أفادت شركة GoPlus Security للأمن في Web3 أن بروتوكول x402bridge الجديد الذي تم إطلاقه تعرض لثغرة أمنية، مما أدى إلى خسارة أكثر من 200 مستخدم لمبلغ USDC، بإجمالي حوالي 17,693 دولار. وقد أكدت كل من شركة SlowMist التي تعمل في الأمن والتحقيقات داخل السلسلة أن الثغرة ناتجة على الأرجح عن تسرب المفتاح الخاص للمدير، مما منح المهاجمين صلاحيات إدارة خاصة بالعقد. وقد أوصت GoPlus Security بشكل عاجل جميع المستخدمين الذين يمتلكون المحفظة على هذا البروتوكول بإلغاء التفويضات الجارية في أسرع وقت ممكن، وذكّرت المستخدمين بعدم منح عقودهم تفويضًا غير محدود أبدًا. تكشف هذه الحادثة عن المخاطر الأمنية المحتملة في آلية x402، حيث يمكن أن يؤدي تخزين المفتاح الخاص على الخادم إلى تسرب صلاحيات الإدارة.
بروتوكول x402bridge تعرض لهجوم: التفويض المفرط يكشف عن مخاطر أمن المفتاح الخاص
بعد أيام من إطلاق بروتوكول x402bridge داخل السلسلة، تعرض لهجوم أمني أدى إلى خسارة أموال المستخدمين. يتطلب آلية هذا البروتوكول من المستخدمين الحصول على تفويض من عقد Owner قبل سك USDC. في هذه الحادثة، كانت هذه التفويضات الزائدة هي التي أدت إلى تحويل ما تبقى من عملات الاستقرار لأكثر من 200 مستخدم.
المهاجمون يستغلون تسرب المفتاح الخاص لسرقة مستخدم USDC
وفقًا لملاحظات GoPlus Security، تشير عملية الهجوم بوضوح إلى إساءة استخدام الصلاحيات:
- نقل الصلاحيات: عنوان المنشئ (0xed1A يبدأ بـ ) نقل الملكية إلى العنوان 0x2b8F، ومنح الأخير صلاحيات إدارة خاصة تحتفظ بها فريق x402bridge، بما في ذلك القدرة على تعديل الإعدادات الأساسية ونقل الأصول.
- تنفيذ وظيفة خبيثة: بعد الحصول على السيطرة، قام عنوان المالك الجديد بتنفيذ وظيفة تسمى “transferUserToken” على الفور، مما مكن هذا العنوان من استخراج ما تبقى من عملات الدولار الأمريكي من جميع المحافظ التي تم تفويضها مسبقًا لهذا العقد.
- خسارة الأموال والتحويل: العنوان 0x2b8F سرق إجمالاً من المستخدمين ما قيمته حوالي 17,693 دولار من USDC، ثم قام بتحويل الأموال المسروقة إلى إيثيريوم، وانتقل عبر عدة معاملات عبر السلاسل إلى شبكة Arbitrum.
مصدر الثغرة: مخاطر تخزين المفتاح الخاص في آلية x402
فريق x402bridge قد رد على حادثة الثغرة هذه، مؤكدًا أن الهجوم كان نتيجة تسرب المفتاح الخاص، مما أدى إلى سرقة عشرات الفرق والمحافظ الرئيسية. وقد أوقف المشروع جميع الأنشطة وأغلق الموقع، وقد تم الإبلاغ عن ذلك إلى السلطات القانونية.
- مخاطر عملية التفويض: لقد أوضح البروتوكول سابقًا كيفية عمل آلية x402 الخاصة به: يقوم المستخدم بتوقيع أو الموافقة على المعاملات من خلال واجهة الويب، ثم يتم إرسال معلومات التفويض إلى الخادم الخلفي، حيث يقوم الخادم بعد ذلك بسحب الأموال وصك الرموز.
