سمعت عن اختراق منصة Matcha Meta وسحب ملايين الدولارات؟ طيب قبل ما نرمي اللوم يمين وشمال، خلينا نفهم اللي حصل تقنيًا ولكن بأسلوب بسيط. لو بتستخدم منصات تبديل العملات من خلال واجهة سهلة، فالموضوع ده يخصك بشكل مباشر.
في السطور الجاية هتفهم يعني إيه Aggregator UI، وإزاي حصلت الثغرة، وليه الموافقات الدائمة من المحفظة ممكن تبقى سلاح ذو حدين.
.webp "اختراق Matcha Meta: كيف سُحبت 16.8 مليون دولار تقنيًا")
ما هي منصة Matcha Meta ولماذا تُسمى Aggregator UI
منصة Matcha Meta تُصنف كـ Aggregator UI، ودي مش شتيمة زي ما البعض يفتكر. بالعكس، ده وصف تقني مهم.
Aggregator UI معناها منصة بتجمع لك أفضل أسعار التبديل من عدة بروتوكولات تداول لامركزي في مكان واحد، بواجهة سهلة للمستخدم العادي.
- لا تحتاج خبرة في العقود الذكية
- لا تحتاج تفاعل مباشر مع كل بروتوكول
- تعرض لك أفضل سعر وأقل رسوم
- تنفذ الصفقة نيابة عنك عبر البروتوكول الأنسب
بالمعنى البلدي: هي السمسار الذكي بتاعك في عالم السواب.
كيف تعمل منصات Aggregator UI في تداول العملات المشفرة
آلية العمل غالبًا تكون كالتالي:
- تختار العملة اللي هتبيعها والعملة اللي هتشتريها
- المنصة تبحث في بروتوكولات مثل Uniswap وSushiSwap وغيرها
- تعرض لك أفضل مسار تنفيذ للصفقة
- تضغط تنفيذ
- محفظتك تطلب منك Approval (تصريح)
وهنا نصل للنقطة الحساسة جدًا: نوع التصريح.
- تصريح مرة واحدة للصفقة فقط
- تصريح دائم Unlimited Approval
التصريح الدائم يعني أن العقد الذكي يقدر يحرك الرصيد المسموح به بدون الرجوع لك كل مرة.
ما الذي حدث في اختراق Matcha Meta تقنيًا
الاختراق لم يكن في واجهة Matcha Meta نفسها، بل في أحد البروتوكولات المرتبطة بها في مسار التنفيذ، وهو بروتوكول Swapnet حسب المعلومات المتداولة.
المشكلة كانت في دالة داخل العقد الذكي لا تتحقق بشكل كافٍ من هوية الجهة التي تطلب تنفيذ التحويل.
- لا يوجد تحقق صارم من caller المصرح له
- الدالة تقبل طلبات من جهات غير متوقعة
- المهاجم استغل التصريحات الدائمة الممنوحة
- تم سحب الأرصدة المسموح بها دفعة واحدة
النتيجة: سحب ما يقارب 16.8 مليون دولار من المحافظ التي أعطت صلاحيات مستمرة.
لماذا لم تتأثر المحافظ ذات الموافقة لمرة واحدة
المستخدمون الذين اختاروا Approval لمرة واحدة فقط كانوا في أمان نسبي.
السبب بسيط:
- التصريح مرتبط بعملية واحدة فقط
- لا يوجد رصيد مفتوح للعقد الذكي بعد التنفيذ
- لا يمكن استغلال الإذن لاحقًا
بينما الموافقة الدائمة تعني وجود “رصيد مسموح” يمكن سحبه إذا وُجدت ثغرة.
ماذا حدث للأموال بعد سرقتها
بحسب السيناريو التقني المتوقع، المهاجم نقل الأموال عبر أكثر من خطوة لتصعيب التتبع:
- نقل الأصول من شبكة Base إلى شبكة Ethereum
- إمكانية تمريرها عبر Mixers
- احتمال تحويل جزء منها إلى عملات خصوصية
الخلاطات Mixers تقوم بخلط الأموال النظيفة بالمشبوهة لإخفاء المصدر. من أشهر الأمثلة المعروفة Tornado Cash.
كما قد يتم التحويل إلى عملات تركز على الخصوصية مثل Monero، والتي تستخدم تقنيات تشفير تُخفي:
- عنوان المرسل
- عنوان المستقبل
- قيمة المبلغ
- المرسل الحقيقي بين عدة احتمالات
هل المستخدم يتحمل جزءًا من المسؤولية
الإجابة الدقيقة: نسبة صغيرة جدًا فقط.
المستخدم الذي أعطى موافقة دائمة أعطى صلاحية تداول للعقد الذكي، وليس تصريحًا لهاكر خارجي. الخطأ الجوهري يظل في الثغرة داخل البروتوكول نفسه.
لكن من ناحية إدارة المخاطر، الموافقات المفتوحة دائمًا ترفع مستوى التعرض للخطر.
كيف تحمي نفسك من ثغرات الموافقات الدائمة
نصائح عملية مباشرة لأي مستخدم DeFi:
- استخدم Approval لمرة واحدة قدر الإمكان
- لا تمنح Unlimited Approval إلا للمنصات الموثوقة جدًا
- راجع الصلاحيات الممنوحة دوريًا
- استخدم أدوات إلغاء التصاريح Revoke Approval
- وزع السيولة على أكثر من محفظة
- لا تربط محفظتك بكل موقع جديد
مثال عملي سريع على إدارة الصلاحيات
بدل ما تعطي بروتوكول صلاحية مفتوحة على 100% من رصيدك، يمكنك تحديد مبلغ محدود للتداول فقط. حتى لو حدثت مشكلة، الضرر يكون محصورًا.
الخلاصة: الدرس الحقيقي من اختراق Matcha Meta
اختراق Matcha Meta يوضح أن الخطر في عالم DeFi ليس فقط في المنصة التي تراها، بل في العقود الذكية التي تعمل خلف الكواليس. واجهات Aggregator UI مريحة جدًا، لكنها تعتمد على بروتوكولات متعددة، وأي ثغرة في أحدها قد تمتد آثارها.
من وجهة نظري: الراحة في التداول لازم يقابلها وعي تقني أساسي. ضغطة Approval واحدة ممكن تفرق بين أمان كامل وخسارة كاملة.
هل سبق وأعطيت موافقات دائمة لعقود ذكية؟ راجعتها قبل كده؟ شارك تجربتك أو سؤالك في التعليقات.
