ثغرة أمنية حرجة في عقد BSC تتسبب في خسارة 100,000 دولار

CoconutWaterBoy · 2026-02-05T17:05:18+00:00

BlockSec Phalcon أبلغ عن هجوم متطور على عقد BSC، أسفر عن خسارة قدرها 100,000 دولار بسبب ثغرة في آلية حرق الرموز. استخدم الاستغلال استراتيجية من مرحلتين، حيث استغل عيوب الهندسة المعمارية لتحقيق أرباح من تشوهات الأسعار، مما يسلط الضوء على المخاطر في تصميم العقود الذكية.

CoconutWaterBoy

2026-02-05 17:05:18

إنشاء الملخص قيد التقدم

BlockSec Phalcon، منصة الأمان من شركة التدقيق المعروفة BlockSec، أبلغت مؤخرًا على شبكة X عن اكتشاف هجوم متطور ضد عقد غير معروف تم نشره على سلسلة BSC. أسفرت العملية الخبيثة عن سرقة حوالي 100,000 دولار، مما كشف عن خلل أساسي في آلية مزامنة بروتوكول حرق أزواج الرموز.

بنية البروتوكول: حيث تكمن الثغرة

وفقًا للتحليل الذي شاركته Odaily، فإن جذر المشكلة يكمن في تصميم نظام حرق السيولة. لا تكمن الثغرة ببساطة في كود معيب، بل في بنية تسمح بالتلاعبات المتسلسلة. كان البروتوكول ينفذ وظيفة مزامنة، على الرغم من نيتها للحفاظ على توازن الأزواج، إلا أنها انتهت لتكون نقطة ضعف في العقد.

كان الميكانيك مبرمجًا لتدمير نسب كبيرة من الرموز تلقائيًا عند إجراء عمليات التبادل، معتقدًا أن هذا الإجراء سيحمي الصندوق. ومع ذلك، أصبحت هذه الميزة أداة استغلها المهاجم لمصلحته.

التنفيذ على مرحلتين: تشريح الهجوم

استغل المهاجم الثغرة من خلال استراتيجية تحكيم تنفذ على مرحلتين متتاليتين. في المرحلة الأولى، خلال عملية تبادل أولية، تمكن من استخراج 99.56% من رموز PGNLZ من صندوق السيولة. كان من المفترض أن تؤدي هذه العملية إلى تفعيل آليات الأمان، لكن البنية سمحت بالاستمرار.

في المرحلة الثانية، قام المهاجم بعملية بيع لرموز PGNLZ التي أدت تلقائيًا إلى تفعيل وظيفة transferFrom في العقد. هذه الوظيفة، كما هو مصمم، قامت بتدمير 99.9% من الرموز PGNLP المتبقية ونفذت مزامنة قسرية. هنا أظهرت الثغرة مدى خطورتها: الحرق الجماعي لرموز PGNLP أدى إلى ارتفاع اصطناعي في السعر النسبي للرمز، مما أدى إلى تلاعب بمقاييس قيمة الصندوق.

ربح المهاجم: استغلال الأسعار المعدلة

باستغلال تشويه الأسعار الناتج عن المزامنة والحرق، نفذ المهاجم حركته النهائية. مع السعر المعدل لصالحه، تمكن من سحب تقريبًا جميع USDT الموجودة في الصندوق، مكتملًا سلسلة الأحداث التي أدت إلى خسارة إجمالية قدرها 100,000 دولار.

التداعيات على نظام BSC البيئي

يؤكد هذا الحادث نمطًا متكررًا في ثغرات العقود الذكية: تداخل الآليات التي تبدو مستقلة يمكن أن يخلق مسارات هجوم غير متوقعة. على المطورين العاملين على سلسلة BSC وتصميم البروتوكولات التي تتضمن وظائف الحرق أن يعيدوا النظر في كيفية تفاعلها مع عمليات المزامنة وتحويل الأموال، من خلال تنفيذ عمليات تحقق إضافية تكسر سلاسل الاستغلال.

TOKEN9.58%

شاهد النسخة الأصلية

قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.