يوم آخر، وبروتوكول تمويل لامركزي آخر يتعرض للاستنزاف. خسر بروتوكول واسابي، وهو منصة تداول عقود دائمة تعمل عبر إيثيريوم، وبيس، وبيراتشين، وبلاست، ما بين 4.5 مليون دولار و5.5 مليون دولار في 30 أبريل بعد أن اخترق مهاجم مفتاح مسؤول النشر واستخدمه لتفريغ عقود الخزينة بشكل منهجي عبر جميع السلاسل الأربع.
كان الهجوم سريعًا ومنهجيًا. بمجرد حصول المهاجم على مفتاح المسؤول، استدعى وظيفة grantRole في عقد صلاحيات Wasabi لمنح نفسه صلاحيات المسؤول الكاملة دون أي تأخير - بدون أي قيود زمنية أو فترة انتظار. ومن ثم، وفقًا لـ The Blockقاموا بترقية خزائن البروتوكول الخاصة بالمتسللين و Long Pool إلى تطبيقات خبيثة قامت ببساطة باستنزاف الأرصدة.
ما الذي أصيب؟
على منصة إيثيريوم، شملت العقود المتضررة عقود واسابي wWETH وsUSDC وwBITCON وwPEPE وخزائن Long Pool. أما على منصة Base، فقد استهدف الهجوم خزائن sUSDC وwWETH وsBTC وsVIRTUAL وsAERO وsBRETT. وزادت الخسائر الإجمالية نتيجة تعرض شبكتي Bechain وBlast للهجوم.
رصدت شركة الأمن "بلوك إيد" الثغرة الأمنية أثناء حدوثها، مما أتاح لبعض المستخدمين على الأقل فرصة للاستجابة. إلا أن طبيعة اختراق مفتاح الإدارة تعني أن البروتوكول نفسه لا يستطيع فعل الكثير بمجرد وقوع هذا المفتاح في أيدي المهاجمين. سيطر المهاجم على آلية الترقية، وقام بإعادة كتابة العقود.
الفشل الأمني بسيط بشكل محرج
هذا الأمر مؤلم لأنه كان بالإمكان تجنبه بسهولة. لم يكن السبب الجذري ثغرة أمنية جديدة غير معروفة، أو خطأً معقدًا في إعادة الدخول، أو حالةً نادرةً في عملية تشفير أساسية. بل كان حسابًا واحدًا مملوكًا لطرف خارجي يتمتع بصلاحيات مدير كاملة في PerpManager الخاص بـ Wasabi، دون اشتراط توقيع متعدد، أو قفل زمني، أو أي آلية حوكمة تحمي هذا الوصول.
هذا الحد الأدنى من متطلبات الأمان لأي بروتوكول يُدير أموال المستخدمين الحقيقية. كان من الممكن إيقاف هذا الهجوم تمامًا لو تم اشتراط استخدام مفاتيح متعددة لتوقيع إجراء ذي صلاحيات خاصة، أو فرض تأخير لمدة 24 أو 48 ساعة قبل سريان التحديث. كان من الممكن أن يمنح قفل زمني المستخدمين وباحثي الأمن الوقت الكافي لملاحظة المعاملة الخبيثة المُدرجة في قائمة الانتظار والاستجابة قبل تنفيذها.
ليس بروتوكول واسابي أول بروتوكول يتجاهل هذه الحمايات ويدفع ثمنها، ولن يكون الأخير. لكن تكرار اختراق مفاتيح الإدارة المركزية في التمويل اللامركزي، وتكرار كشف التحليل اللاحق عن عدم وجود توقيعات متعددة أو قفل زمني، أمر يصعب تفسيره في هذه المرحلة من تطور هذا القطاع.
السياق: أسوأ شهر في التاريخ
ظهرت ثغرة Wasabi في أواخر أبريل 2026، الذي اختُتم كأسوأ شهر من حيث عمليات اختراق العملات الرقمية منذ بدء رصدها. أكدت منصة DeFiLlama وقوع 30 حادثة منفصلة في أبريل، بخسائر إجمالية تجاوزت 625 مليون دولار أمريكي، أي بمعدل هجوم واحد تقريبًا يوميًا. وبرزت حادثتان رئيسيتان: سرقة بروتوكول Drift عبر الهندسة الاجتماعية (بخسائر تُقدّر بنحو 285 مليون دولار أمريكي)، واستغلال ثغرة جسر KelpDAO LayerZero (بخسائر تُقدّر بنحو 292 مليون دولار أمريكي)، وقد نسب الباحثون كلتاهما إلى مجموعة Lazarus الكورية الشمالية.
تبدو خسارة واسابي البالغة 5 ملايين دولار متواضعة مقارنةً بتلك الأرقام، لكنها تذكيرٌ مفيد بأنّ نطاق الهجوم لا يقتصر على عقود الجسور الضخمة والبروتوكولات الممولة تمويلاً جيداً. فالمنصات الدائمة الأصغر حجماً ذات ودائع المستخدمين الحقيقية ومفتاح إداري واحد غير محميّ، معرضة للخطر بنفس القدر، والحافز الاقتصادي لاستهدافها حقيقي.
ما ينبغي للمستخدمين معرفته
أوقفت منصة Wasabi Protocol الخزائن المتأثرة، ونشرت بيانًا حول الحادثة على منصات التواصل الاجتماعي. يُنصح المستخدمون الذين لديهم مراكز مفتوحة أو ودائع في العقود المتأثرة بالتحقق من وضعهم مباشرةً عبر قنوات Wasabi الرسمية، وتوخي الحذر من أي عروض استرداد تصل عبر الرسائل الخاصة، إذ أن عمليات الاحتيال الوهمية التي تلي استغلال الثغرات الأمنية تكاد تكون بنفس موثوقية هذه الثغرات نفسها.
الدرس الأهم من أبريل 2026 هو درسٌ ما زال القطاع يستوعبه باستمرار: لا يهم مدى جودة واجهة التداول، أو مدى تنافسية الرسوم، أو حجم القيمة الإجمالية المقفلة (TVL) التي تراكمت في البروتوكول. إذا كان بإمكان مفتاح الإدارة استنزاف كل شيء في معاملة واحدة دون أي ضوابط، فسيحصل عليه أحدهم في النهاية. لذا، ابنِ على هذا الأساس.
---------------
كاتب: آلان وارد
مكتب أخبار سياتل
لا توجد تعليقات
أضف تعليق