سرقة 4 ملايين دولار من إيثريوم! الكشف الكامل عن عملية غسيل الأموال، ونظام التوقيع المتعدد تم اختراقه

Unleash Protocol أسبوع الثلاثاء كشف عن خسائر تعرض لها من خلال هجوم إلكتروني أسفر عن سرقة 1,337 من ETH بقيمة 4 ملايين دولار. أظهرت تتبع Peckshield و CertiK أن القراصنة قاموا عبر Tornado Cash بغسل الأموال، حيث أرسلوا عدة معاملات بقيمة 100 ETH إلى خدمات التمويه. لم يحصل المهاجم على السيطرة غير المصرح بها على نظام الحوكمة متعدد التوقيعات، وربما قام بتنفيذ ترقية غير مصرح بها للعقد من خلال الهندسة الاجتماعية، متجاوزًا عمليات الفحص وسحب الأموال.

سجلات تتبع غسل الأموال عبر Tornado Cash

وفقًا لنشاطات السلسلة وتقارير عدة شركات أمنية، يحاول القراصنة استغلال بروتوكول Tornado Cash على إيثريوم في عمليات غسل الأموال. Tornado Cash هو خدمة خلط العملات المشفرة، حيث يدمج أموال عدة مستخدمين، مما يقطع الروابط القابلة للتتبع بين مصدر الأموال ووجهتها، مما يصعب على سلطات إنفاذ القانون تتبع تدفقات الأموال.

وأشار Peckshield إلى أن المهاجمين على ما يبدو أرسلوا العديد من المعاملات بقيمة 100 ETH إلى مزود خدمة التمويه الشهير. هذه الاستراتيجية في النقل على دفعات تعتبر نمطًا تقليديًا في غسل الأموال، حيث أن نقل مبالغ كبيرة دفعة واحدة يسهل اكتشافه من قبل أنظمة المراقبة. تقسيم 1,337 ETH إلى 13 إلى 14 معاملة بقيمة 100 ETH مع فاصل زمني بين كل عملية يقلل من احتمالية اكتشافها على الفور.

بدأت CertiK في وسم عمليات سحب مشبوهة لـ Wrapped ETH و IP tokens، والتي أُرسلت إلى حساب خارجي يملكه طرف آخر، ويبدو أنه تم إعداده باستخدام SafeProxyFactory. تكشف التفاصيل التقنية عن مستوى احترافية المهاجمين، حيث أن SafeProxyFactory هو مصنع العقود الخاص بـ Gnosis Safe (المعروف الآن بـ Safe)، ويستخدم لنشر محافظ متعددة التوقيعات جديدة. استخدم المهاجمون هذه الأداة لإنشاء محافظ مؤقتة لاستقبال الأموال المسروقة، مما يدل على فهم عميق لنظام إيثريوم البيئي.

تشمل الأصول المتأثرة WIP، USDC، WETH، stIP و vIP، ومعظمها تم جسرها إلى إيثريوم وأُرسلت إلى Tornado Cash. عملية الجسر بحد ذاتها تزيد من صعوبة التتبع، لأنها تمر عبر عدة عقود وعناوين خلال عملية النقل، وكل عملية تضعف خط التتبع. بمجرد دخول الأموال إلى Tornado Cash، تخلط مع ودائع مستخدمين آخرين، مكونة “صندوق أسود”، حيث لا يمكن ربط الأموال الخارجة بالمداخل.

من الجدير بالذكر أن Tornado Cash منذ أن تم فرض عقوبات عليه من قبل وزارة الخزانة الأمريكية في 2022، فإن استخدامه يُعد مخالفة قانونية. ومع ذلك، لم يتم إيقاف عمله تمامًا، لأنه بروتوكول لامركزي يعتمد على العقود الذكية، ولا يمكن إغلاقه مثل الخدمات المركزية. يظهر المهاجمون استعدادهم لتحمل المخاطر القانونية لاستخدام Tornado Cash، مما يعكس مستوى الحذر لديهم من تقنيات التتبع.

كيف تم اختراق نظام الحوكمة متعدد التوقيعات

في وقت مبكر من الثلاثاء، كشفت Unleash عن حادثة ثغرة أمنية. تم إيقاف تشغيل المشروع مؤقتًا وبدأت عمليات التحقيق في الهجوم، ويبدو أن الاختراق نجم عن تدمير آلية التوقيع المتعدد. كتب فريق Unleash على X: «تشير تحقيقاتنا الأولية إلى أن عنوانًا خارجيًا يسيطر على إدارة المشروع عبر نظام الحوكمة متعدد التوقيعات، وقام بترقية غير مصرح بها للعقد.»

