عندما تصبح العقود الذكية أسلحة: سرقة $10 مليون عبر اختراق التصيد الاحتيالي

عالم العملات الرقمية واجه نداء استيقاظ آخر في مارس عندما قام المدقق الأمني CertiK بتتبع $10 مليون من ETH تتحرك إلى Tornado Cash — خدمة خلط العملات المشفرة المشهورة بغسل الأصول المسروقة. لم يكن هذا مجرد اختراق لمحفظة بسيطة. نجح المهاجم في توظيف وظيفة ذكية في العقد الذكي بشكل ذكي لسرقة الأموال من مستثمر غير حذر.

كيف تتحول موافقات الرموز إلى فخاخ

إليكم المكان الذي يصبح فيه الأمر خطيرًا: قام الضحية بالموافقة عن غير قصد على معاملة “زيادة السماح”. تم تصميم هذه الوظيفة، المدمجة في معايير رموز ERC-20، لسهولة الاستخدام — للسماح للعقود الذكية بإنفاق رموزك بموافقتك. لكن في هذه الحالة، استغلها المهاجم بشكل رائع. بدلاً من سرقة الأموال مباشرة، حصل على القدرة على الموافقة وتحويل الأصول حسب الرغبة. إنه مثل إعطاء شخص شيكًا فارغًا وتأمل ألا يرده.

حدد منصة كشف الاحتيال Blockchain Scam Sniffer، وهي منصة للكشف عن الاحتيال على البلوكتشين، بالضبط هذا الآلية قيد العمل. حول المهاجم الأصول المسروقة إلى 13,785 ETH ( بقيمة تقريبية تبلغ 40.6 مليون دولار بأسعار حالية حوالي 2,950 دولار لكل رمز ) و1.64 مليون DAI، ثم قام بتوجيه أجزاء بعناية عبر البورصات لتغطية أثره.

الأرقام تحكي قصة مؤلمة

يرتبط هذا الحادث بحملة تصيد احتيالي أكبر في سبتمبر 2023 استهدفت حوتًا للعملات الرقمية. خسر الضحية $24 مليون من ETH المكدسة عبر خدمة Rocket Pool للستاكينغ السيولة خلال الهجوم الأولي. حدث الاستغلال على موجتين: أولاً سرقة 9,579 stETH، ثم سرقة 4,851 rETH من نفس الحساب.

لكن حادث سبتمبر كان واحدًا من العديد. تظهر البيانات الأخيرة أن فبراير وحده شهد تقريبًا $47 مليون دولار تتبخر عبر عمليات احتيال متعلقة بالتصيد الاحتيالي — مع وقوع 78% من هذه السرقات على إيثريوم و86% من الأموال المسروقة كانت من رموز ERC-20. النمط واضح: موافقات الرموز أصبحت الباب الخلفي المفضل للمهاجمين.

عندما تصبح العقود القديمة قنوات هجوم

جلب مارس مزيدًا من المشاكل. تم اختراق عقد ذكي قديم كان يستخدمه سابقًا بورصة Dolomite، مما أدى إلى سرقة 1.8 مليون دولار من المستخدمين الذين منحوه سابقًا حقوق الموافقة. حاول فريق Dolomite إصدار تحذير طارئ لإلغاء الموافقة، محثين المستخدمين على سحب الموافقة من عنوان العقد الضعيف.

كشفت حادثة Layerswap عن طبقة أخرى من الضعف. عندما تم اختراق موقعهم عبر التصيد الاحتيالي، خسر حوالي 50 مستخدمًا أصولًا بقيمة 100,000 دولار قبل أن يتمكن الفريق ومزود النطاق من احتواء الاختراق. وعلى الرغم من تعهد Layerswap بالتعويض الكامل بالإضافة إلى تعويضات، فقد تم الضرر.

الصورة الأكبر: التعليم يلتقي بالتكنولوجيا

هذه ليست حوادث معزولة — إنها أعراض لمشكلة نظامية. لقد جعلت موافقات الرموز الوصول إلى وظائف البلوكتشين أكثر ديمقراطية، لكنها أيضًا خلقت نقطة ضعف خطيرة. غالبًا ما يوافق المستخدمون على العقود دون فهم ما يمنحونه من أذونات. الفجوة التقنية بين المستخدمين العاديين والمهاجمين تزداد اتساعًا.

شركات الأمان مثل CertiK و PeckShield تلعب دور الدفاع، من خلال تحليل معاملات البلوكتشين وإعلام عن التحركات المشبوهة. لكن الكشف بعد وقوع الضرر لا يمنع الخسائر. ما نحتاجه هو تغيير في طريقة تفاعل المستخدمين مع العقود الذكية: التحقق من كل موافقة، فهم ما تتضمنه كل إذن، والحفاظ على اليقظة أثناء تفاعلات المحفظة.

يجب على مجتمع العملات الرقمية الاستثمار في أدوات أفضل، وواجهات مستخدم/تصميم تجربة مستخدم أكثر وضوحًا لعمليات الموافقة، وحملات توعية مستمرة. حتى يضيق الفجوة بين الواقع التقني وفهم المستخدم، ستظل هجمات التصيد الاحتيالي التي تستغل موافقات الرموز واحدة من أكبر التهديدات المستمرة في القطاع.