أبلغت شركة “سلو ميست” عن حادثة اختراق في تنبيه استخباراتي للتهديدات، وقدرت الخسائر بـ 111,097.6 دولاراً من عملة USDC. وأوضحت الشركة أن دالة التحويل “_transfer()” في رمز عملة DIP كانت تفتقد إلى جملة “return” في الفرع المسؤول عن معالجة الصفقات التي تمر عبر موجه Pancakeswap (وهي أداة تستخدمها البورصات اللامركزية لتبديل الرموز مع مجمعات السيولة). وأضاف الفريق:
على الرغم من التحليل التفصيلي، لم تذكر “سلو ميست” اسم المخترق أو ما إذا كان من الممكن استرداد الأموال المسروقة قريباً.
كيف حدث الاختراق؟
تبدو طريقة عمل الاختراق بسيطة جداً، لأن البورصات اللامركزية مثل Pancakeswap تعتمد على عقود موجهة آلية لنقل الرموز بين المتداولين ومجمعات السيولة. يمكن لأي رمز رقمي أن يضيف منطقاً مخصصاً لدالة التحويل الخاصة به، ولكن عندما يتعامل هذا المنطق بشكل خاطئ مع تفاعلات الموجه، يُفتح الباب أمام دفعات متكررة غير مقصودة.
- في حالة عملة DIP، أدى غياب جملة “return” إلى أن الكود الذي كان يجب أن يتوقف بعد تحويل واحد استمر في التنفيذ مرة ثانية.
- كل صفقة تلامس الموجه كانت تدفع مرتين فعلياً، مما أدى إلى استنزاف عملة USDC من المجمع بهدوء.
- لم يحتاج الاختراق إلى قروض سريعة أو خداع أوراكل أو سرقة مفاتيح، بل كان مجرد ثغرة في كود الرمز نفسه.
هذه الرموز التي تراعي الموجه والتي تفرض رسوماً على التحويل شائعة على السلاسل المرتبطة بينانس، حيث غالباً ما تضيف المشاريع سلوكيات إضافية إلى قوالب الرموز القياسية. كل فرع إضافي هو مكان آخر يمكن أن يختبئ فيه خطأ، ويمكن للمبادلات الآلية أن تكرر هذا الخطأ آلاف المرات قبل أن يلاحظه أحد.
جزء من عام مكلف لـ DeFi في 2026
خسارة عملة DIP صغيرة مقارنة بالاختراقات الكبرى لهذا العام، لكنها تتناسب مع إيقاع متزايد من الإخفاقات البرمجية. قاعدة بيانات “سلو ميست” العامة للاختراقات سجلت وحدها أكثر من 2,150 حادثة وخسائر تراكمية تبلغ حوالي 37.8 مليار دولار. في الأيام الأخيرة، سجل المتتبع خسارة بقيمة 105,000 دولار في Thetanuts Finance، واختراقاً بقيمة 2.1 مليون دولار في Aztec Connect.
وبشكل أكثر تحديداً، يمكن رؤية أن أخطاء العقود الذكية تسببت في جزء كبير من أضرار هذا العام، حيث فقدت بروتوكولات DeFi أكثر من مليار دولار بسبب الاختراقات (حتى الشهر الماضي). “سلو ميست” نفسها تتبعت اختراق Aztec Connect إلى عقد قديم، وربطت سرقة 174,570 دولاراً من Grok-Bankrith بعامل ذكاء اصطناعي تم خداعه للموافقة على تحويل.
في وقت سابق من هذا العام، ذكرت Bitcoin.com News أن Zetachain أوقفت شبكتها الرئيسية بعد أن حددت “سلو ميست” فقدان التحكم في الوصول في عقد GatewayZEVM، وهي حالة أخرى لثغرة منطقية واحدة تمنح المهاجمين فرصة للدخول.
مع عدم تأكيد استرداد الأموال وعدم التعرف على المخترق، تعزز حادثة DIP درساً متكرراً: سطر واحد مفقود يمكن أن يكون كافياً لتفريغ مجمع كامل، وتظل عمليات التدقيق المستقلة خط الدفاع الرئيسي مع استمرار ارتفاع خسائر DeFi.
أسئلة شائعة (FAQ)
1. ما هو السبب الرئيسي لاختراق عملة DIP؟
السبب هو غياب جملة “return” في دالة التحويل “_transfer()” في كود عملة DIP، مما جعل كل صفقة تمر عبر موجه Pancakeswap تُدفع مرتين بدلاً من مرة واحدة.
2. هل تمكن المخترقون من استخدام أدوات معقدة مثل القروض السريعة؟
لا، لم يستخدم الاختراق أي أدوات معقدة مثل القروض السريعة أو خداع الأوراكل أو سرقة المفاتيح. كان السبب مجرد ثغرة بسيطة في كود الرمز نفسه.
3. هل تم استرداد الأموال المسروقة؟
حتى الآن، لم يؤكد أحد استرداد الأموال ولم يتم التعرف على هوية المخترق، مما يعزز أهمية التدقيق الأمني المستقل للعقود الذكية.