بمعنى آخر، حصل المهاجمون على السيطرة غير المصرح بها على نظام إدارة Unleash Protocol، ربما عبر هجمات تصيد أو ثغرات أمنية أخرى، مما مكنهم من تنفيذ ترقية تتجاوز عمليات الفحص العادية وسحب أموال المستخدمين. هذا النمط من الهجمات ليس نادرًا في مجال DeFi، لكن نجاحها في تجاوز آليات التوقيع المتعدد يثير القلق.

محفظة التوقيع المتعدد (Multi-Signature Wallet) هي آلية حماية أصول شائعة في بروتوكولات DeFi. تتطلب توقيع عدة مالكين لمفاتيح خاصة لتنفيذ المعاملات، وبذلك حتى لو تم سرقة مفتاح واحد، لا يمكن للمهاجم سرقة الأموال. ومع ذلك، تظهر هذه الهجمة أن آلية التوقيع المتعدد ليست محصنة تمامًا.

ثلاث احتمالات لفشل آلية التوقيع المتعدد

الهجمات الهندسية الاجتماعية: حيث يخدع المهاجمون الموقعين عبر رسائل تصيد أو رسائل مزورة لكشف مفاتيحهم الخاصة

الاختراق الداخلي: تعاون أو استمالة موظفين داخليين يملكون مفاتيح التوقيع المتعدد، أو استمالتهم لمساعدة المهاجمين

استغلال ثغرات العقود: وجود ثغرات برمجية في عقد التوقيع المتعدد تسمح للمهاجمين بتجاوز متطلبات التوقيع

أكد بيان Unleash أن «العنوان الخارجي» الذي حصل على السيطرة، يشير إلى أن الأمر ربما لا يتعلق بعمل داخلي، وإنما بمهاجم خارجي استغل تقنيات أو هجمات هندسية للحصول على صلاحيات التوقيع الكافية. أدى هذا الترقية إلى سحب أموال دون موافقة فريق Unleash، وحدث خارج إطار عمليات الحوكمة المعتادة، مما يدل على أن المهاجمين استولوا على كامل صلاحيات الإدارة.

تحذير أمني من نظام بيئة Story Protocol

قالت Unleash: «الحادث نجم عن إطار الحوكمة والصلاحيات في بروتوكول Unleash»، وأضافت أن «الأثر يبدو محدودًا على العقود والإدارة الخاصة بـ Unleash»، وأنه «لا توجد أدلة على أن عقود Story Protocol أو المدققين أو البنية التحتية الأساسية قد تضررت». تحاول هذه التصريحات تقييد نطاق الضرر على أنه يقتصر على Unleash، وتجنب التأثير على كامل منظومة Story Protocol.

Unleash هو أحد التطبيقات الشهيرة المبنية على Story Protocol. وهو بروتوكول من الطبقة الأولى حديث نسبيًا، يركز على تطبيقات التوكنية لحقوق الملكية الفكرية. شركة PIP Labs وراء Story Protocol جمعت تمويلًا بقيمة 1.4 مليار دولار، ويشمل مستثمرون كبار من شركات رأس مال مخاطر. إذا أدى هذا الحادث إلى تشكيك في أمان منظومة Story Protocol، فقد يؤثر ذلك على تطبيقات أخرى مبنية على البروتوكول والتقييم الكلي.

حذر فريق Unleash المستخدمين من التفاعل مع البروتوكول، وأكد أنه بمجرد توفر معلومات موثوقة، سيشارك آخر التطورات حول الهجوم والإجراءات المحتملة للتعويض. إيقاف التشغيل مؤقتًا هو إجراء قياسي لمنع المهاجمين من استغلال الثغرات وسرقة المزيد من الأموال، لكنه يعني أيضًا أن المستخدمين الشرعيين لن يتمكنوا مؤقتًا من الوصول إلى أصولهم.

من منظور أوسع، يكشف هذا الحادث مرة أخرى عن مخاطر الحوكمة في بروتوكولات DeFi. على الرغم من أن آلية التوقيع المتعدد أكثر أمانًا من التوقيع الواحد، إلا أنها لا تزال تعتمد على البشر، وهم الحلقة الأضعف. مع تزايد قيمة الأصول المقفلة في DeFi، قد تصبح هجمات على أنظمة الحوكمة أكثر تكرارًا وتعقيدًا.