العقود الآجلة
وصول إلى مئات العقود الدائمة
TradFi
الذهب
منصّة واحدة للأصول التقليدية العالمية
الخیارات المتاحة
Hot
تداول خيارات الفانيلا على الطريقة الأوروبية
الحساب الموحد
زيادة كفاءة رأس المال إلى أقصى حد
التداول التجريبي
انطلاقة العقود الآجلة
استعد لتداول العقود الآجلة
أحداث مستقبلية
"انضم إلى الفعاليات لكسب المكافآت "
التداول التجريبي
استخدم الأموال الافتراضية لتجربة التداول بدون مخاطر
إطلاق
CandyDrop
اجمع الحلوى لتحصل على توزيعات مجانية.
منصة الإطلاق
-التخزين السريع، واربح رموزًا مميزة جديدة محتملة!
HODLer Airdrop
احتفظ بـ GT واحصل على توزيعات مجانية ضخمة مجانًا
منصة الإطلاق
كن من الأوائل في الانضمام إلى مشروع التوكن الكبير القادم
نقاط Alpha
تداول الأصول على السلسلة واكسب التوزيعات المجانية
نقاط العقود الآجلة
اكسب نقاط العقود الآجلة وطالب بمكافآت التوزيع المجاني
اختفاء 74,000 دولار أمريكي في لحظة، كم خطورة ثغرة إعادة الدخول في بروتوكول Arbitrum
FutureSwap على Arbitrum يتعرض مرة أخرى للهجوم. وفقًا لأحدث التقارير، كشفت شركة أمن البلوكتشين BlockSec Phalcon أن بروتوكول تعدين السيولة هذا تم سرقته بحوالي 74,000 دولار من خلال عملية من خطوتين مصممة بعناية. هذه المرة ليست هجمة تقليدية باستخدام القروض السريعة أو خطأ بسيط في المعلمات، بل ثغرة إعادة الدخول الكلاسيكية ولكن الخطيرة. والأهم من ذلك، أن هذا يعكس اتجاه تكرار المشاكل الأمنية في بيئة DeFi مؤخرًا.
كيف حدث الهجوم
تبدو ثغرة إعادة الدخول معقدة، لكنها في الواقع لعبة فرق التوقيت. يستخدم المهاجم فجوة في تنفيذ العقود الذكية.
عملية FutureSwap كانت كالتالي: يودع المستخدم الأصول للحصول على رموز LP، ثم يمكنه السحب. لكن FutureSwap وضع فترة تبريد مدتها 3 أيام لمنع المستخدمين من الدخول والخروج بسرعة. هنا وجد المهاجم نقطة الاختراق.
روعة العملية ذات الخطوتين
الخطوة الأولى: هجمة إعادة الدخول في مرحلة الصك
عند تقديم السيولة، استغل المهاجم ثغرة في وظيفة 0x5308fcb1. النقطة الأساسية أن هذه الوظيفة تسمح بإعادة الدخول قبل تحديث الحسابات الداخلية للعقد. عبر المهاجم عن طريق إعادة الدخول إلى نفس الوظيفة قبل أن يتم تسجيل الأصول التي أدخلها، مما أدى إلى: إصدار رموز LP تتجاوز بكثير نسبة الأصول التي أدخلها فعليًا.
ببساطة، أدخل 100 دولار، لكنه عبر ثغرة إعادة الدخول حصل على رموز LP تعادل 1000 دولار. هذه هي الخطوة الأولى من “اليد الخالية”.
الخطوة الثانية: تجنب القيود عند السحب
لكن هذا ليس كافيًا. فترة التبريد البالغة 3 أيام في FutureSwap كانت مصممة لمنع مثل هذه الحالات. انتظر المهاجم 3 أيام ثم قام بالسحب. قام بحرق رموز LP غير القانونية التي أصدرها، واستعاد الأصول الحقيقية. النتيجة أنه استبدل رموز LP المزيفة بأصول حقيقية.
وبذلك، اكتمل سرقته: من لا شيء إلى شيء، من الوهم إلى الحقيقة.
لماذا هذا خطير
على الرغم من أن الخسارة كانت فقط 74,000 دولار، إلا أن المشكلة الأعمق تكمن في:
ثغرة إعادة الدخول هي “كابوس كلاسيكي” في DeFi. منذ هجوم TheDAO في 2016، تسببت ثغرة إعادة الدخول في خسائر بملايين الدولارات. بعد عشر سنوات، لا تزال هذه الثغرة تؤذي البروتوكولات.
فترة التبريد ليست حلاً سحريًا. اعتقد FutureSwap أن فترة التبريد لمدة 3 أيام يمكن أن تمنع عمليات المضاربة السريعة، لكنها لا تمنع هجمات إعادة الدخول. لأن المهاجم لم يدخل ويخرج بسرعة خلال فترة التبريد، بل استغل مرحلة الصك للحصول على رموز LP زائدة عبر إعادة الدخول.
هذا يعكس الاتجاه الأخير للمشاكل الأمنية في DeFi. في اليوم السابق (13 يناير)، حدثت عملية تبادل غير طبيعية في بروتوكول YO على إيثريوم، حيث تم استبدال 3.84 مليون دولار من stkGHO مقابل 122,000 دولار USDC فقط. رغم أن ذلك كان خطأ في المعلمات وليس ثغرة، إلا أنه يوضح أن مخاطر بروتوكولات DeFi لا تزال عالية.
الدروس المستفادة من بيئة Arbitrum
هجوم FutureSwap “مرة أخرى” يوضح أن هناك مشاكل أمنية سابقة. كشف ثغرة إعادة الدخول هذه تذكير كامل لنظام بيئة Arbitrum:
الخلاصة
الهجوم على FutureSwap رغم أن خسائره كانت صغيرة نسبيًا، إلا أن الثغرة التي كشف عنها تمثل خطرًا نظاميًا على بيئة DeFi. عبر عملية من خطوتين، قام المهاجم أولاً عبر ثغرة إعادة الدخول بإصدار رموز LP زائدة، ثم بعد فترة التبريد، سحب الأصول المزيفة واستبدالها بأصول حقيقية. هذا يذكرنا أن قضايا أمن DeFi لم تُحل بعد، وأن المخاطر تتراوح بين أخطاء المعلمات والثغرات التقنية، ولا يمكن تجاهلها. للمستخدمين، يظل اختيار البروتوكولات التي خضعت لتدقيق شامل هو أدنى مستوى من الحماية.