قام شخص ما بتفريغ محافظ بلوكتشين الإيثريوم الخاملة المنسية منذ زمن طويل، وقد يعود السبب إلى سنوات مضت

تم تفريغ مئات من محافظ Ethereum التي ظلت دون تحريك لسنوات إلى نفس العنوان المُوسَم، محوّلةً التعرض القديم للمفاتيح إلى أحد أشد تحذيرات أمان الكريبتو حدةً هذا الأسبوع.

في 30 أبريل، رصد WazzCrypto الحادثة التي أثّرت على المحافظ في الشبكة الرئيسية عبر X، وانتشر تحذيرهم بسرعة لأن الحسابات المتضررة لم تبدُ محافظ ساخنة منصوبة حديثاً كفخ. بل كانت محافظ قديمة ذات تاريخ هادئ، بعضها مرتبط بأصول وأدوات من حقبة سابقة لـ Ethereum.

تم تفريغ ما يزيد على 260 ETH، بما يعادل نحو 600,000 دولار، من مئات المحافظ الخاملة. ويبدو أن أكثر من 500 محفظة قد تأثرت، بخسائر إجمالية تبلغ نحو 800,000 دولار، وكثير من هذه المحافظ كانت خاملة منذ أربع إلى ثماني سنوات. العنوان المرتبط على Etherscan موسوم بـ Fake_Phishing2831105، ويُظهر 596 معاملة، ويسجّل حركة بقيمة 324.741 ETH إلى THORChain Router v4.1.1 في الفترة المحيطة بـ 30 أبريل.

القاسم المشترك بينها هو الأهم في الوقت الراهن: تم نقل المحافظ الخاملة منذ فترة طويلة إلى وجهة مشتركة، في حين لا يزال مسار الاختراق غير محسوم.

هذا المتجه غير المحسوم يجعل عملية التفريغ أقوى تحذير هذا الأسبوع، في أعقاب موجة من اختراقات DeFi. تمنح عمليات استغلال البروتوكولات عادةً للمحققين عقداً أو استدعاء دالة أو معاملة ذات امتيازات لفحصها.

هنا، يكمن السؤال المحوري في طبقة المحفظة. هل حصل أحدهم على عبارات بذور قديمة، أو كسر مفاتيح ضعيفة التوليد، أو استخدم مواد مفاتيح خاصة مسرَّبة، أو أساء استخدام أداة كانت تتعامل مع المفاتيح في السابق، أو استغل مساراً آخر لم يتضح بعد؟

أسفر النقاش العام عن نظريات تشمل ضعف الإنتروبيا في أدوات المحافظ القديمة، والعبارات التذكيرية المخترقة، وطريقة تعامل بوتات التداول مع المفاتيح، وتخزين عبارات البذور في حقبة LastPass. وقد طرح أحد المستخدمين المتضررين شخصياً نظرية LastPass.

النصيحة العملية للمستخدمين محدودة لكنها عاجلة. الخمول لا يُخفف من مخاطر المفتاح الخاص. تعتمد المحفظة ذات القيمة على التاريخ الكامل للمفتاح، وعبارة البذور، والجهاز الذي ولّدها، والبرنامج الذي تعامل معها، وكل مكان قد يكون فيه ذلك السر مخزّناً.

بالنسبة للمستخدمين، الاستجابة على الأرجح هي جرد المحافظ القديمة ذات القيمة العالية، ونقل الأموال فقط بعد إعداد مواد مفاتيح جديدة عبر أجهزة موثوقة أو برامج محافظ حديثة، وتجنّب إدخال البذور القديمة في أدوات الفحص أو السكربتات أو أدوات الاسترداد غير المألوفة. يساعد إلغاء الموافقات في حالة التعرض للبروتوكولات، بما في ذلك تحذير مستخدمي Wasabi، لكن تفريغ المحفظة المباشر يُشير أولاً إلى أمان المفاتيح لا إلى موافقات التوكن.

