تمت سرقة SwapNet وخسارة 17 مليون دولار، وآلية تفويض مجمعات DEX أصبحت مرة أخرى مصدر قلق أمني

في 26 يناير، ورد أن مجمع التبادلات اللامركزية على السلسلة SwapNet تعرض لهجوم كبير على العقود الذكية، حيث تم سرقة حوالي 16.8 مليون دولار من الأصول المشفرة، مما أعاد التركيز على مخاطر أمان DeFi. وكشفت مؤسسة أمن البلوكتشين PeckShield أن الهجوم مرتبط بعقد التوجيه الخاص بـ SwapNet الذي تم استدعاؤه عبر Matcha Meta (وهو مجمع ميتا تم تطويره بواسطة فريق 0x).

وقع الهجوم على شبكة Base، حيث قام الهاكرز أولاً بتحويل حوالي 10.5 مليون دولار من USDC إلى حوالي 3655 من ETH، ثم قاموا بنقل الأموال إلى شبكة إيثريوم الرئيسية. تُستخدم هذه الطريقة من “الانتقال عبر السلاسل” غالبًا لإطالة مسار التتبع، وزيادة صعوبة تجميد واسترداد الأموال.

وأوضحت Matcha Meta لاحقًا أن نظامها الأساسي لم يتعرض للاختراق، وأن المستخدمين المتأثرين هم بشكل رئيسي أولئك الذين أغلقوا آلية التفويض لمرة واحدة الخاصة بـ 0x. كانت هذه الميزة الأمنية مخصصة لتقييد وصول العقود إلى أصول المستخدمين بشكل مستمر، لكن بعض المستخدمين قاموا بتعطيلها لزيادة سهولة المعاملات، مما سمح للعقود المجمعية الأساسية، بما في ذلك عقد التوجيه الخاص بـ SwapNet، بالحصول على تفويضات مباشرة. واستغل المهاجمون هذا المدخل.

وأفادت Matcha Meta بأنها تتعاون مع فريق SwapNet لمعالجة الأمر، وأن العقود ذات الصلة تم إيقافها مؤقتًا، ودعت المستخدمين إلى سحب جميع التفويضات من المجمعات غير ذات التفويض لمرة واحدة، خاصة عقد التوجيه الخاص بـ SwapNet، لتجنب مخاطر إضافية.

يكشف هذا الحادث مرة أخرى عن التناقض الطويل الأمد بين “الراحة والأمان” في عالم DeFi. فالتفويض لمرة واحدة، رغم أنه يزيد من خطوات العملية، يقلل بشكل كبير من احتمالية السرقة المستمرة؛ بينما يمنح التفويض غير المحدود كفاءة أكبر في المعاملات، لكنه يزيد من حجم الخسائر عند اختراق العقود.

وفي الوقت نفسه، حدثت في شبكة إيثريوم الرئيسية يومًا آخر حادثة تتعلق بثغرة في عقد غير مفتوح المصدر ولم يتم التحقق منه، حيث تأثر حوالي 37 من WBTC، مما زاد من مخاوف السوق بشأن شفافية العقود وآليات التدقيق. لم تعلن SwapNet بعد عن تعويض المستخدمين، لكن من المتوقع أن تتعزز عمليات التدقيق الأمني على مجمعات DEX ونماذج التفويض بشكل ملحوظ بحلول عام 2026.