تحليل حادثة CryptoBottle: اختراق بقيمة 527,000 دولار على Polygon
في أكتوبر 2024، تعرض مشروع CryptoBottle على شبكة Polygon لثلاث هجمات منفصلة، أدت إلى خسائر إجمالية بلغت 527,000 دولار. كانت أكبر هذه الهجمات في 24 أكتوبر، عندما استغل مهاجم ثغرة في دالة swap() لسحب ما يقرب من 490,000 دولار من USDT من المشروع.
الهجمات الأولية والثغرات البرمجية
الهجوم الأول – تجاوز التحكم في الوصول (1 أكتوبر)
في أول حادثة، استغل المهاجم ضعفًا في دالة withdrawUserLiquidity()، مما سمح له بتجاوز آلية التحكم في الوصول (Access Control Bypass) وسحب 6,000 دولار من المشروع دون إذن.
🔹 ما هو تجاوز الصلاحيات؟
هو نوع من الهجمات يسمح للمخترق بتخطي القيود الأمنية داخل العقد الذكي وتنفيذ أوامر غير مصرح بها، كما حدث في هذه الحالة حيث تمكن المهاجم من سحب الأموال مباشرة.
الهجوم الثاني – ثغرة في عقد CryptoCuvee (22 أكتوبر)
تم استهداف عقد CryptoCuvee في هجوم آخر، حيث تمكن المخترق من استغلال ثغرة برمجية سمحت له بإجراء عمليات شراء غير مصرح بها واستخراج أصول رقمية بقيمة 31,000 دولار.
الثغرة في دالة swap() وعملية الاختراق الكبرى
استغلال خطأ في التحقق من الرصيد
كان الهجوم الرئيسي في 24 أكتوبر ناتجًا عن ثغرة أمنية في عقد Navigator’s Advantage، حيث تمكن المهاجم من تعطيل آلية التحقق من الرصيد في دالة swap().
🔹 ما هي دالة swap()؟
هي وظيفة داخل العقد الذكي تتيح للمستخدمين استبدال عملة رقمية بأخرى داخل منصة تداول لامركزية (DEX). في حالة CryptoBottle، كانت هذه الدالة تحتوي على خطأ برمجي سمح للمهاجمين بإجراء عمليات تبادل غير مشروعة دون الحاجة إلى تقديم رموز حقيقية للمبادلة.
استغلال المتغير fixedPriceEnabled
تمكن المخترق من التلاعب بالمتغير fixedPriceEnabled، مما سمح له بتمكين سك (Minting) رموز NAS بسعر ثابت.
🔹 ما هو fixedPriceEnabled؟
هو متغير داخل العقد الذكي يحدد ما إذا كان سعر رموز NAS ثابتًا أم لا. عندما قام المهاجم بتعديله إلى True، سمح له ذلك بسك رموز NAS جديدة دون قيود، مما يعني أنه كان يطبع أموالًا رقمية من العدم!
استخدام دالة Invest() لإجراء عمليات التبديل
بعد تفعيل fixedPriceEnabled، استخدم المهاجم دالة Invest() في عقده الذكي لإجراء عمليات تبديل متكررة، حيث بدأ بتبديل 1 USDT مقابل 1,000 NAS، ثم 10,000 NAS، وصولًا إلى 40 مليون NAS في صفقة واحدة!
🔹 ما هي دالة Invest()؟
هي وظيفة داخل العقد الذكي مخصصة لاستثمار العملات الرقمية، ولكن المهاجم استخدمها كأداة لتنفيذ صفقات احتيالية من خلال الاستفادة من الثغرة البرمجية.
إكمال الهجوم وسحب أموال USDT
بمجرد حصوله على كمية هائلة من NAS، قام المهاجم بتعطيل المتغير fixedPriceEnabled، ثم بدأ في بيع الرموز التي حصل عليها.
استنزاف الاحتياطي (Draining Reserves)
عندما باع المهاجم كميات ضخمة من NAS مقابل USDT، أدى ذلك إلى تفريغ الاحتياطي المالي للعقد الذكي، أي أن المشروع فقد جميع أمواله المخزنة تقريبًا لصالح المخترق.
🔹 ما هو استنزاف الاحتياطي (Draining Reserves)؟
عندما باع المهاجم كميات ضخمة من NAS مقابل USDT، أدى ذلك إلى تفريغ الاحتياطي المالي للعقد الذكي، أي أن المشروع فقد جميع أمواله المخزنة تقريبًا لصالح المخترق.
في النهاية، تم نقل 490,000 دولار إلى محفظة المهاجم خلال أقل من ساعة، مما تسبب في خسائر فادحة للمشروع.
الدروس المستفادة والتوصيات الأمنية
❌ ضعف التحكم في الوصول: يجب تعزيز آليات التحكم في الوصول إلى الوظائف الحساسة في العقود الذكية لمنع الهجمات التي تعتمد على تجاوز الصلاحيات.
❌ سوء التعامل مع المتغيرات الحساسة: يجب استخدام آليات تحقق صارمة عند التعامل مع المتغيرات الحرجة مثل fixedPriceEnabled، ومنع التلاعب بها من قبل أطراف غير مصرح لها.
✅ إجراء مراجعات أمنية شاملة: يجب على المشاريع إجراء تدقيقات دورية للكود البرمجي (Code Audit) لاكتشاف الثغرات قبل أن يتم استغلالها من قبل المهاجمين.
🔹 ما هو التدقيق الأمني؟
هو عملية يقوم بها خبراء الأمن السيبراني لتحليل الأكواد البرمجية للعقود الذكية بحثًا عن الثغرات الأمنية، كما أنه يساعد في تحديد نقاط الضعف التي يمكن استغلالها من قبل المهاجمين. عدم وجود مراجعة دقيقة للكود أدى إلى عدم اكتشاف هذه الثغرة قبل أن يتم استغلالها من قبل المهاجم.
✅ المراقبة المستمرة وتحليل الأنشطة المشبوهة: يمكن للذكاء الاصطناعي وأدوات المراقبة الآلية اكتشاف أي سلوك غير طبيعي في الوقت الفعلي وتنبيه الفرق الأمنية لاتخاذ التدابير المناسبة.
🔴 الخلاصة:
تكشف حادثة CryptoBottle عن مدى خطورة الإهمال في التحكم بالأذونات والمتغيرات في العقود الذكية. يجب على المشاريع التي تعتمد على البلوكتشين تبني إجراءات أمان صارمة لضمان حماية أصولها، خاصة مع تزايد الهجمات المعقدة في عالم Web3. 🔐
المصدر : Certik
اقراء المزيد :
افضل طريقة لحماية العملات الرقمية من السرقة
