اكتشاف خلل HongCoin ICO في عدد صحيح يطلق 2 مليون دولار

تجاوز صحيح في كود الإدارة فتح 2 مليون دولار عالقة في عقد ICO الخاص بـ HongCoin لعام 2016

تم مؤخراً اكتشاف ثغرة تجاوز صحيح للعدد الصحيح تعود إلى ما يقارب العقد في دالة إدارية في عقد ICO الخاص بـ HongCoin على شبكة Ethereum، بواسطة باحث أمني يُعرف باسم 0xflorent، مما مكّن من استرداد حوالي 1,003.62 ETH — أي ما يعادل حوالي 2 مليون دولار — كانت محبوسة لمدة تسع سنوات. كانت هذه الثغرة موجودة في دالة إدارية مقيدة يتم التحكم فيها عبر محفظة متعددة التوقيع الخاصة بـ HongCoin، مما سمح بفتح الأموال بشكل منسق لـ 48 مستثمراً أصلياً. يوضح هذا الإصلاح دروساً رئيسية في الحفاظ على التوافق العكسي والمخاطر طويلة الأمد لثغرات العقود الذكية القديمة في عقود DeFi وعقود بيع الرموز.

---

ما هي الثغرة وكيف سمحت باسترداد الأموال؟

في جوهرها، كانت الثغرة مشكلة تجاوز صحيح للعدد الصحيح في دالة إدارية مميزة.

اكتشف 0xflorent أن هذه الدالة في العقد، التي كانت مقيدة للتنفيذ فقط من خلال محفظة متعددة التوقيع لـ HongCoin، تفتقر إلى الحمايات من تجاوز العدد الصحيح التي أُدخلت لاحقاً كإجراءات أمان قياسية في إصدارات Solidity الأحدث. سمح ذلك بسلوك حسابي غير متوقع، وعند استغلاله بحذر، تمكّن حاملو الإدارة من فتح كمية كبيرة من ETH المحتجز بسبب تلك التجاوزات.

لم تُستغل الثغرة علانية بشكل خبيث وظلت خامدة، مما أدى عن غير قصد إلى قفل الأموال داخل العقد لمدة تسع سنوات منذ حدث الـ ICO في 2016. فقط من خلال اكتشاف 0xflorent والإفصاح المسؤول بالتنسيق مع حاملي محفظة التوقيع المتعدد لـ HongCoin، تم إعادة إنشاء آلية تجاوز هذا القيد وتنفيذها بأمان.

تسلط هذه الحالة الضوء على كيف يمكن للعقود الذكية القديمة—خاصة تلك التي سبقت تحسينات أمان اللغة مثل فحوصات التجاوز المدمجة في Solidity 0.8.x تقريباً—أن تحوي ثغرات غير مرئية بدون تدقيق عميق للكود ومحاكاة البيئة.

---

كيف تم تنسيق وتنفيذ استرداد الأموال؟

نظراً لأن الدالة الضعيفة كانت متاحة فقط من خلال محفظة التوقيع المتعدد لـ HongCoin، كان التعاون ضرورياً.

تألف مسار الاسترداد من الخطوات التالية:

1. أجرى 0xflorent تحليلاً واختباراً دقيقين لتسلسل فتح القفل باستخدام تفرع من شبكة Ethereum الرئيسية، لضمان إمكانية إعادة استغلال الثغرة بدون مخاطر على الأموال الحية.
2. بعد التأكد من العملية، تواصل الباحث بأمان مع حاملي محفظة التوقيع المتعدد لـ HongCoin وشاركهم الأدلة والإرشادات.
3. قام فريق التوقيع المتعدد بتفويض وتوقيع معاملات فتح القفل بأنفسهم، محافظين على حوكمة على السلسلة وتحكم متعدد الأطراف.
4. نفذ الفريق ما مجموعه 41 معاملة منفصلة—واحدة لكل مستثمر محجوز لديه رصيد محتجز—لتحرير حوالي 1,000 ETH بشكل متسلسل.
5. في الوقت نفسه، تمكن سبعة حاملي رصيد أصغر من استرداد أموالهم مباشرة دون الحاجة للحل البديل.

