لقد تلقيت للتو تنبيه أمني مهم يستحق الانتباه. أصدرت شركة GoPlus Security تحليلاً حول ثغرة حرجة في عقد خزنة الستاكينج السائلة ListaDAO أدت إلى سرقة أموال كبيرة. ما حدث هنا مثير للاهتمام من الناحية التقنية - استغل المهاجم خللاً في منطق الأعمال من خلال تفعيل وظائف حساب الحصص أثناء عمليات نقل الرموز، مما أدى إلى تعطيل آلية المطالبة بالمكافآت في خزنة الستاكينج. بشكل أساسي، تكمن الثغرة في كيفية تعامل عقد الأرباح مع الحسابات عندما تتفاعل عمليات الستاكينج القريبة مع المنطق الأساسي للخزنة.

ما يجعل الأمر مقلقًا بشكل خاص هو أن هذه المشكلة ليست مشكلة ListaDAO فقط. أشارت شركة GoPlus Security إلى أن نفس الثغرة المنطقية موجودة في كل من عقدة خزنة الستاكينج السائلة وعقدة الأرباح، مما يعني أن أي نسخ مفرعة أو مشاريع تعيد استخدام هذا الكود تكون على قنبلة موقوتة. لقد رأينا أنماطًا مماثلة من قبل حيث تتسرب ثغرة واحدة عبر بروتوكولات الستاكينج القريبة المتعددة.

فريق الأمان يقول بشكل أساسي إن المطورين والمشاريع بحاجة إلى مراجعة وتصحيح عاجل لهذا الأمر. وبصراحة، هذا تذكير قوي بأن أمان العقود الذكية لا يمكن أن يكون مهمة لمرة واحدة فقط. تدقيق واحد غير كافٍ. خاصة بنية الستاكينج القريبة تحتاج إلى مراقبة مستمرة وإعادة تقييم مع تطور ظروف السوق وطرق الهجوم. لقد نمى مجال الستاكينج القريب بسرعة كبيرة لدرجة أن العديد من المشاريع تسرع في التنفيذ بدون أطر أمان مناسبة.

لأي شخص يبني أو يراجع حلول الستاكينج القريبة، هذه نداء استيقاظ. هذه الثغرات المنطقية دقيقة - لا تظهر في مراجعات الكود الأساسية. تحتاج إلى تحليل عميق للبروتوكول واختبارات ضغط. إذا كنت مشاركًا في أي مشاريع خزائن الستاكينج، أنصح بشدة بإجراء تدقيق أمني شامل الآن بدلاً من الانتظار حتى يحدث الاختراق التالي ويظهر في الأخبار.