- مخاطر تعرض المفتاح الخاص: اعترف الفريق قائلاً: “عندما نطلق على x402scan.com، نحتاج إلى تخزين المفتاح الخاص على الخادم لاستدعاء طرق العقد.” قد تؤدي هذه الخطوة إلى تعرض المفتاح الخاص للمديرين خلال مرحلة الاتصال بالإنترنت، مما يؤدي إلى تسرب الصلاحيات. بمجرد سرقة المفتاح الخاص، يمكن للقراصنة السيطرة على جميع صلاحيات المدير وإعادة توزيع أموال المستخدمين.
قبل عدة أيام من حدوث هذا الهجوم، شهد استخدام x402 زيادة كبيرة، في 27 أكتوبر، تجاوزت القيمة السوقية لرمز x402 لأول مرة 800 مليون دولار، وبلغ حجم تداول بروتوكول x402 في CEX الرئيسي 500,000 صفقة خلال أسبوع، بزيادة قدرها 10,780%.
نصائح الأمان: تدعو GoPlus المستخدمين إلى إلغاء التفويض على الفور
نظرًا لخطورة هذا التسريب، توصي GoPlus Security بشكل عاجل جميع المستخدمين الذين يمتلكون المحفظة على هذا البروتوكول بإلغاء أي تفويضات جارية على الفور. كما تذكر الشركة الأمنية جميع المستخدمين:
- التحقق من العنوان: قبل الموافقة على أي تحويل، تحقق مما إذا كان العنوان المصرح به هو العنوان الرسمي للمشروع.
- مبلغ التفويض المحدود: فقط قم بتفويض المبلغ الضروري، ولا تمنح العقد تفويضًا غير محدود.
- الفحص الدوري: تحقق دوريًا وقم بإلغاء التفويضات غير الضرورية.
الخاتمة
تعرض x402bridge لحدث تسرب المفتاح الخاص، مما يقرع جرس الإنذار مرة أخرى في مجال Web3 بشأن المخاطر التي تسببها المكونات المركزية (مثل خوادم تخزين المفتاح الخاص). على الرغم من أن بروتوكول x402 يهدف إلى استخدام حالة HTTP 402 Payment Required لتحقيق مدفوعات مستقرة فورية وقابلة للبرمجة، إلا أن الثغرات الأمنية في آلية التنفيذ يجب إصلاحها على الفور. بالنسبة للمستخدمين، كانت هذه الهجمة درسًا مكلفًا، تذكرنا بضرورة الحفاظ على اليقظة وإدارة تفويضات المحفظة بحذر عند التفاعل مع أي بروتوكول بلوكتشين.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
تحليل شامل للوائح العملات المستقرة في اليابان: من آلية احتساب/تصفية الأموال إلى إطلاق JPYC، ثلاثة مسارات لإصدار متوافق يتم شرحها مرة واحدة لتفهمها بالكامل
تُعد اليابان واحدة من الاقتصادات الرئيسية في العالم التي كانت من أوائل من وضعوا إطارًا قانونيًا متكاملًا لتنظيم العملات المستقرة. ومع دخول التعديلات على قانون المدفوعات (قانون تسوية الأموال المعدَّل) حيز التنفيذ رسميًا في عام 2023، انتقلت عملية إصدار عملات الين المستقرة من منطقة رمادية قانونيًا إلى قواعد واضحة، وبحلول عام 2025 شهدت الإطلاق الرسمي لأول عملة مستقرة ين متوافقة، JPYC. يستعرض هذا المقال بشكل كامل تطور تشريعات العملات المستقرة في اليابان، ومسارات الإصدار الثلاثة المتوافقة، وأبرز الحالات الحالية في السوق، وذلك لتقديم مرجع للمؤسسات المالية في تايوان ولصناعة التشفير.