ومن الجدير بالذكر أن النتائج الأولية تظهر أن مستثمرين اثنين قد استعادوا بالفعل ما مجموعه 96.5 ETH، أي ما يقارب 193,000 دولار، مما يبرهن على التأثير العملي ومشاركة المستثمرين.

يضمن هذا النهج التعاوني سلامة ثقة إدارة الأموال مع فتح الأصول المحتجزة بسبب ثغرات تاريخية بأمان.

---

من استفاد وكم تم استرداده؟

في المجمل، أصبح حوالي 48 مستثمراً أصلياً اشتروا رموز HongCoin خلال ICO عام 2016 مؤهلين لاسترداد أرصدتهم المحتجزة من ETH بفضل هذا الإصلاح.

المقياس	القيمة
مجموع ETH المفتوح	1,003.62 ETH (~2 مليون دولار)
عدد المستثمرين المؤهلين	48
المستثمرون الذين استردوا الأموال	2
مجموع ETH المسترد حتى الآن	96.5 ETH (~193,000 دولار)
عدد المعاملات الموقعة	41
الأرصدة الأصغر التي تمت استردادها مباشرة	7 حاملي رصيد

على الأرجح، يعكس عدم استرداد معظم المستثمرين حتى الآن تحديات في التواصل وإعادة تفعيل المستثمرين الهادئين أو طلب إكمالهم خطوات الاسترداد. من المتوقع أن تؤدي المتابعة المستمرة مع الحائزين المتبقين إلى زيادة معدلات الاسترداد مع مرور الوقت.

تُبرز هذه الحالة كيف يمكن لثغرات العقود القديمة احتجاز أموال ذات أهمية لسنوات، وتؤكد على أهمية التدخلات المعتمدة على التدقيق حتى بعد انتهاء أحداث الـ ICO بفترة طويلة.

---

لماذا لا تزال ثغرات تجاوز العدد الصحيح تشكل خطراً دائماً في العقود الذكية القديمة؟

تُسلط حادثة HongCoin الضوء على فئة كلاسيكية من الثغرات المرتبطة بإصدارات Solidity السابقة حيث يمكن أن تؤدي العمليات الحسابية للعدد الصحيح—دون فحوصات مدمجة لمنع التجاوز والفيض—إلى حالات غير مرغوبة دون أن تظهر بوضوح.

قبل إصدار Solidity 0.8.0، كان على المطورين استخدام مكتبات خارجية مثل SafeMath لمنع التجاوزات صراحة. في العديد من عقود ICO القديمة، كانت تلك الحمايات مفقودة أو غير مكتملة. ونتيجة لذلك:

• يمكن أن تدور العمليات الحسابية (مثلاً، طرح يؤدي إلى رقم سالب يتسبب في فيض إلى رقم موجب كبير).
• يمكن أن تُساء استغلال دوال الإدارة أو المالك التي تتعامل مع متغيرات الرصيد لفتح أو قفل الأموال عن غير قصد.
• تظل العقود القديمة المنتشرة على الشبكة الرئيسية لـ Ethereum غير قابلة للتغيير، مما يعني استمرار هذا الخطر إلى أجل غير مسمى.

تقع الثغرة في HongCoin تحديداً في دالة خاصة بالإدارة فقط، مما يبرز كيف يمكن لأقسام الكود المقيدة حتى أن تحوي ثغرات غير مكتشفة.

حقبة Solidity	حماية من التجاوز	الممارسة الشائعة
قبل Solidity 0.8.0	غير موجودة بشكل افتراضي	استخدام SafeMath أو مكتبات مشابهة
Solidity 0.8.0 وما بعدها	فحوصات تجاوز مدمجة	العمليات الحسابية الآمنة مفروضة افتراضياً

يؤكد استمرار وجود مثل هذه الثغرات على قيمة المراجعات الأمنية المتخصصة للعقود القديمة، خاصة عندما تظل الأصول محجوزة أو تكون الضوابط محكومة بشدة لكنها حاسمة. تصبح القدرة على محاكاة الاستدعاءات على فروع اختبارية والتنسيق مع موقعين متعددين أمراً حيوياً.

