كاربونتيك يكتشف طريق استغلال بقيمة 520,000 دولار في وظيفة الإنقاذ الخاصة بمستنقع 1inch

خطأ في تصميم موجه 1inch سمح بسحب الأموال المرسلة عن طريق الخطأ

كشفت شركة الأمن في سلسلة الكتل كاربونتيك عن ثغرة تصميم كبيرة في العقد الذكي لموجه التجميع v6 من 1inch، وهو بروتوكول ديفاي أساسي يُسهل تبادل الرموز لملايين المستخدمين. المشكلة؟ يمكن لأي شخص سحب الرموز المرسلة عن طريق الخطأ إلى العقد، وليس فقط المالك.

وفقًا لمشاركة حصرية مع Bitcoin.com نيوز، تم نقل أكثر من 520,000 دولار من العملات المشفرة، بما في ذلك 4.2 BTC (حوالي 445,000 دولار) في صفقة واحدة، من قبل فاعلين غير مرتبطين عبر نسخ الموجهات 4، 5 و6. تأتي الثغرة من وظائف الاسترجاع القابلة للوصول علنًا ومن منطق الموجه الذي يقبل مجموعة التبادل المعرفة من قبل المستخدمين. هذه الأمور تسمح بعمليات مزيفة تموه استخراج الأموال تحت ذريعة استخدام البروتوكول الروتيني.

بدلاً من أن تكون مقفلة أو مستردة فقط من قبل 1inch، أصبحت الرموز المرسلة عن طريق الخطأ هدفًا لأي شخص لديه المعرفة الفنية. هذا ليس خطأ في الترميز، بل تنازل عن التصميم لتوفير الغاز الذي قلل من سلوك المستخدم وأدى إلى المبالغة في تقدير أمان العقد من خلال التعتيم.

ميروسلاف بارييل، الرئيس التنفيذي للتكنولوجيا في كاربونتيك، شارك ببعض الأفكار من تحقيق الشركة.

هذه ليست مشكلة تخص 1inch فقط؛ إنها ثغرة نظامية يمكن أن تكون موجودة عبر بروتوكولات ديفاي الأخرى. الافتراض بأن الرموز المرسلة عن طريق الخطأ إما غير قابلة للاسترداد أو يمكن استردادها فقط من قبل مالكي العقود يخلق شعورًا زائفًا بالأمان والسلامة. غالبًا ما تنشأ المخاطر الواقعية ليس فقط من الأخطاء في الكود ولكن أيضًا من أنماط التصميم. يجب موازنة الجوانب الحرجة لتصميم البروتوكول الهيكلي مع الأمان ومنع سوء الاستخدام.

تظهر أبحاث كاربونتيك أن هذه المشكلة تؤثر ليس فقط على 1inch، بل ربما على أي بروتوكول ديفاي يقبل مدخلات العقد الخارجي أو يكشف عن عمليات استرجاع التبادل الداخلية. مع سحب مئات الآلاف من أموال المستخدمين بهدوء، تثير التحقيقات أسئلة ملحة حول كيفية تعامل بروتوكولات الديفاي مع الأخطاء ومن يستطيع فعليًا الوصول إلى أموال المستخدمين.