تم الهجوم على FutureSwapX على Arbitrum، وتم سرقة 395,000 دولار، وكشف أسلوب الهجوم

على شبكة Arbitrum حدثت مرة أخرى حادثة أمنية. وفقًا لأحدث التقارير، رصدت BlockSec معاملات مشبوهة على عقد FutureSwapX، وخسائر تقدر بحوالي 39.5 ألف دولار أمريكي. نجح المهاجمون في سحب USDC من خلال عمليات مصممة بعناية، وقد حاولت BlockSec التواصل مع فريق المشروع لكن لم تتلق ردًا حتى الآن. تذكرنا هذه الحادثة مرة أخرى بأنه حتى على شبكة إيثريوم من الطبقة الثانية، تواجه عقود DeFi تهديدات أمنية مستمرة.

تحليل أساليب الهجوم

وفقًا لتحليل BlockSec، لم يكن هذا الهجوم استغلالًا تقليديًا للثغرات، بل تم تفعيله من خلال منطق تفاعل خاص:

• نفذ المهاجمون عمليات changePosition عدة مرات، وهي وظيفة عادةً تستخدم لتعديل مراكز التداول
• من خلال هذه العمليات، أثروا بشكل ذكي على حالة الرصيد المستقر داخل العقد
• في النهاية، عند تقليل أو إغلاق المركز، أطلق العقد بشكل خاطئ أموال USDC
• ثم نجح المهاجم في سحب هذه الأموال التي أُطلقت

هذه الطريقة في الهجوم تشير إلى أن المشكلة ربما لا تتعلق بأمان وظيفة واحدة، بل بعيب في منطق إدارة حالة العقد.

الأسباب الجذرية لا تزال بحاجة إلى تحقيق أعمق

التحليل الحالي لـ BlockSec هو استنتاج أولي. نظرًا لعدم فتح مصدر عقد FutureSwapX، لا يمكن للباحثين الأمنيين تدقيق الكود المصدري مباشرة، ويقتصر الأمر على الهندسة العكسية من خلال سلوك المعاملات على السلسلة. بناءً على المعلومات الحالية، يشتبه BlockSec في أن المشكلة مرتبطة بالعوامل التالية:

• خلال تحديث المراكز المبكر، حدثت تغييرات غير متوقعة في الرصيد المستقر
• تم تفعيل هذه التغييرات غير الطبيعية خلال عمليات المركز اللاحقة
• وأدى ذلك في النهاية إلى إطلاق USDC في أوقات لا ينبغي أن يُطلق فيها

لكن هذا مجرد تخمين استنادًا إلى سلوك على السلسلة، ويحتاج السبب الجذري الدقيق إلى تعاون من فريق المشروع لتوفير الكود المصدري وشرح مفصل.

الدروس المستفادة من الصناعة

كشفت هذه الحادثة عن عدة قضايا مهمة:

ضرورة التدقيق الأمني للعقود: حتى العقود البسيطة نسبيًا في DeFi، إذا كانت المنطق غير مصمم بشكل صحيح، يمكن استغلالها. يجب أن يكون الكود مفتوح المصدر وخاضعًا لتدقيق طرف ثالث كمتطلبات أساسية.

تعقيد إدارة الحالة: العقود التي تتفاعل مع عدة متغيرات حالة غالبًا ما تكون أكثر عرضة للمخاطر الأمنية، ويجب تصميم وظائف مثل changePosition بحذر شديد.

المراقبة والاستجابة الطارئة: أظهرت مراقبة BlockSec الفورية قيمة مراقبة الأمان على السلسلة، لكن عدم استجابة فريق المشروع يوضح أن آليات الطوارئ لا تزال بحاجة إلى تحسين.

الخلاصة

رغم أن حجم سرقة FutureSwapX كان محدودًا نسبيًا (39.5 ألف دولار)، إلا أن المشكلة التي يكشف عنها نموذجية جدًا: مشاريع DeFi، مع سعيها للابتكار الوظيفي، غالبًا ما تترك ثغرات في تفاصيل تصميم العقود. للمستخدمين، يبقى الاختيار للمشاريع التي تخضع لتدقيق شامل، وتكون شفافة من حيث الكود، وتستجيب بسرعة، هو المفتاح لتقليل المخاطر. وللفريق المطور، تعتبر هذه تذكيرة: الأمان لا يكون بعد وقوع الحادث، بل يجب أن يكون جزءًا من عملية التطوير والنشر بأكملها.