ما هي أسوأ 5 ثغرات في العقد الذكي في تاريخ مجال العملات الرقمية؟

اختراق DAO: $60 مليون مسروقة في أكبر ثغرة تعاقد ذكي في إثيريوم

في عام 2016، شهد عالم العملات المشفرة واحدة من أكبر خروقات الأمان عندما تعرضت DAO، وهي منظمة مستقلة لامركزية مبنية على Ethereum، للاختراق المدمر. استغل المهاجم ثغرة حرجة في شفرة العقد الذكي، وتمكن من سحب ما يقرب من $60 مليون من الايثر إلى wallet منفصل. حدثت هذه الخرق الأمني على الرغم من أن DAO كانت قد جمعت أكثر من $150 مليون في صناديق الاستثمار من خلال بيع توكناتها.

استغل الاستغلال ثغرة في استدعاء متكرر سمحت للهاكر بسحب الأموال بشكل متكرر قبل أن يتمكن النظام من تحديث أرصدة الحسابات بشكل صحيح. ما جعل هذا الهجوم ملحوظًا بشكل خاص هو أنه لم يخترق أي قواعد صريحة داخل العقد الذكي - بل استغل ميزة غير ملحوظة في منطق الكود.

أدى الحادث إلى انقسام فلسفي داخل مجتمع إثيريوم بين الذين يعتقدون أن "الشفرة هي القانون" والذين advocates للتدخل. أدت هذه الأزمة في النهاية إلى انقسام صعب مثير للجدل في سلسلة إثيريوم لاسترداد الأموال المسروقة، مما أدى إلى إنشاء إثيريوم كلاسيك (السلسلة الأصلية) وإثيريوم (السلسلة المتفرعة). غيّر اختراق DAO بشكل جذري كيفية تعامل المطورين مع أمان العقود الذكية، مما يبرز الحاجة إلى تدقيق شامل واختبار قبل نشر الشفرة التي تدير الأصول المالية الكبيرة.

تجميد محفظة Parity: $300 مليون مقفلة بسبب خلل في الشفرة

في عام 2017، شهد عالم العملات الرقمية واحدة من أبرز حالات فشل العقود الذكية عندما قام مطور يُعرف باسم "devops199" عن غير قصد بتفعيل ثغرة خطيرة في مكتبة محفظة التوقيع المتعدد Parity. أسفرت هذه الحادثة عن قفل حوالي $300 مليون من عملة إيثيريوم بشكل دائم، مما جعلها غير قابلة للوصول لملاكها. حدثت الكارثة في 8 نوفمبر، عندما قام devops199 باستدعاء دالة initWallet، مما أدى عن غير قصد إلى استحواذه على عقد المكتبة الذي يدعم العديد من محافظ التوقيع المتعدد.

| تفاصيل حادثة محفظة بارتي | معلومات | |-------------------------------|-------------| | تاريخ الحادث | 8 نوفمبر 2017 | | المبلغ المجمد | $300 مليون في ايثر | | المحافظ المتأثرة | أكثر من 500 محفظة متعددة التوقيع | | السبب | ثغرة برمجية في عقد المكتبة | | تنفيذ الإجراء | المستخدم "devops199" يستدعي وظيفة initWallet |

ما يجعل هذه الحادثة مثيرة للقلق بشكل خاص هو أن شركة Parity Technologies قد تم تحذيرها بشأن هذه الثغرة قبل عدة أشهر. حيث حدد مستخدم على GitHub وبلغ عن العيب في أغسطس، لكن الشركة فشلت في تنفيذ الإصلاحات اللازمة. تم إنشاء الكود الأصلي وتدقيقه من قبل فريق DEV في مؤسسة إثيريوم وشركة Parity Technologies، ومع ذلك ظلت هذه الثغرة الحرجة دون معالجة، مما يُظهر كيف يمكن أن تحتوي العقود الذكية التي تم مراجعتها بدقة على عيوب مدمرة بعواقب لا يمكن عكسها في تكنولوجيا البلوكشين.

