرة كانت مرتبطة بطريقة التعامل مع تحويلات السيولة عبر السلاسل وغياب آليات تحقق كافية [3].

استجابةً للحادث، أصدرت فريق Bunni بيانًا طارئًا أوقف جميع أنشطة العقود الذكية لمنع المزيد من الخسائر. تم اتخاذ هذا القرار بعد أن كشف تدقيق داخلي أن الاستغلال يمكن أن يتكرر إذا بقيت العقود نشطة. في إعلان عام على وسائل التواصل الاجتماعي، أكد الفريق أنه لم يتم تجميد أموال المستخدمين عمدًا وأن الإيقاف كان إجراءً احترازيًا لتأمين المنصة [4]. كما أطلق الفريق تحقيقًا داخليًا ويعمل مع مدققي أمان من طرف ثالث لتحديد السبب الجذري للثغرة [5].

تم الإبلاغ على نطاق واسع عن التأثير المالي لهذا الاستغلال، حيث تتبع شركات تحليلات البلوكشين حركة الأصول المسروقة عبر عدة سلاسل. ووفقًا للتقارير، تم نقل الأموال المسروقة إلى محافظ مرتبطة بتبادلات الويب المظلم وبروتوكولات تركز على الخصوصية، مما جعل جهود الاسترداد صعبة. وعلى الرغم من جهود باحثي أمان البلوكشين لتتبع المعاملات، إلا أن طبقة إخفاء الهوية التي أضيفت باستخدام عملات الخصوصية وأجهزة المزج قد حدت من إمكانية تتبع الوجهات النهائية للأموال [6].

لاحظ مراقبو الصناعة أن هذا الحادث يسلط الضوء على التحديات الأمنية المستمرة في نظام التمويل اللامركزي (DeFi). وبينما تستمر بروتوكولات DeFi في جذب تدفقات رأسمالية كبيرة، تؤكد مثل هذه الحوادث على المخاطر المرتبطة بنشر بنية تحتية مالية جديدة بسرعة دون تحقق أمني شامل. كما أثار الاستغلال مخاوف بشأن فعالية ممارسات تدقيق العقود الذكية الحالية والحاجة إلى آليات حوكمة أكثر قوة داخل البروتوكولات اللامركزية [7].

لم تعلن Bunni بعد عن جدول زمني لاستئناف الخدمات. وأشار الفريق إلى أن إيقاف العقود الذكية سيظل ساريًا حتى يتم تنفيذ تصحيح أمني كامل واختباره بدقة. في هذه الأثناء، يحث البروتوكول المستخدمين على مراقبة محافظهم والإبلاغ عن أي نشاط مشبوه. ويعد هذا الحادث تذكيرًا صارخًا بالثغرات التي لا تزال قائمة في مجال DeFi وأهمية التحسين المستمر للأمان لحماية أصول المستخدمين [8].

المصدر:

[1] title1 (url1)

[2] title2 (url2)

[3] title3 (url3)

[4] title4 (url4)

[5] title5 (url5)

[6] title6 (url6)

[7] title7 (url7)

[8] title8 (url8)