autorenew
اختراق WebKeyDao: تحليل BlockSec Phalcon يكشف عن خسارة 73 ألف دولار في استغلال DeFi

اختراق WebKeyDao: تحليل BlockSec Phalcon يكشف عن خسارة 73 ألف دولار في استغلال DeFi

مرحباً بالجميع! إذا كنتم مهتمين بالعملات المشفرة أو التمويل اللامركزي (DeFi)، فربما سمعتم عن الهجوم الأخير على WebKeyDao. في 15 مارس 2025، شاركت شركة الأمن BlockSec Phalcon سلسلة تغريدات مفصلة على X حول كيفية وقوع هذا الاختراق، وهي قصة رائعة (ومحذرة). دعونا نحلل الأمر بعبارات بسيطة.

ماذا حدث لـ WebKeyDao؟

تعرض WebKeyDao، وهو مشروع على شبكة Binance Smart Chain (BSC)، لهجوم من قبل مهاجم استولى على حوالي 73,000 دولار. حدث الاستغلال بسبب ثغرة أمنية في أحد العقود الذكية الخاصة بـ WebKeyDao – وظيفة “شراء” غير محمية. سمحت هذه الوظيفة للمهاجم بشراء رموز wkeyDao بسعر منخفض للغاية باستخدام 1,159 BUSD (Binance USD، وهي عملة مستقرة). ثم قاموا ببيع هذه الرموز على بورصة لامركزية (DEX) لتحقيق ربح هائل قدره 10 أضعاف، ليحصلوا على 13,167 BUSD. يا إلهي!

تحليل BlockSec Phalcon، الذي تم مشاركته في سلسلة تغريداتهم على X thread، يوضح كيف نفذ المهاجم ذلك. لقد استخدموا الثغرة الأمنية لسك 230 رمز wkeyDao بثمن بخس وقلبوها لتحقيق ربح سريع. وهنا يصبح الأمر مثيرًا للاهتمام: تم تصحيح العقد المعرض للخطر منذ ذلك الحين، لذلك لا يمكن استغلاله بعد الآن. لهذا السبب تشارك BlockSec Phalcon الآن القصة الكاملة مع المجتمع - لمساعدة الآخرين على التعلم والبقاء في أمان.

WebKeyDao token balances showing the attack details

كيف نفذ المهاجم الهجوم؟

كانت المشكلة الأساسية في وظيفة “الشراء” الخاصة بالعقد الذكي، الموجودة في عنوان العقد 0xD5110...CD851. لم يكن لهذه الوظيفة فحوصات أمنية كافية لمنع شخص ما من التلاعب بها. وفقًا لـ BlockSec Phalcon، استخدم العقد 1,159 BUSD (مخزنة في خانة تخزين معينة، 0x9c) لسك 230 رمزًا (مخزنة في الخانة 0x9e). استغل المهاجم ذلك عن طريق شراء الرموز بسعر منخفض ثم بيعها في DEX لتحقيق ربح كبير.

تتضمن سلسلة تغريدات BlockSec Phalcon بعض لقطات الشاشة الفنية، مثل مقتطفات التعليمات البرمجية وسجلات المعاملات، التي توضح بالضبط كيف عمل الاستغلال. على سبيل المثال، قاموا بتسليط الضوء على رمز وظيفة buy وكيف كان يفتقر إلى الحماية ضد هذا التلاعب. حتى أن هناك تفصيلاً خطوة بخطوة لأفعال المهاجم، بما في ذلك معاملة قاموا فيها بإعداد معلومات البيع لجعل الاستغلال ممكنًا.

Code snippet of the vulnerable buy function in WebKeyDao’s smart contract

لماذا لم تتفاقم الأضرار؟

إليكم الجانب المشرق: كان لدى العقد الذكي الخاص بـ WebKeyDao شبكة أمان. وتضمنت حد بيع 67 رمزًا، مما منع المهاجم من استنزاف كامل تجمع السيولة البالغ 11 مليون دولار. إذا لم يكن هذا الحد موجودًا، لكانت الخسارة أسوأ بكثير - ربما تصل إلى 737,000 دولار! وهذا يدل على مدى أهمية وجود ضمانات، حتى لو لم تكن مثالية.

ماذا يعني هذا بالنسبة إلى DeFi؟

هذا الاختراق هو تذكير بالمخاطر في عالم DeFi، وخاصة على منصات مثل Binance Smart Chain. العقود الذكية هي بمثابة العمود الفقري لمشاريع DeFi، ولكن يمكن أن تحتوي على أخطاء أو ثغرات أمنية إذا لم يتم تدقيقها بشكل صحيح. حادثة WebKeyDao ليست فريدة من نوعها - فقد واجهت مشاريع DeFi الأخرى هجمات مماثلة، مثل تلك المذكورة في مقالات حول DeFi vulnerabilities on CryptoBriefing أو Binance Smart Chain contract risks on CryptoKnowmics.

بالنسبة للأشخاص في مجال العملات المشفرة، هذه دعوة للاستيقاظ لمضاعفة التحقق من أمان أي مشروع DeFi تشاركون فيه. يمكن تدقيق مشاريع مثل WebKeyDao، التي تكون عقودها الذكية مفتوحة المصدر على GitHub، ولكن ليس كل شخص يفعل ذلك بدقة. إن شفافية BlockSec Phalcon هنا مفيدة للغاية - إنها بمثابة درس مجاني للمطورين والمستخدمين على حد سواء.

أفكار أخيرة

إن اختراق WebKeyDao أمر مؤسف، ولكنه أيضًا فرصة للتعلم. يوضح التحليل التفصيلي لـ BlockSec Phalcon على X كيف يمكن أن تسوء الأمور بسرعة في DeFi ولماذا يهم الأمان. إذا كنت مهتمًا بالتفاصيل الدقيقة، فتحقق من سلسلة التغريدات الكاملة الخاصة بهم للحصول على مزيد من التفاصيل الفنية، بما في ذلك روابط المعاملات وتحليل التعليمات البرمجية.

في الوقت الحالي، راقب المشاريع التي تستثمر فيها، وربما فكر مليًا قبل القفز إلى رمز DeFi جديد دون التحقق من أمانه. ابق آمناً في عالم العملات المشفرة!

Transaction details showing the attacker’s exploit on WebKeyDao

قد تكون مهتماً أيضاً