حدث تطور نادر ومفرح هذا الأسبوع في عالم العملات الرقمية، حيث استعاد مستخدم أمواله بعد فقدان 100 إيثريوم بسبب خطأ في المحفظة.
يرجع الفضل في الاستعادة إلى فريق محفظة Safe وبُعد نظر المطورين ذوي القبعات البيضاء في Protofire.
فقدان 100 إيثريوم بسبب خطأ في المحفظة—ثم استعادتها في عملية إنقاذ مذهلة
وقعت الحادثة عندما حاول مستخدم إيثريوم القديم khalo_0x على X (تويتر) نقل 100 ETH من شبكة إيثريوم الرئيسية إلى بلوكتشين Base. استخدموا واجهة الجسر الرسمية لمحفظة Safe.
بأسعار اليوم، مع تداول ETH بسعر 2,635$ في وقت كتابة هذا المقال، كانت هذه العملية تساوي أكثر من 263,500$.
دون علمه، سمح خطأ حرج في تجربة المستخدم داخل أداة الجسر بنقل الأموال إلى محفظة عقد ذكي بدت وكأنها له.
ومع ذلك، كانت هذه المحفظة تحت سيطرة كيان مختلف.
كان جذر المشكلة في استخدام خالد لنسخة قديمة من Safe (v1,1,1)، التي تم نشرها في 2020. هذه النسخة القديمة كانت تسبق اعتبارات الشبكات المتعددة وتفتقر إلى الحمايات التي أصبحت الآن معيارًا في النسخ الأحدث.
نتيجة لذلك، بدا في البداية أن مهاجمًا قد نشر سابقًا نسخة من عنوان محفظة خالو على Base، ولكن بتكوين مالك مختلف. وبهذا، قاموا باختطاف الأموال فور نقلها.
“فقدت مدخرات حياتي بنقرة واحدة باستخدام Safe الليلة الماضية. هذا بعد 8 سنوات من الاحتفاظ بـ ETH وتجنب الاحتيالات. خطأ في تجربة المستخدم داخل ميزة الجسر الرسمية أوحى بأن عنوان الوجهة هو محفظتي على Base. لم يكن كذلك”، أعرب خالو في منشور.
جذب التغريدة انتباه مجتمع العملات الرقمية، بما في ذلك فريق Safe. قام المطور Tschubotz.eth بالتحقيق واكتشف أن العنوان على Base الذي يتحكم في ETH المنقول لم يكن خبيثًا في النهاية.
إصدار محفظة قديم فتح الباب لاستغلال عبر السلاسل
بدلاً من ذلك، تم نشره بواسطة Protofire، وهي شركة تطوير white-hat قامت بنشر مئات من محافظ Safe v1,1,1 على Base بشكل استباقي لمنع المهاجمين black-hat من القيام بذلك.
“على عكس EOAs (الحسابات المملوكة خارجيًا)، تُدار الحسابات الذكية مثل Safe بواسطة كود العقد الذكي المنشور. من الناحية التقنية، من الممكن نشر حساب ذكي بنفس تكوين النشر (نفس الموقعين) على سلاسل مختلفة في نفس العنوان (باستخدام النشر الافتراضي)... لكن هذه الحالة كانت مختلفة... لم يكن الإصدار القديم من الحساب الذكي (v1,1,1) مكتوبًا بعد مع مراعاة السلاسل المتعددة، لذا كان من الممكن لأي شخص نشر حساب ذكي على سلسلة مختلفة بتكوين مختلف تمامًا في نفس العنوان”، أوضح المؤسس المشارك لـ Safe لوكاس شور .
عند التحقق من هوية خالو، أعادت Protofire بسرعة كامل ١٠٠ ETH. تبعت عملية نقل كاملة ناجحة معاملة اختبار، مما حل الأزمة بعد ساعات فقط من بدئها.
"هذه واحدة من أروع قصص العملات الرقمية التي رأيتها منذ فترة"، قال حسيب قريشي، الشريك الإداري في Dragonfly.
تسلط الحادثة الضوء على الحاجة الملحة لتحسين حماية المستخدمين مع تقدم محافظ العملات الرقمية في بيئات السلاسل المتعددة.
يتضمن الإصدار المحدث من Safe v1,2,0 الآن حماية ضد هذا النوع من الاستغلال عن طريق تغيير كيفية حساب ملح CREATE2 أثناء نشر العقد.
تم ترقية أداة الجسر أيضًا لإصدار تحذيرات إذا كان هناك كود عقد ذكي متضارب في عنوان الوجهة.
ومع ذلك، تظل الحادثة تذكيرًا واقعيًا بأن المستخدمين لا يزالون عرضة للأخطاء الدقيقة وغير الواضحة.
“…ما زلنا في مرحلة يُتوقع فيها من المستخدمين إجراء معاملات اختبار قبل نقل أموال أكبر.”، أضاف شور.
على الرغم من الصدمة الأولية، انتهت قصة خالو باستعادة أمواله .
إخلاء مسؤولية
جميع المعلومات المنشورة على موقعنا الإلكتروني تم عرضها على أساس حسن النية ولأغراض المعلومات العامة فقط. لذا، فأي إجراء أو تصرف أو قرار يقوم به القارئ وفقاً لهذه المعلومات يتحمل مسؤوليته وتوابعه بشكل فردي حصراً ولا يتحمل الموقع أية مسؤولية قانونية عن هذه القرارات.
