Slowmist: سطر واحد مفقود من الكود أدى إلى خسارة 111,000 دولار من عملة DIP الرقمية

• </span></p>
• <p><span style="font-weight: 400;">النقاط الرئيسية: </span></p>
• <ul>
• <li><span style="font-weight: 400;">قالت Slowmist إن عدم وجود عبارة «return» في كود توكن DIP أدى إلى استنزاف ما يقارب 111,098 دولارًا أمريكيًا من عملة USDC. </span></li>
• <li><span style="font-weight: 400;">أدى هذا الخلل إلى مضاعفة عمليات التحويل عبر منصة Pancakeswap، ليضاف ذلك إلى أكثر من 2,150 حادثة سجلتها Slowmist هذا العام. </span></li>
• <li><span style="font-weight: 400;">خسرت DeFi أكثر من مليار دولار جراء عمليات الاستغلال في عام 2026، مما أبقى الطلب على عمليات التدقيق مرتفعًا مع اقتراب النصف الثاني من العام.</span></li>
• </ul>
• <p><span style="font-weight: 400;">

تحويل تم تنفيذه مرتين

أبلغت Slowmist عن الحادثة في تنبيه استخباراتي حول التهديدات، وحددت الخسارة بمبلغ 111,097.6 USDC. وقالت الشركة إن وظيفة "_transfer()" لرمز DIP كانت تفتقر إلى عبارة "return" في الفرع الذي يتعامل مع التداولات الموجهة عبر موجه Pancakeswap (وهو خدمة تستخدمها البورصات اللامركزية لمبادلة الرموز مقابل مجمعات السيولة). وأضاف الفريق:

"استغل المهاجم هذه الثغرة باستدعاء `skim(router)` لتشغيل عمليات تحويل مزدوجة لـ DIP، ثم `sync()` لتعيين احتياطي DIP على قيمة منخفضة للغاية، مما أدى إلى التلاعب بسعر AMM لاستنزاف المجمع."

على الرغم من التحليل التفصيلي، لم تذكر Slowmist اسم المهاجم ولم توضح ما إذا كان من الممكن استرداد الأموال المسروقة في أي وقت قريب.

يبدو أن آليات العملية برمتها عادية جدًّا، نظرًا لأن البورصات اللامركزية مثل Pancakeswap تعتمد على عقود الموجه الآلي لنقل الرموز بين المتداولين ومجمعات السيولة. يمكن لأي توكن إضافة منطق مخصص إلى وظيفة التحويل الخاصة به، ولكن عندما يسيء هذا المنطق التعامل مع تفاعلات الموجه، فإن ذلك يفتح الباب أمام عمليات دفع متكررة وغير مقصودة.

في حالة DIP، أدى غياب كلمة «return» إلى أن الكود الذي كان من المفترض أن يتوقف بعد عملية تحويل واحدة استمر في التنفيذ ونُفِذ مرة ثانية. كل صفقة مرت عبر الموجه أدت فعليًّا إلى دفع تعويض مرتين، مما أدى إلى استنزاف USDC من مجمع السيولة بهدوء.
لم يحتج هذا الخطأ إلى قرض سريع أو خدعة أوراكل أو مفتاح مسروق ليعمل (بل مجرد ثغرة في كود التوكن نفسه). تنتشر هذه الرموز التي تدعم الموجه وتفرض رسومًا على التحويل بشكل شائع في السلاسل المرتبطة بـ Binance، حيث غالبًا ما تضيف المشاريع سلوكيات إضافية إلى قوالب الرموز القياسية. كل فرع مضاف يمثل مكانًا آخر يمكن أن يختبئ فيه الخطأ، ويمكن أن تؤدي عمليات المبادلة الآلية إلى تكرار هذا الخطأ آلاف المرات قبل أن يلاحظه أحد.

جزء من عام 2026 المكلف لقطاع DeFi

تعتبر خسارة DIP صغيرة مقارنة بالاختراقات البارزة التي شهدها العام، لكنها تندرج ضمن سلسلة متواصلة من الإخفاقات على مستوى الكود. سجلت قاعدة بيانات الاختراقات العامة التابعة لـ Slowmist وحدها أكثر من 2,150 حادثة وخسائر تراكمية تبلغ حوالي 37.8 مليار دولار. في الأيام الأخيرة، سجل المتتبع خسارة قدرها 105,000 دولار في Thetanuts Finance واستغلالًا بقيمة 2.1 مليون دولار في Aztec Connect.

وبشكل أكثر تحديدًا، يمكن ملاحظة أن أخطاء العقود الذكية تسببت في جزء كبير من الأضرار التي وقعت هذا العام، حيث خسرت بروتوكولات DeFi أكثر من مليار دولار جراء عمليات الاختراق والاستغلال (حتى الشهر الماضي). قامت Slowmist نفسها بتتبع استنزاف Aztec Connect إلى عقد تم إيقاف استخدامه، وعزت سرقة مبلغ 174,570 دولارًا من Grok-Bankr إلى وكيل ذكاء اصطناعي (AI) تم خداعه للموافقة على عملية تحويل.

وأخيرًا، أفادت Bitcoin.com News في وقت سابق من هذا العام أن Zetachain أوقفت شبكتها الرئيسية مؤقتًا بعد أن حددت Slowmist وجود ثغرة في التحكم في الوصول في عقد GatewayZEVM الخاص بها، وهي حالة أخرى لثغرة منطقية واحدة تتيح للمهاجمين فرصة للاستغلال.

مع عدم تأكيد استرداد الأموال وبقاء هوية المهاجم مجهولة، تعزز حادثة DIP درسًا متكررًا مفاده أن سطرًا واحدًا مفقودًا يمكن أن يكون كافيًا لتفريغ مجمع أموال، وتظل عمليات التدقيق المستقلة خط الدفاع الرئيسي مع تزايد خسائر DeFi.