الخلفية التشريعية للعملات المستقرة في اليابان: من انهيار UST إلى تبلور القواعد التنظيمية
في مايو 2022، انهار عملة مستقرة خوارزمية TerraUSD (UST)، ما أدى إلى اهتمام عالمي متزايد بتنظيم العملات المستقرة. وسرّعت اليابان على الفور عملية سنّ القوانين؛ وفي الشهر التالي، في يونيو 2022، أقرّ البرلمان الياباني رسميًا مشروع قانون العملات المستقرة، محددًا بوضوح أن العملة المستقرة يجب أن تكون مرتبطة بالعملة الورقية، وأنها لا يمكن
ChainNewsAbmediaمنذ 4 س
كلييربانك تحصل على موافقة MiCA لتصبح CASP، وتخطط لإطلاق خدمات عملات مستقرة بالدولار الأوروبي (EURC) و(USDC)
حصلت ClearBank مؤخرًا على موافقة من هيئة إدارة الأسواق المالية في هولندا لتصبح مزودًا لخدمات الأصول المشفرة، وستطلق خدمات عملات مستقرة مثل EURC وUSDC، بهدف تحسين كفاءة المدفوعات عبر الحدود، والتعاون بشكل أعمق مع جهة CEX معينة، لتقديم حسابات ادخار ضمن تغطية خطة تعويض الخدمات المالية.
GateNewsمنذ 10 س
كِيركل تنشر خارطة طريق لبنية تحتية للتشغيل البيني عبر السلاسل، وبلغ إجمالي قيمة التحويلات عبر CCTP أكثر من 1100 مليار دولار
تعلن Circle عن خارطة طريق لبنية التحتية للتشغيل البيني عبر السلاسل، حيث قامت CCTP منذ إطلاقها في أبريل 2023 بمعالجة أكثر من 110 مليارات دولار من تحويلات USDC، مع دعم 20 سلسلة بلوكتشين. وفي المستقبل، تخطط للتوسع إلى أصول أخرى وإطلاق عدة منتجات مبتكرة لتبسيط سير العمل عبر السلاسل.
GateNews04-11 00:03
تقوم شركة Compass Point بخفض تصنيف Circle إلى "بيع" وخفض السعر المستهدف إلى 77 دولارًا
يُنزِّل محللو Compass Point تصنيف Circle من «محايد» إلى «بيع»، مع خفض السعر المستهدف إلى 77 دولارًا، حيث إن نمو USDC يأتي أساسًا من منصات منخفضة الربح، مما يؤثر على إيرادات الشركة. ومن المتوقع أن تكون نتائج الشركة في الربع الأول أقل من التوقعات، وأن ينخفض EBITDA على أساس ربع سنوي بنسبة 19%. ومع ذلك، إذا عاد سوق العملات المشفرة إلى الارتفاع، فهناك احتمال أن تتحسن آفاق Circle.
GateNews04-10 16:06
تراكم شركة Circle خلال الشهر الماضي على سلسلة Solana من خلال سكّ ما مجموعه 10.5 مليار وحدة USDC
أخبار بوابة الأخبار: 4 أبريل 10، قامت Circle اليوم مرة أخرى بإصدار/إضافة سك 250 مليون قطعة USDC. تُظهر البيانات أنه خلال الشهر الماضي، قامت Circle بإصدار/إضافة ما مجموعه 10.5 مليار قطعة USDC على شبكة سولانا.
GateNews04-10 15:51
ترد شركة Circle على حادثة سرقة بروتوكول Drift: يتطلب تجميد USDC التنفيذ بموجب القانون، مع الدعوة إلى تسريع التشريعات المتعلقة بالعملات المشفرة
ردّ دانتي دي سبارت، كبير مسؤولي الاستراتيجية في سيركل، على حادثة سرقة بروتوكول درِفت، مؤكدًا أن تجميد USDC يُنفَّذ بموجب القانون، داعيًا إلى تعزيز التنسيق بين الجوانب القانونية والتقنية، واقترح على بروتوكولات التمويل اللامركزي الاستفادة من آليات الحماية في الأسواق التقليدية، بما يساهم في تعزيز الحماية القانونية لحقوق الملكية المالية والخصوصية المالية.
GateNews04-10 12:19
