تلقى قطاع التمويل اللامركزي (DeFi) تذكيراً صارخاً آخر بشأن المخاطر المستمرة للعقود الذكية المهجورة عندما نجح مهاجم في سحب 2.1 مليون دولار من Aztec Connect، وهو بروتوكول يركز على الخصوصية توقف عملياته منذ ثلاث سنوات. الاستغلال، الذي تم تنفيذه في 14 يونيو، يوضح كيف يمكن لبنية البلوكتشين المتقادمة أن تبقى عرضة للهجوم وقتاً طويلاً بعد إيقاف المشاريع.
حددت شركة أمن البلوكتشين CertiK المعاملة المريبة وأشارت إليها على منصة التواصل الاجتماعي X، مما كشف أن المهاجم استغل خللاً أساسياً في منطق التحقق من الإثبات في المنصة. كانت الثغرة مركزة على التحقق الناقص من الإثباتات المقدمة، مما سمح للفاعل الخبيث بمعالجة آليات الأمان الأساسية للنظام واستخراج الأموال التي ظلت مقفولة في العقود الذكية للبروتوكول.
عمل Aztec Connect في الأصل كطبقة خصوصية لـ Ethereum، مما يتيح للمستخدمين إجراء معاملات خاصة مع الحفاظ على التوافق مع بروتوكولات DeFi الموجودة. استخدم المنصة إثباتات المعرفة الصفرية لإخفاء تفاصيل المعاملات مع الحفاظ على القدرة على التفاعل مع التطبيقات الشهيرة مثل Uniswap و Aave. ومع ذلك، أعلن مطورو المشروع عن إيقافه في عام 2023، تاركين العقود الذكية وأموال المستخدمين في حالة متقادمة بدون صيانة نشطة أو مراقبة أمنية.
يسلط الاستغلال الضوء على ضعف حرج في كيفية تعامل نظام DeFi مع دورات حياة المشاريع وتقاعد العقود الذكية. على عكس الخدمات المالية التقليدية التي يمكن إيقافها بشكل نظيف وإعادة توزيع الأصول، فإن بروتوكولات القائمة على البلوكتشين غالباً ما تترك الأكواد غير القابلة للتغيير تعمل إلى الأبد. يمكن أن تحتوي هذه "العقود الزومبية" على ملايين الدولارات في الأصول المقفولة بينما تفتقر إلى الإشراف الأمني والإصلاحات التي تتلقاها المشاريع النشطة عادة.
تضمنت طريقة المهاجم معالجة نظام التحقق من الإثبات الذي استخدمه Aztec Connect للتحقق من المعاملات الخاصة. بتقديم إثباتات مشوهة أو غير مكتملة مرت عبر منطق التحقق المعيب، كان بإمكان المستغل إقناع العقد الذكي بتحرير الأموال دون الامتثال للمتطلبات التشفيرية السليمة. يمثل هذا النوع من مجاوزة التحقق إحدى أخطر فئات ثغرات العقود الذكية، لأنه يقوض افتراضات الثقة الأساسية للنظام بأكمله.
حذر خبراء الأمن في الصناعة منذ فترة طويلة من المخاطر التي تشكلها بروتوكولات DeFi المتقادمة. تطلق العديد من المشاريع بضجة كبيرة وتبني المستخدمين، مما يتراكم TVL كبير، لكنها تفتقر إلى إجراءات الإغلاق الشاملة عند توقف العمليات. تؤكد حادثة Aztec Connect على الحاجة إلى معايير صناعية أفضل حول تقاعد المشروع، بما في ذلك عمليات التدقيق الأمني الإلزامية قبل الإيقاف والجداول الزمنية الواضحة لإيقاف العقد.
يثير فقدان 2.1 مليون دولار أيضاً أسئلة حول سلوك المستخدم وتقييم المخاطر في DeFi. على الرغم من إيقاف Aztec Connect منذ ثلاث سنوات، ظلت أموال كبيرة في عقود البروتوكول، مما يشير إلى أن المستخدمين إما كانوا غير مدركين لتوقف العمليات أو غير قادرين على سحب أصولهم. أصبح هذا النمط شائعاً بشكل متزايد حيث ينضج فضاء DeFi وتوقف المشاريع التجريبية المبكرة عملياتها.
بالنسبة للنظام البيئي الأوسع، يعمل هذا الاستغلال كتذكير حاسم بأن أمان العقود الذكية يتجاوز مراحل الإطلاق والتشغيل النشطة. مع وصول المزيد من بروتوكولات DeFi إلى حالة نهاية العمر، يجب على الصناعة تطوير أطر عمل قوية لإيقاف العقود الذكية بأمان وحماية أموال المستخدمين أثناء فترات الانتقال. البديل—ترك ملايين الدولارات في أكواد مهجورة—يخلق هدفاً جذاباً للمهاجمين المتطورين على استعداد لاستغلال الأنظمة المتقادمة.
كتبت بقلم الفريق التحريري — صحافة مستقلة من قبل Bitcoin News.