عيوب حاسمة في التحقق من الإدخال تترك SwapNet وAperture Finance بخسارة $17M

تعرض بروتوكولان من بروتوكولات التمويل اللامركزي (DeFi) لخسائر مالية كبيرة في 26 يناير عندما تم استغلال ثغرات أمنية في عقودهما الذكية من قبل المهاجمين. أسفرت الحادثة عن خسائر إجمالية تجاوزت 17 مليون دولار، مما أثار مخاوف جديدة بشأن آليات التحقق من الصحة في التمويل اللامركزي. ووفقًا لتحليل من BlockSec، فإن الضعف الأساسي نجم عن إجراءات التحقق من الإدخال غير الكافية داخل البروتوكولات المتضررة.

فهم الثغرة التقنية

المشكلة الأساسية كانت تتعلق بعدم كفاية التحقق من الإدخال في العقود الذكية المتأثرة. هذا العيب في التصميم أتاح فرصة لاستدعاءات وظائف عشوائية—تقنية تسمح للمهاجمين بتنفيذ عمليات غير مقصودة على البروتوكول. بدلاً من شن هجوم متطور من الصفر، استغل المهاجمون التصاريح المسبقة التي منحها المستخدمون لهذه العقود سابقًا. وهذا يمثل إغفالًا حرجًا في بنية الأمان لكل من المنصتين.

كيف استغل المهاجمون تصاريح الرموز

كانت طريقة الاستغلال مباشرة ولكنها مدمرة. استخدم المهاجمون وظيفة transferFrom، وهي عملية قياسية في ERC-20، لسحب الأموال بشكل غير مصرح به من محافظ المستخدمين. أخطاء منطق التحقق تعني أنه لم تكن هناك آلية لمنع هذه الاستدعاءات غير المتوقعة. وبما أن المستخدمين قد وافقوا بالفعل على تحريك هذه الرموز خلال العمليات العادية، قام المهاجمون ببساطة بإعادة توجيه تلك التصاريح نحو عمليات سحب جماعي.

ماذا يعني هذا لمستقبل التمويل اللامركزي

تؤكد هذه الحادثة على نمط متكرر: تظل عيوب الأمان في التحقق من الإدخال من بين أخطر الثغرات في تطوير العقود الذكية. الخسارة التي تجاوزت 17 مليون دولار تذكرنا بشكل صارخ بأنه حتى البروتوكولات المعروفة يمكن أن تحتوي على نقاط ضعف حرجة. بالنسبة للنظام البيئي الأوسع للتمويل اللامركزي، فإن حالة SwapNet وAperture Finance تظهر لماذا لم تعد عمليات تدقيق الكود الصارمة، والإجراءات الرسمية للتحقق، وأطر التحقق متعددة الطبقات خيارًا، بل ضرورة أساسية لأي بروتوكول يتعامل مع أصول المستخدمين بشكل كبير.