أصدرت مؤسسة أمان السلاسل على الإنترنت بطيئة الضباب (SlowMist) في 2 أبريل تحليلًا تقنيًا، كاشفةً الشروط المسبقة الرئيسية لواقعة اختراق بروتوكول Drift: قبل وقوع الهجوم بنحو أسبوع، قام Drift بتعديل آلية متعددة التوقيعات، دون أن يُقم بتزامن إعداد حماية بقفل زمني. ثم تمكن المهاجم لاحقًا من الحصول على صلاحيات المسؤول، ولفّق رموز CVT، وتلاعب بالناطق/المرجِّح (Oracle) وأغلق وحدة الأمان، ليتولى بشكل منهجي استخراج الأصول عالية القيمة من مجمع الأموال.
إعادة بناء بوادر الهجوم: تعديل متعدد التوقيعات دون قفل زمني هو الثغرة الجوهرية
(المصدر: بطيئة الضباب)
كشفت تحليلات بطيئة الضباب أن أكثر نقطة تمهيدية مقلقة في هذا الهجوم هي: قبل الاختراق بنحو أسبوع، قام Drift بتعديل آلية متعددة التوقيعات إلى نمط «2/5» دون إعداد أي قفل زمني، مع إدخال 4 مُوقِّعين جدد بالكامل.
يُعد القفل الزمني في تصميم أمان البروتوكول مرفقًا ضروريًا لآلية متعددة التوقيعات. فهو يفرض فترة انتظار إلزامية (عادةً 24-48 ساعة أو أطول) قبل تنفيذ تغييرات عالية الخطورة على الإعدادات، ما يمنح المجتمع ومؤسسات الأمان وقتًا كافيًا لاكتشاف أي شذوذ والتدخل. إن غياب القفل الزمني يعني أنه بمجرد سرقة مفاتيح التوقيع الخاصة للمُوقِّعين الجدد أو إخضاعها لسيطرة خبيثة، يمكن للمهاجم تنفيذ عمليات بمستوى المسؤول فورًا دون أي مهلة انتظار تخفف الهجوم.
يُعد تعديل بنية متعددة التوقيعات الذي حدث قبل الاختراق بأسبوع (بإدخال 4 مُوقِّعين جدد) مشبوهًا للغاية من ناحية التوقيت، وهو أكثر نقطة إنذار لفتت الانتباه في تحليل الأمان هذا.
إعادة بناء خطوات الهجوم: من تسريب صلاحيات المسؤول إلى سرقة 105,969 إيثراً
وفقًا للتحليل التقني لبطيئة الضباب، نفّذ المهاجم بعد حصوله على التحكم بصلاحيات المسؤول بشكل منهجي خطوات تصفير الأصول على النحو التالي:
تزوير رموز CVT: تزوير رموز زائفة داخل البروتوكول، وتجاوز منطق التحقق المعتاد للأصول.
التلاعب بالناطق/المرجِّح (Oracle): تغيير مصدر السعر الخارجي للبروتوكول، بحيث يحدث تشويه في تسعير السلسلة، ما يهيئ شروطًا مواتية للاستخراج اللاحق.
إيقاف آليات الأمان: تعطيل وحدات التحكم في المخاطر والقيود الأمنية المدمجة داخل البروتوكول، وإزالة العوائق أمام استخراج الأصول.
تحويل الأصول عالية القيمة: استخراج منهجي للأصول عالية السيولة من مجمع الأموال، وإتمام تصفير الأصول في النهاية.
تم تجميع معظم الأموال المُختَرَقة بالفعل إلى عناوين على شبكة الإيثيريوم، بإجمالي حوالي 105,969 ETH (ما يعادل تقريبًا 2.26 مليار دولار)، وتذكر بطيئة الضباب أن تدفق الأموال ذات الصلة ما زال مستمرًا في المتابعة.
ZachXBT يحدد Circle: انتقاد شديد من الصناعة بسبب عدم تجميد USDC لعدة ساعات
وجّه المحقق على السلسلة ZachXBT انتقادًا شديدًا إلى Circle في نفس اليوم. وأشار إلى أنه خلال جلسة التداول الأمريكية أثناء اختراق Drift، جرى نقل USDC بمبالغ بمئات الآلاف من الدولارات عبر بروتوكول عبر السلاسل من Solana إلى Ethereum، حيث استمر الأمر «لساعات دون تدخل من أحد»، وقد اكتملت عملية تحويل الأموال بالكامل، بينما لم تتخذ Circle «مرة أخرى أي إجراء».
كما كشف ZachXBT عن مشكلة أخرى كانت لدى Circle من قبل: قامت Circle بتجميد أكثر من 16 محفظة تشغيلية ساخنة (hot wallets) تابعة للأعمال بالخطأ، وما زالت إجراءات فك التجميد جارية حتى الآن. وحدد Circle كرئيسها التنفيذي Jeremy Allaire، واصفًا أداء Circle بأنه أثر سلبي على قطاع التشفير بأكمله.
أثارت هذه المزاعم نقاشًا واسعًا في الصناعة حول مسؤولية جهة إصدار العملات المستقرة عن أي نوع من التدخل الاستباقي في أحداث الأمان.
