العقود الآجلة
وصول إلى مئات العقود الدائمة
TradFi
الذهب
منصّة واحدة للأصول التقليدية العالمية
الخیارات المتاحة
Hot
تداول خيارات الفانيلا على الطريقة الأوروبية
الحساب الموحد
زيادة كفاءة رأس المال إلى أقصى حد
التداول التجريبي
انطلاقة العقود الآجلة
استعد لتداول العقود الآجلة
أحداث مستقبلية
"انضم إلى الفعاليات لكسب المكافآت "
التداول التجريبي
استخدم الأموال الافتراضية لتجربة التداول بدون مخاطر
إطلاق
CandyDrop
اجمع الحلوى لتحصل على توزيعات مجانية.
منصة الإطلاق
-التخزين السريع، واربح رموزًا مميزة جديدة محتملة!
HODLer Airdrop
احتفظ بـ GT واحصل على توزيعات مجانية ضخمة مجانًا
منصة الإطلاق
كن من الأوائل في الانضمام إلى مشروع التوكن الكبير القادم
نقاط Alpha
تداول الأصول على السلسلة واكسب التوزيعات المجانية
نقاط العقود الآجلة
اكسب نقاط العقود الآجلة وطالب بمكافآت التوزيع المجاني
مُعَادِل الجذر التربيعي للعدد $17 مليون: الثغرات الأمنية التي تم كشفها في SwapNet وAperture Finance
واجهت بروتوكولات DeFi SwapNet و Aperture Finance خرقًا أمنيًا مدمرًا في 26 يناير 2026، أسفر عن خسارة قدرها 17 مليون دولار. يسلط الحادث الضوء على نقاط ضعف حاسمة في آليات التحقق من صحة العقود الذكية التي لا تزال تؤثر على نظام التمويل اللامركزي. نسب المدققون الأمنيون في BlockSec هذا الحادث إلى نقص في التحقق من صحة المدخلات، وهو خلل بسيط ظاهريًا أدى إلى عواقب كارثية للمستخدمين والبروتوكولات على حد سواء.
التحقق من صحة المدخلات: طبقة الأمان المهملة
السبب الجذري للهجماتين كان يركز على نقص التحقق من صحة المدخلات داخل العقود المستهدفة. وفقًا للتحليل الفني لـ BlockSec، الذي أوردته Foresight News، فإن فجوة التحقق هذه عرضت العقود الذكية لقدرات استدعاء عشوائية—ثغرة خطيرة تسمح للمهاجمين بتنفيذ وظائف غير مقصودة. يصبح هذا الخلل خطيرًا بشكل خاص عند دمجه مع التصاريح الممنوحة مسبقًا من المستخدمين لهذه البروتوكولات.
استغل المهاجمون هذا الضعف من خلال الاستفادة من التصاريح المسبقة وتحويل وظيفة transferFrom إلى أداة هجوم. نظرًا لأن المستخدمين قد سمحوا بالفعل لهذه العقود بنقل رموزهم، فإن وظيفة الاستدعاء العشوائي سمحت للمهاجمين بتجاوز مسارات المعاملات العادية وسحب الأصول مباشرة. هذه حالة كلاسيكية حيث توجد مصادقة، لكن حدود التفويض لم تُطبق بشكل جيد.
المخاطر النظامية والتداعيات الأوسع
خسارة 17 مليون دولار جاءت من خطأ كان من الممكن منعه باتباع ممارسات الأمان القياسية. التحقق من صحة المدخلات هو أساس أمان العقود الذكية—يجب على المطورين التحقق بدقة من جميع مدخلات المستخدم واستدعاءات الوظائف الخارجية قبل التنفيذ. ومع ذلك، يوضح هذا الحادث أن حتى البروتوكولات المعتمدة يمكن أن تتغاضى عن هذه التدابير الأساسية، مما يشير إلى فجوة بين أفضل ممارسات الأمان وتنفيذها عبر مشاريع DeFi.
تكشف نمط الاستغلال كيف يبحث المهاجمون بشكل منهجي عن ثغرات تعتمد على الأذونات. بمجرد منح التصاريح إلى بروتوكول معين، فإن أمان تلك الأصول يعتمد كليًا على قدرة العقد على استخدام تلك التصاريح بمسؤولية. فشل التحقق من صحة المدخلات يقوض هذا الافتراض تمامًا، محولًا تصاريح المستخدمين إلى عبء بدلاً من ميزة مريحة.
ما يجب أن تتعلمه مشاريع DeFi
يعزز هذا الحادث دروسًا حاسمة لقطاع DeFi. يجب على البروتوكولات تنفيذ تحقق صارم من صحة المدخلات قبل تنفيذ أي استدعاءات وظائف، والحفاظ على مبدأ أقل الامتيازات في مبالغ التصريح، وإعطاء الأولوية للتدقيقات الأمنية من شركات موثوقة مثل BlockSec قبل نشرها على الشبكة الرئيسية. في المقابل، يجب على المستخدمين أن يكونوا حذرين بشأن منح تصاريح غير محدودة للرموز ومراقبة مراكزهم عبر بروتوكولات متعددة.