أفادت شركة GoPlus Security للأمن في Web3 أن بروتوكول x402bridge الجديد الذي تم إطلاقه تعرض لثغرة أمنية، مما أدى إلى خسارة أكثر من 200 مستخدم لمبلغ USDC، بإجمالي حوالي 17,693 دولار. وقد أكدت كل من شركة SlowMist التي تعمل في الأمن والتحقيقات داخل السلسلة أن الثغرة ناتجة على الأرجح عن تسرب المفتاح الخاص للمدير، مما منح المهاجمين صلاحيات إدارة خاصة بالعقد. وقد أوصت GoPlus Security بشكل عاجل جميع المستخدمين الذين يمتلكون المحفظة على هذا البروتوكول بإلغاء التفويضات الجارية في أسرع وقت ممكن، وذكّرت المستخدمين بعدم منح عقودهم تفويضًا غير محدود أبدًا. تكشف هذه الحادثة عن المخاطر الأمنية المحتملة في آلية x402، حيث يمكن أن يؤدي تخزين المفتاح الخاص على الخادم إلى تسرب صلاحيات الإدارة.

بروتوكول x402bridge تعرض لهجوم: التفويض المفرط يكشف عن مخاطر أمن المفتاح الخاص

بعد أيام من إطلاق بروتوكول x402bridge داخل السلسلة، تعرض لهجوم أمني أدى إلى خسارة أموال المستخدمين. يتطلب آلية هذا البروتوكول من المستخدمين الحصول على تفويض من عقد Owner قبل سك USDC. في هذه الحادثة، كانت هذه التفويضات الزائدة هي التي أدت إلى تحويل ما تبقى من عملات الاستقرار لأكثر من 200 مستخدم.

المهاجمون يستغلون تسرب المفتاح الخاص لسرقة مستخدم USDC

وفقًا لملاحظات GoPlus Security، تشير عملية الهجوم بوضوح إلى إساءة استخدام الصلاحيات:

نقل الصلاحيات: عنوان المنشئ (0xed1A يبدأ بـ ) نقل الملكية إلى العنوان 0x2b8F، ومنح الأخير صلاحيات إدارة خاصة تحتفظ بها فريق x402bridge، بما في ذلك القدرة على تعديل الإعدادات الأساسية ونقل الأصول.
تنفيذ وظيفة خبيثة: بعد الحصول على السيطرة، قام عنوان المالك الجديد بتنفيذ وظيفة تسمى “transferUserToken” على الفور، مما مكن هذا العنوان من استخراج ما تبقى من عملات الدولار الأمريكي من جميع المحافظ التي تم تفويضها مسبقًا لهذا العقد.
خسارة الأموال والتحويل: العنوان 0x2b8F سرق إجمالاً من المستخدمين ما قيمته حوالي 17,693 دولار من USDC، ثم قام بتحويل الأموال المسروقة إلى إيثيريوم، وانتقل عبر عدة معاملات عبر السلاسل إلى شبكة Arbitrum.

مصدر الثغرة: مخاطر تخزين المفتاح الخاص في آلية x402

فريق x402bridge قد رد على حادثة الثغرة هذه، مؤكدًا أن الهجوم كان نتيجة تسرب المفتاح الخاص، مما أدى إلى سرقة عشرات الفرق والمحافظ الرئيسية. وقد أوقف المشروع جميع الأنشطة وأغلق الموقع، وقد تم الإبلاغ عن ذلك إلى السلطات القانونية.

مخاطر عملية التفويض: لقد أوضح البروتوكول سابقًا كيفية عمل آلية x402 الخاصة به: يقوم المستخدم بتوقيع أو الموافقة على المعاملات من خلال واجهة الويب، ثم يتم إرسال معلومات التفويض إلى الخادم الخلفي، حيث يقوم الخادم بعد ذلك بسحب الأموال وصك الرموز.
مخاطر تعرض المفتاح الخاص: اعترف الفريق قائلاً: “عندما نطلق على x402scan.com، نحتاج إلى تخزين المفتاح الخاص على الخادم لاستدعاء طرق العقد.” قد تؤدي هذه الخطوة إلى تعرض المفتاح الخاص للمديرين خلال مرحلة الاتصال بالإنترنت، مما يؤدي إلى تسرب الصلاحيات. بمجرد سرقة المفتاح الخاص، يمكن للقراصنة السيطرة على جميع صلاحيات المدير وإعادة توزيع أموال المستخدمين.

