عنوان مترجم: خسارة 226 ألف دولار من BNB! كيف أصبح بروتوكول أمان BFB العدو الأكبر لنفسه

هجوم استهدف آلية دفاع سعرية معيبة في رمز BFBوليس مجمع السيولة في PancakeSwap نفسه.
كيف حدث الاختراق؟
تتبع المحققون الهجوم إلى خلل منطقي في آلية الدفاع السعرية لرمز BFB على شبكة BNBChain. قام المهاجم أولاً بتمويل رسوم الغاز (Gas Fees) باستخدام أصول تم توجيهها عبر بروتوكول “ريلغان” (Railgun)، وهو بروتوكول خصوصية يخفي مصادر المعاملات.
ثم، وباستخدام متكرر لأوامر تحويل بقيمة صفر (zero-value transferFrom()) لتفعيل الدالة _priceDeflPool()بقرض فوري (Flash Loan)، قام المهاجم بحرق 5% من رموز BFB الموجودة في مجمع السيولة. تم تكرار هذه العملية حوالي 151 مرة.
في كل مرة، كان أمر التحويل بقيمة صفر بين حسابات خارجية (EOAs) يؤدي إلى تفعيل دالة _priceDeflPool()، مما جعل العقد الذكي يحرق 5% من رموز BFB المخزنة في مجمع PancakeSwap السيولة، ثم يقوم فوراً باستدعاء دالة sync()لتحديث أرصدة المجمع.
كيف قام المهاجم بتفريغ المجمع؟
بعد أن كاد رصيد BFB أن يستنفد تماماً، قام المهاجم بصرف كمية صغيرة من رموز BFB لسحب ما يقرب من 396.43 عملة بينانس [$BNB] (أي ما يعادل 226,000 دولار تقريباً) من المجمع.
لاحقاً، قام المهاجم بتحويل رموز BFB المسروقة إلى عملات $BNB وترك الأموال في المحفظة التالية: 0x3BFA…6b0F دون تحريكها.
حدد المحققون الخلل المنطقي في آلية الدفاع السعرية لرمز BFBToken كسبب رئيسي للهجوم, وما زالوا يراقبون المحفظة بحثاً عن أي تحويلات صادرة.
كما جمع المهاجم بين عدة تقنيات، منها تفريغ مجمع السيولة، التلاعب بالأرصدة، التلاعب بأسعار صناع السوق الآليين (AMM)، القروض الفورية، استغلال الثغرات المنطقية، إساءة استخدام المعاملات ذات القيمة الصفرية، التنفيذ المتكرر، والتمويل عبر بروتوكول ريلغان.
ارتفاع مقلق في الهجمات
يأتي هذا الهجوم بالتزامن مع بيانات شركة “تي آر إم لاب” (TRM Labs) التي كشفت عن رقم قياسي بلغ 207 خروقات أمنية في النصف الأول من عام 2026.
ومع ذلك، انخفض إجمالي الخسائر بشكل حاد إلى 972 مليون دولار، أي أقل من نصف المبلغ المسروق في نفس الفترة من عام 2025 والذي بلغ 2.3 مليار دولار.
كما أن هذا الهجوم تبع حادثة التصيد الأخيرة في منصة “بولي ماركت” (Polymarket)، حيث اخترق المهاجمون الواجهة الأمامية وتلاعبوا بما يعرضه المستخدمون ويوافقون عليه.
وأظهر تقرير ما بعد الحادثة لمنصة “سمر في” (Summer.fi) أيضاً أن المهاجمين أمضوا حوالي ثلاثة أشهر في التحضير لعملية اختراق بروتوكول “ليزي سمر” (Lazy Summer Protocol) والتي بلغت قيمتها 6.04 مليون دولار قبل تنفيذها.
خلاصة نهائية
يكشف هذا الهجوم عن ثغرة خطيرة في منطق العقود الذكية، وكيف يمكن للمهاجمين استغلال أخطاء برمجية بسيطة لسرقة ملايين الدولارات من مجمعات السيولة.
الأسئلة الشائعة (FAQ)
- س: ما هو سبب الهجوم على رمز BFB؟
ج: السبب الرئيسي هو خلل منطقي (Logical Flaw) في آلية الدفاع السعرية للرمز نفسه، وليس في منصة PancakeSwap. - س: كيف تمكن المهاجم من تفريغ مجمع السيولة؟
ج: قام المهاجم بتفعيل دالة حرق الرموز 151 مرة باستخدام قروض فورية ومعاملات بقيمة صفر، مما أضعف رصيد الرمز، ثم استبدل كمية صغيرة من BFB بسحب كل عملات BNB تقريباً من المجمع. - س: هل زاد عدد الهجمات في عام 2026؟
ج: نعم، سجل النصف الأول من 2026 رقماً قياسياً في عدد الخروقات الأمنية (207 خروقات)، لكن الخسائر الإجمالية انخفضت مقارنة بالعام السابق.












