ثغرة في تصميم بروتوكول على سلسلة BSC تتسبب في خسائر بمئات الآلاف من الدولارات

منصة تحليلات الأمان BlockSec Phalcon كشفت مؤخرًا عن حادثة هامة على سلسلة BSC تسببت في خسارة عقد غير معروف بقيمة 100,000 دولار. كشفت هذه الحادثة عن ثغرة خطيرة في آلية حرق الرموز التي تم تصميمها بشكل غير ناضج.

آلية الهجوم: استغلال من مرحلتين على سلسلة BSC

استخدم المهاجم استراتيجية تدريجية لسحب الأموال من المجمع. في المرحلة الأولى، نجح في سحب 99.56% من إجمالي رموز PGNLZ المخزنة في مجمع السيولة خلال المعاملة الأولى للتبادل. كانت هذه الخطوة تمهيدًا للمرحلة التالية الأكثر تعقيدًا.

في المرحلة الثانية، عندما قام المهاجم بإعادة بيع رموز PGNLZ، أدت وظيفة transferFrom في العقد تلقائيًا إلى تدمير 99.9% من رموز PGNLP الخاصة بالبروتوكول. تلت هذا التدمير الضخم عملية مزامنة أدت إلى قفزة حادة في سعر PGNLP. خلقت هذه الحالة فرصة مثالية للمهاجم لسحب تقريبًا جميع السيولة USDT من المجمع من خلال استغلال السعر الذي أصبح مشوهًا.

جذر المشكلة: عيب في تصميم آلية الحرق

وفقًا لتحليل Odaily، فإن السبب الرئيسي وراء هذا الهجوم هو ضعف أساسي في طريقة تصميم بروتوكول آلية حرق الأزواج بين الرموز. تم تصميم هذا النظام دون أخذ سيناريو تمكن المهاجم من التلاعب بنسبة السعر من خلال استخراج السيولة تدريجيًا في الاعتبار.

تداعيات الأمان على نظام السلسلة

تُظهر هذه الحادثة أن ليس كل العقود على سلسلة BSC تخضع لمراجعة أمنية صارمة قبل الإطلاق. يجب على البروتوكولات التي تعتمد على آلية حرق تلقائية أن تجري مراجعة شاملة لاحتمالات وجود ثغرات هجوم تتعلق بالتلاعب بالسعر والسيولة. من الأفضل لمطوري سلسلة BSC أن ينفذوا اختبارات ضغط أكثر شمولية قبل تفعيل ميزات حاسمة مثل نظام حرق الرموز.