قبل عدة أيام من حدوث هذا الهجوم، شهد استخدام x402 زيادة كبيرة، في 27 أكتوبر، تجاوزت القيمة السوقية لرمز x402 لأول مرة 800 مليون دولار، وبلغ حجم تداول بروتوكول x402 في CEX الرئيسي 500,000 صفقة خلال أسبوع، بزيادة قدرها 10,780%.

نصائح الأمان: تدعو GoPlus المستخدمين إلى إلغاء التفويض على الفور

نظرًا لخطورة هذا التسريب، توصي GoPlus Security بشكل عاجل جميع المستخدمين الذين يمتلكون المحفظة على هذا البروتوكول بإلغاء أي تفويضات جارية على الفور. كما تذكر الشركة الأمنية جميع المستخدمين:

التحقق من العنوان: قبل الموافقة على أي تحويل، تحقق مما إذا كان العنوان المصرح به هو العنوان الرسمي للمشروع.
مبلغ التفويض المحدود: فقط قم بتفويض المبلغ الضروري، ولا تمنح العقد تفويضًا غير محدود.
الفحص الدوري: تحقق دوريًا وقم بإلغاء التفويضات غير الضرورية.

الخاتمة

تعرض x402bridge لحدث تسرب المفتاح الخاص، مما يقرع جرس الإنذار مرة أخرى في مجال Web3 بشأن المخاطر التي تسببها المكونات المركزية (مثل خوادم تخزين المفتاح الخاص). على الرغم من أن بروتوكول x402 يهدف إلى استخدام حالة HTTP 402 Payment Required لتحقيق مدفوعات مستقرة فورية وقابلة للبرمجة، إلا أن الثغرات الأمنية في آلية التنفيذ يجب إصلاحها على الفور. بالنسبة للمستخدمين، كانت هذه الهجمة درسًا مكلفًا، تذكرنا بضرورة الحفاظ على اليقظة وإدارة تفويضات المحفظة بحذر عند التفاعل مع أي بروتوكول بلوكتشين.

إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى إخلاء المسؤولية.

مقالات ذات صلة

عصر العملات المستقرة! مؤسس Circle Jeremy Allaire يظهر ضمن قائمة أفضل 100 شخصية أكثر تأثيرًا عالميًا لعام 2026

USDC news تقدم المشاريع الشراكات والنظام البيئي الأسهم

في ظل التوسع التدريجي لتنظيمات التشفير والمالية عالميًا، تم اختيار مؤسس Circle، جيريمي ألير، ضمن قائمة مجلة Time لأكثر 100 شخصية تأثيرًا في عام 2026، ما يرمز إلى تزايد أهمية العملات المستقرة. انتقلت Circle من التحول في المدفوعات الرقمية إلى أن تصبح عملات مستقرة تركز على USDC، وتخطط لأن تكون جزءًا من البنية التحتية المالية العالمية. أدى هذا التحول إلى جعل نموذج أعمالها أقرب إلى صناديق الاستثمار في أسواق العملات الرقمية، وهو ما يشير إلى إمكانية تحقيق أرباح ونمو محتملين في العملات المستقرة في المستقبل.

