سيساي تشين تواجه ثغرة في القروض الفورية: خرق عقد Synnax يكشف عن مسار هجوم جديد

لا تزال هجمات القروض الفورية تشكل تهديدًا مستمرًا لنظام التمويل اللامركزي، وأصبحت سلسلة SEI الضحية الأحدث. ومع ذلك، يكشف حادث الأمان الأخير في عقد Synnax عن تهديد دقيق—أحيانًا تكون أكبر ثغرة ليست في الكود نفسه، بل في كيفية تفاعل المستخدمين معه.

تحليل الهجوم

وفقًا لنتائج BlockSec Phalcon، استغل مهاجم آلية القرض الفوري لاستخراج 1.96 مليون رمز WSEI من عقد Synnax، مما يمثل قيمة تقريبية قدرها 240,000 دولار. ما يجعل هذا الحادث ملحوظًا بشكل خاص هو أن المهاجم لم ينوِ أبدًا سداد الأموال المقترضة، وحقق تصريفًا كاملًا لرأس المال بدلاً من هجوم قروض فورية يعتمد على التحكيم المعتاد.

العامل المفاجئ

لكن القصة الحقيقية تبدأ قبل ثلاث كتل. قام عنوان (0x9748…a714) عن غير قصد بنقل مبلغ كبير من الأموال مباشرة إلى العقد من خلال ما يبدو أنه خطأ من المستخدم. هذه المعاملة غير الموجهة بشكل صحيح قامت بشكل أساسي بتحميل عقد Synnax برأس المال اللازم لتنفيذ هجوم القرض الفوري التالي. يسلط الحادث الضوء على نمط حاسم: أخطاء المستخدمين يمكن أن تصبح عوامل تمكين للهجمات.

سلسلة الهجوم والرؤى التقنية

تم تنفيذ الاستغلال من خلال معاملتين رئيسيتين (TX1 و TX2)، مما يوضح كيف يقوم المهاجمون بربط العمليات معًا لتعظيم كفاءة الاستخراج. تكشفت المعاملات في تسلسل منسق ترك أدنى قدر من المجال للكشف أو التدخل.

التداعيات الأوسع للمخاطر

تعد حادثة سلسلة SEI تذكيرًا بأن أمان التمويل اللامركزي لا يقتصر فقط على تدقيق العقود الذكية. يمكن أن تخلق عمليات التشغيل غير الصحيحة في السلسلة—سواء كانت تحويلات أموال غير مقصودة أو إعدادات معلمات غير صحيحة—مسارات هجوم غير متوقعة قد تتغاضى عنها عمليات المراجعة الأمنية. مع نضوج النظام البيئي، يصبح الحماية من ثغرات الكود والأخطاء التشغيلية على حد سواء أمرًا حيويًا.