استغلال شبكة بولي: $610 مليون مسروقة في اختراق DeFi عبر السلاسل

في واحدة من أكبر خروقات الأمان في تاريخ التمويل اللامركزي، نفذ القراصنة هجومًا معقدًا على شبكة بولي، مما أدى إلى سرقة حوالي $610 مليون من الأصول الرقمية بنجاح. تصنف هذه الحادثة التي وقعت في عام 2021 ضمن أكبر عمليات سرقة العملات المشفرة التي تم تسجيلها على الإطلاق، حيث يمكن مقارنتها بخروقات كبيرة حدثت في بورصات أخرى في السنوات السابقة.

استغل القراصنة ثغرة في بروتوكول الشبكة المتقاطعة لـ Poly Network، مما سمح لهم بنقل آلاف الرموز الرقمية بما في ذلك ايثر إلى محافظ عملة مشفرة منفصلة تحت سيطرتهم. سلطت شدة هذا الهجوم الضوء على نقاط الضعف الأمنية الحرجة في بنية DeFi التحتية.

| الجانب | التفاصيل | |--------|---------| | المبلغ المسروق | $610 مليون | | حالة الاسترداد | 100% (مكتملة) | | جدول استرداد | 13 يوم | | السياق التاريخي | من بين أكبر عمليات الاختراق في تاريخ DeFi |

ما جعل هذه القضية غير معتادة بشكل خاص هو النتيجة النهائية. بعد الاختراق، أشارت شبكة بولي إلى القراصنة على أنهم "قبعات بيضاء"، وهو تصنيف مثير للجدل أثار نقاشات داخل مجتمع الأمن. كانت هذه المصطلحات تثير قلق الخبراء الذين كانوا يخشون أنها قد تشرع الأنشطة الإجرامية تحت ستار البحث الأمني. على الرغم من المخاوف الأولية، أعاد القراصنة في النهاية جميع الأصول المسروقة، حيث تم الإفراج عن الأموال النهائية عندما شارك القراصنة المفتاح الخاص اللازم للوصول إلى $268 مليون المتبقية التي كانت محجوزة في حساب مشترك.

هجوم Pump.fun: سرقة بقيمة 1.9 مليون دولار تسلط الضوء على المخاطر الأمنية الداخلية

تعرضت منصة Pump.fun لاختراق أمني كبير في عام 2023 عندما استغل موظف سابق صلاحيات النظام، مما أدى إلى سرقة حوالي 1.9 مليون دولار من رموز SOL. حدث هذا الهجوم الداخلي بين الساعة 3:21 مساءً و 5:00 مساءً بتوقيت UTC في 16 مايو، حيث استخدم الجاني قروضًا سريعة للتلاعب بسيولة الرموز من خلال ما وُصف بأنه هجوم "منحنى الربط". أثرت الحادثة على جزء فقط من أصول المنصة، حيث كانت الكمية المسروقة تمثل مجرد جزء من إجمالي $45 مليون ضمن عقود منحنى الربط الخاصة بـ Pump.fun.

بعد الهجوم، استجابت Pump.fun بسرعة من خلال تدابير أمنية معززة وخطة استرداد واضحة. وأكدت المنصة للمستخدمين أن عقودها الذكية ظلت آمنة وملتزمة بجعل المستخدمين المتأثرين كاملين من خلال توفير "100% من السيولة" في غضون 24 ساعة. بالإضافة إلى ذلك، خفضت Pump.fun رسوم التداول إلى 0% للأسبوع التالي للتخفيف من خسائر المستخدمين.

أدى ما بعد الحادث إلى عواقب قانونية للمتهم المزعوم، جارريت دان، الذي تم اعتقاله في المملكة المتحدة فيما يتعلق بالاستغلال. تعتبر هذه القضية تذكيرًا صارخًا بأن التهديدات الداخلية يمكن أن تشكل مخاطر كبيرة على منصات العملات المشفرة، حتى تلك التي تم بناؤها على أساسات بلوكتشين آمنة مثل سولانا.