تم الكشف عن ثغرة في رموز Flow المزيفة! هبوط بنسبة 40% خلال 5 ساعات وخسارة 3.9 مليون دولار

مؤسسة Flow تكشف عن خسارة قدرها 3.9 مليون دولار نتيجة ثغرة على مستوى البروتوكول في 27 ديسمبر. استغل المهاجمون عيبًا في Cadence لنسخ الأصول بدلاً من سرقتها، مما أدى إلى توقف الشبكة لمدة 6 ساعات. هبط سعر FLOW خلال 5 ساعات بنسبة 40%، من 40 دولارًا في عام 2021 إلى 0.075 دولار. أنشأ Dapper Labs شبكة Flow، التي تلقت استثمارًا بقيمة 725 مليون دولار من a16z.

تحليل الثغرة التقنية في طبقة البروتوكول لنسخ الرموز

نشرت مؤسسة Flow يوم الثلاثاء تقريرًا تحليليًا فنيًا يوضح تفاصيل حادثة الثغرة على مستوى البروتوكول التي حدثت في 27 ديسمبر. استغل المهاجمون ثغرة في بيئة تشغيل Cadence الخاصة بـ Flow، التي سمحت بنسخ بعض الأصول بدلاً من إصدارها، مما تجاوز ضوابط العرض، وبدون الحاجة إلى الوصول أو استهلاك أرصدة المستخدمين الحاليين.

هذه الطريقة في الهجوم نادرة جدًا في تاريخ أمان البلوكشين. عادةً، تكون هجمات القراصنة سرقة المفاتيح الخاصة أو استغلال ثغرات العقود الذكية لنقل أصول المستخدمين، لكن ثغرة Flow سمحت للمهاجمين بـ"نسخ" الرموز كما لو كانت نسخة من آلة تصوير النقود. وبما أن الهجوم نسخ الأصول بدلاً من سرقتها من الحسابات، لم تتأثر أرصدة المستخدمين الحالية. هذه الخاصية جعلت الثغرة غير مرئية في البداية، حيث لم يلاحظ المستخدمون انخفاض أرصدة محافظهم.

بعد حدوث المعاملة الخبيثة الأولى خلال ست ساعات، قام المدققون بالتنسيق لإيقاف الشبكة مؤقتًا، بينما تعاون شركاء البورصات على تجميد الأصول المزورة قبل بيع معظمها. أوضحت Flow أن هذا التوقف المؤقت وضع الشبكة في وضع القراءة فقط، لقطع مسارات التصدير ومنع المزيد من نسخ البيانات، مع التحقيق في المشكلة.

بعد يومين، استؤنفت العمليات وفقًا لخطة “الاسترداد المعزول”، التي احتفظت بالسجلات القانونية للمعاملات، وسمحت باسترجاع وتدمير الأصول المزورة بشكل دائم عبر عملية معتمدة من الإدارة. على الرغم من أن المهاجمين أنشأوا كميات هائلة من الرموز المزورة على السلسلة، إلا أن Flow ذكرت أن غالبية الرموز المزورة كانت قد تم السيطرة عليها أو تجميدها قبل التسوية. كإجراء وقائي، تم تقييد وصول بعض الحسابات التي تفاعلت مع الرموز المزورة مؤقتًا، بينما حافظ أكثر من 99% من الحسابات على وصولها الكامل خلال وبعد الاستعادة.