---

ما الدروس الأمنية الأوسع التي تقدمها حالة استرداد HongCoin؟

تعزز هذه الحالة القديمة الخاصة بتجاوز العدد الصحيح عدة نقاط مهمة لمجتمع أمان Web3، خاصة بالنظر إلى التعقيد والحجم المتزايد لأنظمة DeFi:

• مخاطر العقود القديمة مستمرة: حتى العقود الذكية التي تم نشرها منذ سنوات عديدة يمكن أن تقفل أصولاً ضخمة بشكل دائم بسبب ثغرات دقيقة لم تُكتشف في البداية.
• مفاتيح الإدارة والمحافظ متعددة التوقيع مهمة: توفر الأذونات التي تتحكم بها المحافظ متعددة التوقيع مسارات حوكمة لحل المشكلات لكنها تزيد من تعقيد التنسيق. ينبغي لتصميم الحوكمة أن يتوقع سيناريوهات الترقية أو الإصلاح.
• تجاوز العدد الصحيح لا يزال مقلقاً: حتى مع الحمايات الحديثة في Solidity، يبقى تدقيق الافتراضات الحسابية وحالات الحافة ضرورياً، خصوصاً عند تحديث العقود القديمة أو نقلها.
• الإفصاح المسؤول والتعاون: أظهر الباحث 0xflorent أفضل الممارسات من خلال الإفصاح الخاص، والتحقق من الإصلاحات على الشبكات التجريبية، والعمل مع حاملي التوقيع المتعدد لفتح الأموال بأخلاقية.
• ثقة المستثمرين واسترداد الأموال: فتح الأموال المحتجزة يمكن أن يستعيد قيمة كبيرة لحامليها المتضررين بعد سنوات، مما يخفف الضرر السمعة ويعزز ثقة المجتمع.

الجانب الرئيسي	مثال حالة HongCoin	أفضل ممارسة عامة
نوع الثغرة	تجاوز العدد الصحيح في دالة إدارية	تدقيق شامل للكود واستخدام SafeMath
نهج الاسترداد	تنسيق متعدد التوقيع والتحقق على شبكات اختبار	تحكم متعدد الأطراف؛ طرح مرحلي ومراجعة
تأثير المستثمر	2 مليون دولار مفتوحة لـ 48 مستثمراً	تواصل شفاف وردود أموال
مخاطرة إرث العقد	أموال مقيدة لمدة 9 سنوات	مراقبة مستمرة وتدقيق للعقود القديمة

يجب على فرق الأمن التي تدير أو تراجع بروتوكولات قديمة أن تكون حذرة للغاية من قضايا مماثلة قد لا تزال تسبب تأثيرات تشغيلية أو مالية كبيرة.

---

رؤية Soken: “تجاوزات العدد الصحيح في العقود الذكية القديمة تمثل تحدياً أمنياً مستمراً. غالباً ما نواجه في تدقيقاتنا أنماطاً قديمة حيث كانت الحمايات المدمجة في اللغة غائبة، مما يشكل مخاطر كامنة. يتطلب الإصلاح المنسق—خاصة للعقود التي تتحكم بها محافظ متعددة التوقيع—توازناً دقيقاً بين الدقة التقنية وحوكمة أصحاب المصلحة. يبرهن استرداد HongCoin هذا كيف يمكن للإفصاح الأخلاقي الممزوج بتمكين الحوكمة من الإصلاح أن يحرر قيمة محتجزة بعد إطلاق العقد بسنوات.”