أبريل وسّع سطح التحكم

جاء تجمّع المحافظ في خضم إحصاء عمليات استغلال الكريبتو في أبريل، التي كانت مرتفعة بالفعل. وضعت التقارير المرتبطة بـ DefiLlama أبريل عند نحو 28 إلى 30 حادثة وما يزيد على 625 مليون دولار من الأموال المسروقة. واعتباراً من 1 مايو، أظهر API DefiLlama المباشر 28 حادثة في أبريل بإجمالي 635,241,950 دولاراً.

التقط موضوع السوق في 1 مايو نقطة الضغط: عمليات تفريغ المحافظ هذا الأسبوع، واستغلال مفتاح المسؤول في بروتوكول Wasabi، وخسائر DeFi الأكبر في أبريل، كلها أصابت أسطح التحكم التي نادراً ما يفحصها المستخدمون العاديون. الرابط عبر الشهر معماري لا إسنادي.

مسارات المسؤول أصبحت مسارات هجوم

يُقدّم بروتوكول Wasabi المثال الأوضح الأحدث على مستوى البروتوكولات. أفادت التقارير بأن استغلال 30 أبريل أفرغ نحو 4.5 إلى 5.5 مليون دولار بعد أن اكتسب المهاجم صلاحية المنشئ/المسؤول، ومنح ADMIN_ROLE لعقود يتحكم فيها المهاجم، واستخدم ترقيات UUPS الوكيلة لتفريغ الخزائن والمجمعات عبر Ethereum وBase وBlast. أشارت تنبيهات الأمان المبكرة إلى نمط الترقية الإدارية مع تطور الهجوم.

تضع الميكانيكيات المُبلَّغ عنها إدارة المفاتيح في صميم الحادثة. قابلية الترقية يمكن أن تكون بنية تحتية صيانة طبيعية. إن تمركز صلاحية الترقية يحوّل مسار الصيانة ذاك إلى هدف عالي القيمة. إذا كان بإمكان منشئ واحد أو حساب متميز تغيير منطق التنفيذ عبر السلاسل، فقد تتلاشى الحدود حول عقد خاضع للتدقيق فور اختراق تلك الصلاحية.

هذه هي المشكلة التي تواجه المستخدم والمخفية داخل كثير من واجهات DeFi. يمكن للبروتوكول أن يعرض عقوداً مفتوحة وواجهات أمامية عامة ولغة اللامركزية، في حين لا تزال صلاحية الترقية الحرجة تقع في مجموعة صغيرة من المفاتيح التشغيلية.

الموقّعون والمحققون تحمّلوا أكبر الخسائر

دفع Drift نفس مشكلة التحكم إلى سير عمل الموقّع. وصف Chainalysis هندسة اجتماعية، ومعاملات nonce دائمة، وضمانات مزيّفة، وتلاعباً بـ oracle، وترحيل مجلس الأمان 2-of-5 بدون تأخير زمني. قدّر Blockaid الخسارة بنحو 285 مليون دولار، وجادل بأن محاكاة المعاملات وسياسات التوقيع المشترك الأكثر صرامة كان يمكن أن تغيّر النتيجة.

تكتسب قضية Drift أهميتها هنا لأن المسار لم يعتمد على ثغرة بسيطة في دالة عامة. بل اعتمد على سير عمل يمكن فيه توجيه التوقيعات الصالحة وآلية الحوكمة السريعة نحو ترحيل عدائي. أصبحت عملية التوقيع سطح تحكم.

نقل KelpDAO اختبار الإجهاد إلى التحقق عبر السلاسل. وصف بيان الحادثة تهيئة جسر استخدم فيه مسار rsETH LayerZero Labs بوصفه المحقق DVN الوحيد. وصفت المراجعات الجنائية عُقد RPC مخترقة وضغط DDoS يُغذّي بيانات زائفة إلى مسار تحقق أحادي النقطة.

كانت النتيجة، وفقاً لـ Chainalysis، إطلاق 116,500 rsETH بقيمة نحو 292 مليون دولار مقابل عملية حرق غير موجودة. كان بإمكان عقد التوكن أن يظل سليماً بينما قبل الجسر مقدمةً زائفة. لهذا السبب يمكن أن يتحوّل فشل المحقق إلى مشكلة هيكل سوق حين يستقر الأصل المجسَّر داخل أسواق الإقراض ومجمعات السيولة.

