العقود الآجلة
وصول إلى مئات العقود الدائمة
TradFi
الذهب
منصّة واحدة للأصول التقليدية العالمية
الخیارات المتاحة
Hot
تداول خيارات الفانيلا على الطريقة الأوروبية
الحساب الموحد
زيادة كفاءة رأس المال إلى أقصى حد
التداول التجريبي
مقدمة حول تداول العقود الآجلة
استعد لتداول العقود الآجلة
أحداث مستقبلية
"انضم إلى الفعاليات لكسب المكافآت "
التداول التجريبي
استخدم الأموال الافتراضية لتجربة التداول بدون مخاطر
إطلاق
CandyDrop
اجمع الحلوى لتحصل على توزيعات مجانية.
منصة الإطلاق
-التخزين السريع، واربح رموزًا مميزة جديدة محتملة!
HODLer Airdrop
احتفظ بـ GT واحصل على توزيعات مجانية ضخمة مجانًا
Pre-IPOs
افتح الوصول الكامل إلى الاكتتابات العامة للأسهم العالمية
نقاط Alpha
تداول الأصول على السلسلة واكسب التوزيعات المجانية
نقاط العقود الآجلة
اكسب نقاط العقود الآجلة وطالب بمكافآت التوزيع المجاني
أغبى عملية سرقة في عالم العملات الرقمية؟ قام هاكر بإنشاء 1 مليار دولار من عملة DOT، لكنه سرق فقط 23 ألف دولار
استخدم القراصنة ثغرة في جسر Hyperbridge العابر للسلاسل، وخلقوا من لا شيء مليار عملة DOT، بقيمة اسمية تصل إلى 1.19 مليار دولار، لكن بسبب نقص السيولة في السوق، لم يتمكنوا من سحب سوى حوالي 237 ألف دولار.
تتكرر حوادث الهجمات على العملات المشفرة بشكل مستمر، لكن حالات مثل هذه “المخاطرة الكبيرة، والأرباح الصغيرة” نادرة جدًا. اليوم (13) في وقت مبكر، استغل قراصنة ثغرة في جسر Hyperbridge العابر للسلاسل، وخلقوا من لا شيء مليار عملة Polkadot (DOT)، بقيمة اسمية تصل إلى 1.19 مليار دولار. ومع ذلك، عندما حاولوا بيع هذه العملات، لم يتمكنوا من ذلك بسبب نقص السيولة الشديد، وفي النهاية حصلوا على حوالي 237 ألف دولار من الإيثيريوم.
ما يجب توضيحه هو أن هدف هجوم القراصنة كان “عقد ذكي للجسر العابر للسلاسل”، لذلك لم تتأثر عملة DOT الأصلية على شبكة Polkadot. السبب الرئيسي في الثغرة هو أن عقد EthereumHost الخاص بـ Hyperbridge لم يتحقق بشكل صحيح من صحة الرسائل قبل إرسالها إلى TokenGateway.
مصدر الصورة: X/@OnchainLens
الجسور العابر للسلاسل دائمًا ما تكون الحلقة الأضعف في بنية البلوكشين، لأنها تملك صلاحية إدارة عقود العملات، وإذا حدث أي ثغرة في آلية التحقق، يمكن للقراصنة بسهولة الحصول على صلاحية التوليد غير المحدود للعملات.
أساليب الهجوم: تزوير الرسائل، الاستيلاء على صلاحية الإدارة، التوليد غير المحدود للعملات
تُظهر تتبع العمليات على السلسلة أن القراصنة أرسلوا رسالة مزورة عبر dispatchIncoming، ونجحوا في توجيهها إلى TokenGateway.onAccept. كان من المفترض أن يتحقق النظام من صحة الرسالة استنادًا إلى الحالة على شبكة Polkadot، لكن آلية التحقق سجلت قيمة الوعد على أنها “صفر كامل”، مما يعني أن عملية التحقق تم تجاوزها تمامًا أو لم تكن موجودة أصلاً، وبالتالي اعتبر النظام أن هذه الرسالة المزورة أمر قانوني.
تم تنفيذ الرسالة المقبولة على الفور وظيفة changeAdmin لعقد عملة Polkadot العابر، ونقل صلاحية المدير إلى عنوان المهاجم. بعد الحصول على صلاحية الإدارة، قام المهاجم بتوليد مليار عملة DOT في عملية واحدة، ومن خلال Odos Router V3، قام بإيداع هذه العملات في تجمع تداول DOT-ETH على Uniswap V4، وأجرى عمليات تبادل متعددة بأسعار مختلفة، وأخيرًا سحب حوالي 108.2 من عملة الإيثيريوم.
“نقص السيولة” يتحول إلى درع حماية
في الأسواق المالية، عادةً ما يكون “نقص السيولة” هو المشكلة التي تزعج أكبر المستثمرين، لكن من المفارقة أن نقص السيولة هذه المرة أصبح بمثابة درع غير مرئي، وقلص بشكل كبير أرباح القراصنة.
نظرًا لعمق السيولة المحدود جدًا لعملة DOT على شبكة إيثيريوم، لم يكن بالإمكان استيعاب الـ 1 مليار عملة التي أُنشئت من لا شيء، وعندما حاول القراصنة البيع بسرعة، أدى ذلك إلى تدهور كبير في السعر، بحيث أصبح السعر الفعلي لكل عملة أقل من سنت واحد.
لو كانت هناك جسرات ذات سيولة أعمق أو قيمة أعلى للأصول العابر للسلاسل، لكان الثغرة نفسها قد تسببت في خسائر تتجاوز عشرات المرات. حتى وقت كتابة هذا التقرير، كان سعر تداول DOT حوالي 1.17 دولار، وانخفض خلال الـ 24 ساعة الماضية بنسبة 5%.
تؤكد هذه الحادثة مرة أخرى: حتى لو كان لدى القراصنة صلاحية التوليد غير المحدود، فإن نجاحهم في تحقيق أرباح نهائية يعتمد على سيولة السوق وعمق التداول. وأكدت شركة CertiK، وهي جهة معروفة في أمن البلوكشين، صحة هذا الهجوم، وذكرت أن القراصنة حققوا أرباحًا قدرها حوالي 237 ألف دولار من خلال التوليد والبيع للعملات العابر للسلاسل.
حتى الآن، لم تصدر شركة Hyperbridge أي تعليق رسمي حول حادثة الاختراق.
مصدر الصورة: X/@CertiKAlert