تم استهداف رمز رقمي غير معروف نسبيًا يُدعى ATM، وهو مبني على شبكة BNB الذكية (BSC)، ليصبح أحدث ضحية لثغرة في العقود الذكية. تمكن مخترق من سحب ما يقرب من 243,500 دولار أمريكي عن طريق استغلال منطق غير قياسي في دالة التحويل transferFrom() الخاصة بالرمز.
تفاصيل الثغرة
أبلغت منصة مراقبة الأمان TenArmor عن الحادثة في 4 يونيو 2026، وأوضحت التحذيرات أن الآليات المخصصة للرموز، والتي غالبًا ما تُضاف لفرض رسوم أو توفير سيولة أو مكافآت، يمكن أن تخلق نقاط ضعف خطيرة قابلة للاستغلال إذا لم يتم تأمينها بشكل صحيح.
وفقًا لتحليل شركة CertiK، يكمن المشكلة الأساسية في تنفيذ دالة التحويل transferFrom() في عقد الرمز. فبدلاً من إجراء تحويل قياسي للرمز، كانت الدالة تقوم تلقائيًا بتشغيل عملية مقايضة 20% من المبلغ المحول من رمز ATM إلى عملة BSC-USD (أو ما يعادلها) من خلال موجه تبادل لا مركزي.
كيف تم الاستغلال؟
سمح هذا السلوك المخفي للمهاجم بتنفيذ عمليات تحويل متكررة استخرجت قيمة أكبر بكثير مما تسمح به الموافقات العادية. هاش المعاملة الرئيسية للاختراق هو:0x37b90a…dcfd86
عنوان العقد: 0x4fd087…d5a205
تم رصد النشاط المشبوه في مرحلة مبكرة بواسطة أنظمة الأمان. وعنوان المهاجم (0x7e7C1f…CdBAFE) مرتبط بعمليات استغلال سابقة لعقود رقمية منذ عام 2025. لم يعتمد الهجوم على القروض السريعة أو إعادة الدخول، بل استغل الآثار الجانبية الاقتصادية غير المقصودة لمنطق التحويل المخصص.
موجة اختراقات على شبكة BNB
تنضم هذه الحادثة إلى موجة مقلقة من الاختراقات على شبكة BNB Chain. قبل أيام فقط، تعرضت منصة TesseraDAO لهجوم كبير صك فيه المخترق حوالي 99 مليون رمز TSR، ثم قام بتفريغها وسحب حوالي 2.5 مليون دولار أمريكي. انهار سعر رمز TSR بنسبة 99% تقريبًا بعد الحادثة.
معلومات محدودة عن المشروع
المعلومات المتاحة للجمهور عن مشروع ATM لا تزال شحيحة جدًا. لا يوجد موقع رسمي معروف، أو ورقة بيضاء، أو خارطة طريق مفصلة. لا يبدو أن المشروع هو بروتوكول تمويل لا مركزي كبير، وتفاصيل حالة الاستخدام المقصودة، أو خلفية الفريق، أو القيمة الإجمالية المقفلة قبل الاختراق غير موثقة بشكل جيد.
حتى تاريخ 5 يونيو 2026، لم يصدر فريق مشروع ATM أي بيان رسمي عام بشأن الحادثة، سواء حول تعليق العقد، أو حالة السيولة، أو أي جهود للتعافي.
ثغرات متكررة في النظام البيئي
هذه الثغرات ليست منعزلة. في أواخر مايو 2026، استغل المهاجمون خزائن سيولة قديمة على منصة DxSale وسحبوا حوالي 7.3 مليون دولار من أكثر من 1,400 مجمع سيولة عن طريق التلاعب بطوابع الوقت الخاصة بالإلغاء وسحب رموز LP. وهذا يوضح كيف أن السيولة “المقفلة” القديمة من دورات سابقة يمكن أن تظل معرضة للخطر.
دروس مستفادة
تعد هذه الحادثة مثالًا كلاسيكيًا على المخاطر المرتبطة بآليات الضريبة على التحويل أو التبديل التلقائي في العقود المشابهة لمعيار ERC-20. بينما يمكن لهذه الميزات أن تخدم أغراضًا مشروعة، فإنها تزيد بشكل كبير من تعقيد العقد وسطح الهجوم.
يحذر خبراء أمن البلوكشين باستمرار من أن الجمع بين دالة transferFrom() والاستدعاءات الخارجية (مثل موجهات التبادل اللامركزي) يتطلب تدقيقًا صارمًا، وتحققًا رسميًا، واختبارًا واسعًا للحالات الحدية.
على الرغم من أن هذا اختراق متوسط الحجم بمعايير عام 2026، إلا أن مثل هذه الحوادث تستمر في تقويض الثقة في النظام البيئي الأوسع للتمويل اللامركزي. الرموز الصغيرة على شبكات مثل BNB الذكية تظل أهدافًا متكررة بسبب عمليات الإطلاق المتسرعة وإجراءات الأمان غير الكافية.
ينصح المستخدمون بشدة بتوخي الحذر الشديد عند التعامل مع الرموز الجديدة أو منخفضة الظهور.
الأسئلة الشائعة (FAQ)
- س: ما هي الثغرة التي تم استغلالها في رمز ATM؟
ج: الثغرة كانت في دالة التحويل transferFrom()، حيث كانت تحول تلقائيًا 20% من المبلغ إلى عملة أخرى عبر منصة تبادل لا مركزي، مما سمح للمخترق بسحب أموال أكثر مما هو مسموح به. - س: كم بلغت قيمة الخسائر في هذا الاختراق؟
ج: تمكن المخترق من سحب حوالي 243,500 دولار أمريكي قبل اكتشاف النشاط المشبوه. - س: هل هناك مخاطر مشابهة على شبكة BNB Chain؟
ج: نعم، هذه الحادثة تأتي ضمن سلسلة من الاختراقات على الشبكة، مما يؤكد أن الرموز الصغيرة التي تُطلق بسرعة دون تدقيق أمني كافٍ تظل أهدافًا سهلة للقراصنة.