الجدول الزمني لحدث الثغرة في Flow وإجراءات المعالجة

الهجمة الأولى في 27 ديسمبر: القراصنة يستغلون ثغرة Cadence لنسخ الرموز

توقف الشبكة خلال 6 ساعات: المدققون ينسقون للدخول في وضع القراءة فقط، لقطع مسارات الهجوم

تجميد البورصات بشكل طارئ: الشركاء يجمدون الأصول قبل بيع معظمها

الاسترداد المعزول بعد يومين: الاحتفاظ بالمعاملات القانونية، وتدمير الأصول المزورة، وعدم تأثر 99% من الحسابات

من 40 دولارًا إلى 0.075 دولار على مدى طويل من الانحدار

(المصدر: CoinGecko)

في عام 2019، أعلن منشئو مشروع التوكن غير القابل للاستبدال CryptoKitties، وهو Dapper Labs، عن تطوير شبكة Flow، وهي بلوكشين من الطبقة الأولى يهدف إلى معالجة تحديات التوسع التي تواجه تطبيقات المستهلكين مثل الألعاب والمقتنيات الرقمية. نجاح منصة NBA Top Shot المبكر، وهي منصة NFT لتداول مقاطع فيديو NBA الرسمية، ساعد في جذب الانتباه إلى شبكة Flow في عامي 2020 و2021.

وفي هذا السياق، وفقًا لبيانات CoinGecko، ارتفع رمز FLOW الخاص بالشبكة إلى أكثر من 40 دولارًا في عام 2021. استمر زخم تطوير Flow حتى عام 2022، حيث جمعت المشروع حوالي 725 مليون دولار من مستثمرين مثل Andreessen Horowitz (a16z) وUnion Square Ventures لدعم تطوير النظام البيئي. هذا الدعم من المؤسسات الكبرى جعل Flow يُنظر إليه في وقت من الأوقات كقائد لبنية تحتية للـNFT.

مع تراجع سوق الـNFT في السنوات التالية، فقدت رموز FLOW زخمها، وخرجت من قائمة أعلى 300 عملة مشفرة من حيث القيمة السوقية. بعد حادثة الهجوم في 27 ديسمبر، تسارع انخفاض سعر FLOW، حيث انخفض بنسبة حوالي 40% خلال خمس ساعات. في 2 يناير، وصل سعر الرمز إلى أدنى مستوى عند 0.075 دولار، ثم بدأ في التعافي. وفقًا لبيانات Cointelegraph، عند نشر هذا التقرير، كان سعر التداول يقارب 0.10 دولار، بزيادة حوالي 16% خلال الـ24 ساعة الماضية.

انخفض سعر من 40 دولارًا إلى 0.075 دولار، بنسبة هبوط تزيد عن 99.8%، وهو انهيار شديد حتى في سوق العملات المشفرة. يعكس تدهور Flow أزمة بنية تحتية للـNFT، حيث سرعان ما تخلت السوق عن المشاريع التي تفتقر إلى تطبيقات عملية بعد تباطؤ المضاربة.

إصلاح الثغرة وتعزيز التدابير الأمنية المستقبلية

قالت المؤسسة إنها أصلحت الثغرة الأساسية، وأضافت فحوصات تشغيلية أكثر صرامة، ووسعت اختبارات العودة لضمان عدم تكرار الهجمات. كما تعاونت مع شركاء التحقيقات والسلطات القانونية، وتخطط لتعزيز المراقبة وبرامج جوائز الثغرات، كجزء من إجراءات تعزيز الأمان الأوسع.

هذا الاستجابة الأمنية الشاملة ضرورية، لكنها كشفت أيضًا عن عيوب في التصميم المبكر لـ Flow. بيئة تشغيل لغة العقود الذكية الأساسية Cadence، التي تسمح بوجود ثغرة لنسخ الأصول، تظهر أن تدقيق الكود والاختبارات الأمنية كانت غير كافية. بالنسبة لبلوكتشين يعمل منذ سنوات ويتعامل مع مئات الملايين من الدولارات، فإن ظهور ثغرة على مستوى البروتوكول أمر نادر وخطير جدًا.

تعزيز برامج جوائز الثغرات هو إشارة إيجابية، لكن ثقة المستثمرين تضررت. يتعين على Flow استعادة الثقة من خلال تدقيقات أمنية مستمرة، وتقارير شفافة عن الحوادث، وسجل خالٍ من الثغرات. في سوق Layer-1 شديد التنافسية، يمكن لحادثة أمنية كبيرة أن تكون قاتلة.