---

ختام: تحرير القيمة القديمة من خلال اليقظة التقنية والحوكمة

يكشف التنقل في استرداد تجاوز العدد الصحيح لـ HongCoin كيف أن ثغرات الكود من حقبة سابقة لـ Solidity يمكن أن تحتجز ملايين الدولارات لما يقرب من عقد. يظهر الجهد التعاوني بقيادة 0xflorent وحاملي التوقيع المتعدد لـ HongCoin فعالية عملية الكشف الأمني المعتمدة أولاً والإصلاح المدعوم بالحوكمة لتحرير الأصول المقيدة بأمان.

يُعتبر فهم مخاطر العقود القديمة حاسماً لصحة نظام Ethereum على المدى الطويل، حيث تظل العقود الذكية القديمة أساساً لكنها غالباً ما تكون غامضة ومعقدة. يجب على مشاريع البلوكتشين المسؤولة عن صيانة أو تحديث العقود القديمة أن تعطي الأولوية للتدقيقات التراجعية للثغرات مثل تجاوز العدد الصحيح، مستفيدة من فروع الشبكات التجريبية وموافقات التوقيع المتعدد للإصلاحات الآمنة.

خطوة عملية تالية للفرق التي تشغل عقوداً قديمة هي إجراء تقييمات مركزة لتجاوز العدد الصحيح، ورسم خرائط لمسارات الإدارة الحساسة، ومحاكاة تأثيراتها على الفروع التجريبية—وخاصة حيث قد توجد أموال محتجزة أو متغيرات حالة مجمدة. يمكن أن يمنع هذا مسبقاً خسائر المستثمرين ويحرر القيمة المخفية.

يُعزز دمج تقييمات عقد قديمة صارمة ضمن برامج الأمان—على غرار تحضيرات الاستجابة للحوادث—سلامة البروتوكول وثقة المستثمرين. تتخصص خدمات التدقيق الفني في Soken في مثل هذه المراجعات الدقيقة للعقود القديمة والمستقبلية، مما يساعد المشاريع على تحديد المخاطر ومعالجتها عبر دورات الحياة الطويلة بعد النشر.

---

source_name: a leading crypto outlet: Whitehat developer unlocks $2 million stuck in a 2016 Ethereum ICO contract for nine years

Frequently Asked Questions

ما الذي تسبب في حجز 2 مليون دولار في عقد HongCoin ICO؟

حدث تجاوز عدد صحيح في وظيفة إدارية محدودة في عقد Ethereum الخاص بـ HongCoin ICO عام 2016، مما منع تحريك الأموال وحجز نحو 1003.62 ETH، أي حوالي 2 مليون دولار، لمدة تسع سنوات.

كيف تم اكتشاف ثغرة تجاوز العدد الصحيح واستغلالها بأمان؟

حدد الباحث الأمني 0xflorent الثغرة في وظيفة إدارية مقيدة بمحفظة متعددة التوقيعات، واستخدم تنفيذ متعدد التواقيع منسقًا لاسترداد الأموال المحتجزة دون الإضرار بأطراف أخرى.

ما دروس أمان العقود الذكية التي يبرزها حادث HongCoin هذا؟

يبرز أهمية حماية تجاوز الأعداد الصحيحة، وتأمين الوظائف الإدارية، ومعالجة مخاطر العقود الإرثية طويلة المدى لدعم التوافق المتراجع واسترداد الأموال المستقبلية.

لماذا تعتبر ثغرات العقود الذكية الإرثية مثل هذه مهمة في DeFi؟

تحتوي العقود الإرثية بدون ضمانات حديثة على أخطاء مخفية قد تحجز الأموال لسنوات، مما يهدد التمويل اللامركزي ومبيعات رموز ICO، ويبرز الحاجة إلى التدقيق المستمر والإصلاحات.

ما دور محفظة التوقيعات المتعددة في استرداد هذه الأموال؟

تحكمت المحفظة متعددة التوقيعات في الوظائف الإدارية المقيدة ومكنت فتح الأموال المحتجزة بأمان وبشكل منسق، مما مثال نهج استرداد ذو نية حسنة يحترم ضوابط الحكم.