لا شك أن تقنية blockchain تجلب لنا الابتكار والراحة ، كما أنها في نفس الوقت آلة نقدية كبيرة مؤتمتة للقراصنة. في كثير من الأحيان سمعنا الأخبار حول اختراق هذه السلسلة ، واستغلال العملة المشفرة ، وإذا لم يكن هناك المزيد من القرصنة في يوم من الأيام ، فستكون حقًا العناوين الرئيسية. مرة أخرى ، حدث اختراق آخر للعملات المشفرة هذا الأسبوع - تم اختراق محفظة تشفير قائمة على Solana. لم يكن المبلغ الإجمالي للدولار الأمريكي الذي تم اختراقه كثيرًا مقارنة بتلك الثغرات الرئيسية ، ولكنه مخيف بما يكفي لجعل المستخدمين يفكرون مرتين قبل استخدام التطبيقات المستندة إلى Solana مرة أخرى.
في 3 أغسطس ، قام العديد من المستخدمين بالتغريد بأن أصولهم المشفرة في محفظة Phantom ، وهي محفظة تشفير أخرى قائمة على Solana ، قد تم نقلها دون إشعار. كان الأمر محيرًا للغاية في البداية لأن العديد منهم لم يمنحوا الموافقة على أي موقع أو وقعوا أي معاملة قبل الاختراق. بدأ الناس يفكرون فيما إذا تم اختراق blockchain الخاص بسولانا. بعد يوم واحد ، تبين أن محفظة Slope Finance هي المسؤولة عن ذلك. لم يكن خطأ الموافقة ولا المعاملة ولكن تسرب عبارة البذور. اكتشف مطورو Solana الثغرة أنه بينما يقوم مستخدمو Slope بتنزيل التطبيق وتثبيته على هواتفهم المحمولة (كل من iOS و Android) ، فإن تطبيق الهاتف المحمول نفسه سيؤدي إلى تشغيل سجل الأحداث وتحميله إلى منصة تسجيل الأحداث "Sentry". يتم تحميل كل شيء بدون رقابة ، وكذلك العبارة الأولية. إذا تبين أن مستخدم Slope يستخدم نفس العبارة الأولية لمحفظة Phantom الخاصة به ، فسيتم اختراق كلتا المحفظتين في نفس الوقت.
تم تحميل سجل الأحداث الذي يحتوي على العبارة الأولية للمحفظة إلى Sentry. مصدر:تضمين التغريدة & أمبير ؛سنيكو
وفقًا لنتائج شركة Zellic لتدقيق blockchain ، فإن Slope يستخدم خدمات Sentry فقط لمدة أسبوع واحد حتى وقوع الهجوم. لا يتم الكشف عن سجلات الأحداث التي تم تحميلها إلى تطبيق Sentry علنًا ، وبالتالي فإن أي شخص لديه حق الوصول إلى تطبيق Sentry ، يمكنه استعراضها جميعًا وتنفيذ الخدعة. هذا يعني أن الجاني هو على الأرجح الشخص المطلع على Slope أو Sentry. وبعبارة Solana Foundation ، لا يبدو أن هذا خطأ في رمز Solana الأساسي ، ولكن في البرامج المستخدمة من قبل العديد من محافظ البرامج الشائعة بين مستخدمي الشبكة. & quot؛ حسنًا ، هذا ليس خطأ سولانا ، الخطأ التالي.
بيان مطوري Solana. مصدر:تضمين التغريدة
حدثت هذه الحالة قبل نصف عام ، في فبراير 2022 ، تم استغلال شبكة Wormhole مقابل 120 ألفًا من ETH الملفوف والتي بلغت قيمتها 312 مليون دولار أمريكي خلال ذلك الوقت. Wormhole هي عبارة عن منصة DeFi تعمل كجسر رمزي يربط العديد من سلاسل القيمة العالية. جسر blockchain عبارة عن بروتوكول يربط بين اثنين أو أكثر من سلاسل الكتل المختلفة ، مما يوفر الراحة لنا جميعًا لمستخدمي التشفير لمبادلة سلسلة التشفير المتقاطعة ، ومع ذلك ، فهو أيضًا قابل للاستغلال أيضًا. يحتاج المطورون إلى كتابة عدة عقود ذكية لكل سلسلة متوفرة على الجسر. في هذه الحالة ، كان هناك عقد ذكي واحد على Solana وآخر على Ethereum ، بينما حدث الاختراق من جانب Solana. بدون الخوض في الكثير من التفاصيل الفنية ، باختصار ، استغل المخترق عقد Wormhole's Solana الذكي ، وسك 120 ألفًا ملفوفًا ETH على Solana blockchain ثم استرد 93،750 منه على شبكة Ethereum. مرة أخرى ، يمكننا أن نرى بوضوح أن الخطأ كان على المطورين. الشيء نفسه ينطبق على حالة سلوب أيضًا.
عنوان المحفظة الذي يحتوي على Wormhole الذي تم اختراقه ، لا يزال قائمًا ، وربما ينتظر أفضل فرصة لسحب المال منه. مصدر:
https://etherscan.io/address/0x629e7da20197a5429d30da36e77d06cdf796b71a
على ما يبدو ، مثل ما قالته مؤسسة Solana Foundation ، فإن كود Solana الأساسي يعمل بشكل جيد ، لكن المطورين ليسوا كذلك. مقارنة بـ Ethereum البالغ من العمر 7 سنوات ، فإن Solana التي تم إطلاقها فقط في مارس 2020 ، لا تزال تعتبر "جديدة" لمعظم المطورين هناك. بينما يمكنني قراءة عقود Ethereum الذكية فقط في أحسن الأحوال ، ما أفهمه من خبراء blockchain هو أن عقود Solana الذكية تعمل بشكل مختلف عن العقود الذكية العادية. لذلك ، إذا لم يكن لدى المطورين خبرة كافية في ترميز عقد Solana الذكي ، فمن المحتمل أن ينفجر المنتج النهائي بطريقة ما ، في مكان ما. من المفهوم دعم الابتكارات الجديدة في مجال blockchain ، ولكن إذا كنت مجرد مستثمر صغير مثلي ، ألا توجد مشاريع أفضل لدعمها بدلاً من تلك التي تستمر في إعطائك مفاجآت غير ضرورية من العدم؟
بقلم: [Coinlive] نيل