ChainNewsAbmediaمنذ 2 س

تمت انتقاد تجميد USDC لأنه بطيء جدًا! قال الرئيس التنفيذي لشركة Circle: بالتأكيد سننتظر أوامر المحكمة حتى يتم التجميد، ورفض إجراء تجميد من تلقاء أنفسنا

USDC news التنظيم والسياسات إجراءات الإنفاذ

تبيّن أن الرئيس التنفيذي لشركة Circle، Jeremy Allaire، أعلن أنه ما لم تتلقَّ الشركة أمرًا من المحكمة أو طلبًا من جهة إنفاذ القانون، فلن تقوم بتجميد عناوين المحافظ تلقائيًا. وحتى في ظل الجدل بشأن غسل الأموال من قبل قراصنة وانتقادات من المجتمع، لا تزال Circle تصر على الالتزام بمبدأ سيادة القانون في عملياتها. Jeremy Allaire يحدد خط Circle في إنفاذ القانون ----------------------------- مع تقلبات وأحداث متسارعة تجتاح سوق العملات المشفرة عالميًا، أدلى الرئيس التنفيذي لجهة إصدار العملات المستقرة Circle، Jeremy Allaire، خلال مؤتمر صحفي في سيول بكوريا الجنوبية، بموقف واضح بخصوص أكثر القضايا حساسية في السوق: "تجميد الأصول". وأشار إلى أنه رغم أن Circle تمتلك وسائل تقنية يمكنها تجميد عناوين محافظ محددة، فإنه ما لم تتلقَّ أمرًا من المحكمة أو تعليمات رسمية من جهة إنفاذ القانون، فلن تقوم الشركة بن

CryptoCityمنذ 7 س

استثمار Y Combinator في USDC على سولانا

solana news USDC news

يبدو أن شركة Y Combinator قد أنهت أول استثمار لها في رأس المال الاستثماري مدفوع بالكامل في العملات المستقرة، حيث قامت بتسوية مبلغ 500,000 دولار أمريكي في USDC على سلسلة Solana لصالح شركة ناشئة في أسواق التنبؤ تدعى Totalis. وتُعدّ هذه الصفقة، التي تم الإبلاغ عنها في 13 أبريل 2026، تحولًا ملموسًا في الطريقة التي··

CoincuInsightsمنذ 10 س

تمّت انتقادات لتجميد USDC بسبب بطئه الشديد! قال الرئيس التنفيذي لـ Circle: لا بد أن ننتظر أمر المحكمة حتى نجمده، ونرفض تجميده من تلقاء أنفسنا

USDC news الشراكات والنظام البيئي التنظيم والسياسات إجراءات الإنفاذ الحوادث الأمنية

صرّح جيريمي ألار، الرئيس التنفيذي لشركة Circle، بأن الشركة لن تقوم من تلقاء نفسها بتجميد عناوين المحافظ إلا إذا تلقت أمرًا من المحكمة أو طلبًا رسميًا من جهات إنفاذ القانون. وحتى في مواجهة جدل غسل الأموال من قبل المهاجمين وانتقادات المجتمع، ما زالت Circle تتمسك بمبدأ سيادة القانون في عملياتها. يُحدد جيريمي ألار خط Circle التنفيذي فيما يتعلق بإنفاذ القانون ----------------------------- في خضم التغيرات العاصفة التي يشهدها سوق العملات المشفرة العالمي، أدلى جيريمي ألار، الرئيس التنفيذي لمُصدِر العملات المستقرة Circle، خلال مؤتمر صحفي في سيول بكوريا الجنوبية، بموقف واضح بشأن أكثر القضايا حساسية في السوق: «تجميد الأصول». وأوضح أنه على الرغم من أن Circle تمتلك وسائل تقنية يمكنها تجميد عناوين محافظ محددة، فإنه ما لم تتلقَّ أمرًا من المحكمة أو تعليمات رسمية من جهة إنفاذ القانون، فإن الشركة لا

CryptoCityمنذ 11 س

قِطاع USDC يَصك 250 مليون USDC على شبكة Ethereum

ethereum news USDC news تدفق رأس المال بيانات على السلسلة

في 15 أبريل 2025، قام خزان USDC بإصدار 250 مليون USDC على شبكة Ethereum، مما يشير إلى وجود طلب مؤسسي محتمل. يتم دعم USDC باحتياطيات بالدولار ويعمل ضمن أطر تنظيمية مثل قانون العملات المستقرة الأمريكي لعام 2024.

GateNewsمنذ 12 س

تعليق

0/400

لا توجد تعليقات