الأسئلة الشائعة
لماذا يُعد عدم إعداد قفل زمني عند تعديل متعددة التوقيعات المشكلة الأساسية في هذا الهجوم؟
يُعد القفل الزمني مرفق الأمان الرئيسي لآلية متعددة التوقيعات، إذ يفرض فترة انتظار إلزامية قبل تنفيذ عمليات بصلاحيات عالية، مما يمنح المجتمع ومؤسسات الأمان الوقت لاكتشاف الشذوذ واتخاذ إجراء. لم يُقم Drift بإعداد قفل زمني عند تعديل بنية متعددة التوقيعات، ما يعني أنه بمجرد أن تتعرض بيانات اعتماد المُوقِّنين الجدد للاختراق، يمكن للمهاجم تنفيذ عمليات المسؤول فورًا، متجاوزًا خط الدفاع الأخير لرقابة المجتمع. إن توقيت إجراء التعديل بإدخال 4 مُوقِّعين جدد قبل وقوع الاختراق بأسبوع هو أكثر الشكوك تركيزًا ضمن التحقيقات الحالية.
ما المسؤولية التي ينبغي أن تتحملها Circle في هذه الحادثة؟
تشير انتقادات ZachXBT إلى افتقار Circle إلى المراقبة الفورية والتدخل أثناء عملية تحويل USDC عبر السلاسل على نطاق واسع. وبصفتها جهة إصدار USDC، تتمتع Circle تقنيًا بالقدرة على تجميد العناوين المتورطة، لكنها لم تتخذ أي إجراء خلال عملية تحويل الأموال التي استمرت لعدة ساعات. تلامس هذه القضية حدود مسؤولية جهة إصدار العملات المستقرة في التدخل الاستباقي ضمن أحداث أمان DeFi، وهي موضوع محوري محل اهتمام متزايد في الصناعة حاليًا.
ما الأهمية التقنية لاقتران تزوير رموز CVT مع التلاعب بالناطق/المرجِّح؟
يسمح تزوير رموز CVT للمهاجم بإنتاج سيولة أو ضمانات مزيفة داخل البروتوكول؛ ويجعل التلاعب بالناطق/المرجِّح البروتوكول يستخدم بيانات سوقية مشوهة عند التسعير. وباقترانهما، يجعل ذلك البروتوكول «يعتقد خطأً» بوجود دعم ضمان كافٍ، ما يتيح للمهاجم استخراج أصول تفوق بكثير ما يستحقه فعليًا. تُعد هذه تركيبة كلاسيكية ضمن هجمات العقود الذكية، وقد ظهرت في عدة حالات اختراق لـ DeFi.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
بورصة محظورة Grinex تتعرض لاختراق بقيمة 13.7 مليون دولار؛ وتُلقي باللوم على خدمات استخبارات أجنبية
Grinex، وهي منصة لتبادل العملات المشفرة الروبل/الروبل الروسي الخاضعة للعقوبات، أوقفت عملياتها بسبب هجوم سيبراني سرق أكثر من 13.74 مليون دولار في USDT. ويُعتقد أن الهجوم شارك فيه جهات على مستوى الدول تسعى إلى زعزعة استقرار النظام المالي في روسيا. تتعاون Grinex مع إنفاذ القانون، لكنها لا تملك جدولًا زمنيًا لاستئناف الخدمات.
Coinpediaمنذ 58 د
Figure 因区块链集成相关指控遭做空者指责;FIGR 股价较 1 月高点下跌 53%
面向科技解决方案(Figure Technology Solutions)遭到来自莫菲乌斯研究(Morpheus Research)的指控,称其夸大了对区块链技术的使用情况,导致股价大幅下跌。Figure 为其业务进行了辩护,强调其数字资产功能以及强劲的业绩指标。
GateNewsمنذ 7 س
休斯敦加密诈骗犯因 $20M Meta-1 Coin 诈骗被判23年
罗伯特·邓拉普(Robert Dunlap)是一位休斯敦企业家,被判处在与 $20 百万美元相关的加密货币诈骗案中入狱23年。该案涉及伪造资产和欺骗性做法,影响了超过1,000名受害者。他的案件反映了与加密相关的网络犯罪更广泛的上升趋势。
GateNewsمنذ 12 س
SlowMist يحذر من هجوم تصيّد نشط باستخدام برنامج مزيف بعنوان "Harmony Voice"
فريق الأمان في SlowMist حذّر من حملة هندسة اجتماعية تستهدف مستخدمي العملات المشفرة. يتظاهر المحتالون بأنهم شركاء للمشروع لخداع المستخدمين من خلال تحميل تطبيق خبيث مُموَّه على أنه أداة ترجمة. يُنصح المستخدمون بالتحقق من أصالة البرامج.
GateNewsمنذ 13 س
رئيس Zonda Exchange يتهم المؤسس المفقود بـ $336M في بيتكوين المفقودة
أرجع الرئيس التنفيذي لشركة Zonda، برزيميسواف كرال، فقدان إمكانية الوصول إلى 4,500 BTC بقيمة $336 مليون إلى إخفاق المؤسس المفقود سيلفستر سوزك في نقل مفاتيح التجزئة الخاصة. وفي ظل مزاعم الإفلاس وتزايد طلبات السحب، يصر كرال على أن Zonda لا تزال قادرة على الوفاء بالتزاماتها المالية، وسيشرع في اتخاذ إجراءات قانونية مع البحث عن سوزك، الذي اختفى في عام 2022.
GateNewsمنذ 14 س
Grinex 交易所:在针对钱包系统的 $15M 次网络攻击后暂停全部交易
Grinex,一家吉尔吉斯斯坦加密交易所,在遭受网络攻击并造成约 $15 百万美元损失后暂停交易。此次攻击的先进性表明可能存在有组织或国家级层面的参与。Grinex 已向主管部门报告了该事件,并正在评估损失。
GateNewsمنذ 14 س
