ثغرة إعادة الدخول لم يتم إصلاحها، وتعرض FutureSwap لهجمات متكررة وخسائر بقيمة 74,000 دولار أمريكي

2026-01-14 12:04:42

تم تعرض بروتوكول FutureSwap المبني على Arbitrum لهجومين خلال أربعة أيام فقط. ووفقًا لتحليل مؤسسة أمن البلوكشين BlockSec، بعد أول هجوم في 10 يناير، تعرض البروتوكول مرة أخرى في 11 يناير، وخسائره تقدر بحوالي 7.4万美元. والأكثر إثارة للقلق هو أن الهجومين استغلا نفس الثغرة في إعادة الدخول، مما يشير إلى أن التدابير التصحيحية بعد الهجوم الأول لم تحل المشكلة بشكل كامل.

تحليل أساليب الهجوم

مبدأ الثغرة

ثغرة إعادة الدخول هي أحد أكثر الثغرات الأمنية شيوعًا وخطورة في بروتوكولات DeFi. في حادثة FutureSwap، ظهرت الثغرة في وظيفة إعادة الدخول 0x5308fcb1. من خلال هذا المدخل، استغل المهاجم عيبًا منطقيًا في تفاعل البروتوكول.

خطوات الهجوم المحددة

تفعيل استدعاء استثنائي عبر وظيفة إعادة الدخول 0x5308fcb1
تكرار استدعاء الوظيفة أثناء تنفيذ العقد، متجاوزًا فحص الرصيد
إصدار رموز LP (رموز مزود السيولة) بشكل مفرط
الانتظار حتى انتهاء فترة التهدئة واسترداد الأصول المرهونة بشكل مفرط
تحقيق أرباح من خلال سحب الأرباح

السر في هذا الأسلوب من الهجوم هو الفارق الزمني: حيث يجمع المهاجم مراكز وهمية من رموز LP خلال فترة التهدئة، ثم يسترد الأصول بشكل قانوني بعد فك التجميد. من الظاهر أن الأمر يشبه عملية تداول عادية، لكن الكمية الحقيقية للأصول المستلمة تتجاوز بكثير ما ينبغي.

تقييم تأثير الحدث

تهديد FutureSwap

الهجمات المتكررة تشير إلى أن الإصلاحات الأمنية للبروتوكول قد تكون غير كافية. بعد الهجوم الأول، عادةً ما يقوم الفريق بإجراء تدقيق عاجل وتحديثات تصحيحية، لكن الهجوم الثاني تم بنجاح، مما يدل على أن:

الإصلاح الأول ربما لم يكن شاملاً
قد توجد ثغرات أخرى من نفس النوع
آلية فترة التهدئة قد تحتاج إلى إعادة تصميم

مخاطر أموال المستخدمين

على الرغم من أن الخسارة كانت “فقط” 7.4万美元، إلا أن ذلك يهدد ثقة المستخدمين في بروتوكول يُشك في أمانه. المستخدمون الذين لديهم أموال في البروتوكول يواجهون ليس فقط خطر الخسارة المباشرة، بل أيضًا خطر ضعف السيولة.

الدروس المستفادة من الصناعة

من وجهة نظري الشخصية، يكشف هذا الحدث عن عدة مشكلات واقعية في بيئة DeFi: أولاً، تأخر التدقيق الأمني. العديد من البروتوكولات تُخضع قبل إطلاقها لتدقيق أمني، لكن القراصنة غالبًا ما يعثرون على ثغرات لم تُكتشف. على الرغم من أن ثغرة إعادة الدخول ليست جديدة، إلا أنها لا تزال سلاحًا فعالًا للمهاجمين.

ثانيًا، ضغط سرعة الإصلاح. عند اكتشاف الثغرة، يتعين على الفريق إتمام الإصلاح والتدقيق والنشر في وقت قصير جدًا، مما يزيد من احتمالية حدوث أخطاء.

ثالثًا، مسؤولية المستخدمين في إجراء البحث الواجب. حتى البروتوكولات التي خضعت لتدقيق أمني قد تحتوي على مخاطر، لذلك يتحمل المستخدمون مسؤولية أموالهم.

الخلاصة

الهجمات المتكررة على FutureSwap تذكرنا بأن ثغرة إعادة الدخول لا تزال تهديدًا كبيرًا لبروتوكولات DeFi. هذه المشكلة ليست فقط في البروتوكول ذاته، بل هي قضية عامة يجب أن ينتبه لها الجميع. للمستخدمين، من الضروري إعادة تقييم أمان البروتوكول والنظر فيما إذا كان من الآمن الاستمرار في استخدامه؛ وللصناعة بشكل عام، هناك حاجة لمعايير أمنية أكثر صرامة وآليات استجابة سريعة للطوارئ. حاليًا، من المهم متابعة ما إذا كان البروتوكول سيقوم بترقية أمنية أكثر شمولاً، وما إذا كانت هناك مستخدمون آخرون بحاجة إلى تعويض.

قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.