الذكاء الاصطناعي ينتمي إلى نقاش السرعة

أعتقد أن مشروع Glasswing يستحق ذكراً خاصاً هنا للسياق، بمعزل عن السببية. تقول Anthropic إن Claude Mythos Preview اكتشف آلاف الثغرات البرمجية عالية الخطورة ويُظهر كيف يمكن للذكاء الاصطناعي أن يُسرّع اكتشاف الثغرات. هذا يرفع المعيار أمام المدافعين، لكن السجل السببي في هذه الحوادث الكريبتو يشير إلى المفاتيح والموقّعين وصلاحيات المسؤول والتحقق من الجسور واعتماديات RPC وتعرّض المحافظ غير المحسوم.

لا تزال الآثار الأمنية خطيرة. الاكتشاف الأسرع يمنح المهاجمين والمدافعين سطحاً موازياً أوسع للعمل فيه. كما يجعل الاختصارات التشغيلية القديمة أكثر تكلفة لأنه يمكن اختبار الأسرار الخاملة والمفاتيح المتميزة ومسارات المحقق الأحادي بشكل أسرع مما يمكن للفرق مراجعته يدوياً.

قائمة الإصلاح تشغيلية

الضوابط المستخلصة من أبريل تقع فوق قاعدة الكود وحولها.

بالنسبة للبروتوكولات، الأولوية هي تقليل ما يمكن لأي سلطة منفردة القيام به في آنٍ واحد. يعني ذلك أقفالاً زمنية على العمليات الإدارية، وعتبات موقّع أقوى وأكثر استقراراً، وقوائم انتظار المعاملات المتميزة الخاضعة للمراقبة، وحدوداً صريحة على تغييرات المعاملات، وأنظمة توقيع مشترك تحاكي تأثيرات المعاملة قبل موافقة البشر عليها.

بالنسبة للجسور، الأولوية هي التحقق المستقل وفحوصات الثوابت. يجب اختبار رسالة عبر السلاسل مقابل الحقيقة الاقتصادية التي تدّعي تمثيلها. إذا غادر rsETH أحد الجانبين، يجب على النظام التحقق من تغيير الحالة المقابل على الجانب الآخر قبل أن يُطلق الجانب الوجهة القيمة. يجب أن توجد تلك المراقبة خارج المسار ذاته الذي يوقّع الرسالة.

بالنسبة للمستخدمين، قائمة الإصلاح أصغر. انقل الأموال القديمة القيّمة إلى مفاتيح جديدة عبر عملية تثق بها بالفعل. افصل تلك الإجراءات عن تنظيف الموافقات الخاصة بالبروتوكول. تعامل مع كل ادعاء حول السبب الجذري لتفريغ المحفظة باعتباره مؤقتاً حتى تحدد الأعمال الجنائية أداةً مشتركة أو مسار تخزين أو مصدر تعرّض.

الاختبار القادم

أثبت أبريل أن قائمة التحقق الأمني للمستخدم العادي على الأرجح غير مكتملة. يمكن للتدقيقات والعقود العامة والواجهات اللامركزية أن تتعايش مع صلاحية إدارية مركّزة، وإجراءات موقّع ضعيفة، وتحقق جسور هش، وأسرار محافظ قديمة.

سيكافئ الربع القادم الإثبات على لغة اللامركزية: صلاحيات ترقية مقيّدة، وأقفال زمنية مرئية، ومسارات محقق مستقلة، ومحاكاة المعاملات للإجراءات المتميزة، وضوابط وصول منضبطة، وتدوير موثّق للمفاتيح.

تُظهر عمليات تفريغ المحافظ الخاملة النسخة المزعجة من جانب المستخدم للمشكلة ذاتها. يمكن أن يبدو النظام هادئاً بينما ينتظر فشل تحكم قديم في الخلفية. كشف موجة الاستغلال في أبريل تلك الطبقة فوق الكود؛ ستُظهر المرحلة القادمة أي الفرق تعاملت معها كأمن أساسي قبل تحريك الأموال.

ظهر هذا المنشور لأول مرة على CryptoSlate بعنوان: قام شخص ما للتو بتفريغ محافظ Ethereum الخاملة المنسية منذ زمن بعيد، وقد يعود السبب إلى سنوات مضت.