تلقى قطاع التمويل اللامركزي (DeFi) تذكيراً حاداً آخر بشأن المخاطر المستمرة للعقود الذكية المهجورة عندما نجح أحد المهاجمين في سحب 2.1 مليون دولار من Aztec Connect، وهو بروتوكول يركز على الخصوصية توقف عملياته منذ ثلاث سنوات. يوضح الاستغلال الذي تم تنفيذه في 14 يونيو كيف يمكن للبنية التحتية للبلوكتشين المتقادمة أن تبقى عرضة للهجوم لفترة طويلة بعد إيقاف المشاريع عملياتها.
حددت شركة أمان البلوكتشين CertiK المعاملة المريبة ونبهت إليها على منصة X، كاشفة أن المهاجم استغل عيباً أساسياً في منطق التحقق من الإثبات بالمنصة. تمحورت الثغرة حول التحقق غير الكامل من الإثباتات المقدمة، مما سمح للممثل الخبيث بمعالجة آليات الأمان الأساسية للنظام واستخراج الأموال التي ظلت مقفلة في العقود الذكية للبروتوكول.
عمل Aztec Connect في الأصل كطبقة خصوصية لـ Ethereum، مما يمكّن المستخدمين من إجراء معاملات خاصة مع الحفاظ على التوافق مع بروتوكولات DeFi الموجودة. استخدم البروتوكول إثباتات المعرفة الصفرية لإخفاء تفاصيل المعاملات مع الحفاظ على القدرة على التفاعل مع التطبيقات الشهيرة مثل Uniswap و Aave. ومع ذلك، أعلن مطورو المشروع عن إيقافه في 2023، تاركين العقود الذكية وأموال المستخدمين في حالة متقادمة بدون صيانة نشطة أو مراقبة أمنية.
يسلط الاستغلال الضوء على ضعف حاد في كيفية تعامل نظام DeFi مع دورات حياة المشاريع وإيقاف العقود الذكية. على عكس الخدمات المالية التقليدية التي يمكن إيقافها بنظافة وإعادة توزيع الأصول، فإن البروتوكولات المبنية على البلوكتشين غالباً ما تترك الأكواد غير القابلة للتغيير تعمل إلى أجل غير مسمى. يمكن لهذه "العقود الزومبي" أن تحتوي على ملايين الدولارات من الأصول المقفلة بينما تفتقد الإشراف الأمني وتصحيحات الأخطاء التي عادة ما تتلقاها المشاريع النشطة.
تتضمن طريقة المهاجم معالجة نظام التحقق من الإثبات الذي استخدمه Aztec Connect للتحقق من المعاملات الخاصة. بتقديم إثباتات مشوهة أو غير كاملة اجتازت منطق التحقق المعيب، يمكن للمستغِل إقناع العقد الذكي بتحرير الأموال دون استيفاء المتطلبات التشفيرية الصحيحة. يمثل هذا النوع من تجاوز التحقق أحد أخطر فئات ثغرات العقود الذكية، حيث يقوض افتراضات الثقة الأساسية للنظام بأكمله.
حذر خبراء الأمان في الصناعة منذ فترة طويلة من المخاطر التي تشكلها بروتوكولات DeFi المتقادمة. يطلق العديد من المشاريع مع ضجة إعلامية كبيرة واعتماد المستخدمين، متراكمة قيمة مقفلة إجمالية (TVL) كبيرة، لكنها تفتقر إلى إجراءات غروب شاملة عند توقف العمليات. يسلط حادث Aztec Connect الضوء على الحاجة إلى معايير صناعية أفضل حول تقاعد المشاريع، بما في ذلك عمليات تدقيق أمنية إلزامية قبل الإيقاف وجداول زمنية واضحة لإيقاف العقود.
يطرح فقدان 2.1 مليون دولار أيضاً أسئلة حول سلوك المستخدمين وتقييم المخاطر في DeFi. على الرغم من إيقاف Aztec Connect منذ ثلاث سنوات، ظلت أموال كبيرة في عقود البروتوكول، مما يشير إلى أن المستخدمين إما لم يكونوا على علم بإيقاف العمليات أو كانوا غير قادرين على سحب أصولهم. أصبح هذا النمط شائعاً بشكل متزايد مع نضوج مساحة DeFi وإيقاف المشاريع التجريبية المبكرة عملياتها.
بالنسبة للنظام الأوسع، يخدم هذا الاستغلال بمثابة تذكير حاسم بأن أمان العقود الذكية يتجاوز مراحل الإطلاق والتشغيل النشط. مع وصول المزيد من بروتوكولات DeFi إلى حالة نهاية العمر، يجب على الصناعة تطوير أطر عمل قوية لإيقاف العقود الذكية بأمان وحماية أموال المستخدمين أثناء فترات الانتقال. البديل—ترك ملايين الدولارات في أكواد مهجورة—ينشئ هدفاً جذاباً للمهاجمين المتطورين على استعداد لاستغلال الأنظمة المتقادمة.
كتبها الفريق التحريري — صحافة مستقلة من قبل Bitcoin News.