أعلنت شركة تحليل البلوكشين Chainalysis في 9 يونيو عن تقرير يوثق أنه خلال الفترة من يناير إلى مايو، تم سرقة ما لا يقل عن 36.70 مليون دولار من خلال 3,670,000 دولار، من بروتوكولات لم تقم بنشر التعليمات البرمجية الأصلية للتحقق على متصفح البلوكشين، وذلك ضمن 4 هجمات و5 بروتوكولات؛ وفي جميع الحالات، عثر المهاجمون على الثغرات عبر تفكيك (decompiling) البايتكود الأصلي (وليس عبر قراءة الشيفرة الأصلية المنشورة).
حالات الأربع هجمات: قيمة الخسارة والتواريخ ونوع الثغرة المؤكدة
وفقًا لتقرير Chainalysis، فإن بيانات التأكيد الخاصة بالبروتوكولات الخمسة التي تم اختراقها هي كما يلي:
Truebit: 26.20 مليون دولار، في 8 يناير 2026، على شبكة إيثريوم؛ تجاوز في الدالة getPurchasePrice() للأعداد الصحيحة (Solidity v0.5.3، إذ تفتقر هذه النسخة إلى حماية تلقائية من overflow)
Trusted Volumes: 5.90 مليون دولار، في 7 مايو 2026، على شبكة إيثريوم؛ ثغرة في الوصول عبر وكيل تبادل RFQ
Aperture Finance: 3.20 مليون دولار، في 25 يناير 2026، على شبكة إيثريوم؛ تجاوز التحقق من المدخلات عبر استخدام transferFrom
(المصدر: Chainalysis)
Ekubo: 1.40 مليون دولار، في 5 مايو 2026، على شبكة إيثريوم؛ منطق الاسترجاع (reorg) لم يتحقق من هوية المُرسل/الدافع
تؤكد Chainalysis أن العقود ذات الصلة في جميع البروتوكولات المذكورة لم تكن مُتحقَّقًا منها على Etherscan أو غيره من متصفحات البلوكشين وقت وقوع الهجوم، كما لا توجد شيفرة أصلية مرتبطة علنًا.
تفاصيل حالة Truebit: عقد نُشر في 2021، والسجلات على السلسلة تُظهر سلوك هجوم منهجي
يُظهر تحليل مخططات Reactor لدى Chainalysis أن عنوان المهاجم الذي نفذ هجوم Truebit (8 يناير 2026، خسارة 26.20 مليون دولار) كان قد سرق قبل ذلك بـ 12 يومًا 5 ETH من بروتوكول Sparkle.
ويؤكد التقرير أن هذا العنوان كان يبحث بشكل منهجي عن الثغرات في العقود المُتحقَّق منها وغير المُتحقَّق منها، مع تصعيد تدريجي من أهداف صغيرة أولية إلى هجوم واسع النطاق نهائيًا؛ كما تم غسل الأموال الناتجة عن كلتا عمليتي الهجوم عبر Tornado Cash. وكان عقد Truebit الذي تعرض للاختراق قد نُشر على إيثريوم منذ 2021، ولم تتم قط محاملته/التحقق من الشيفرة الأصلية على Etherscan.
ثغرات أمان ثلاثية في العقود غير المُتحقَّق منها: آليات فشل حماية حددتها Chainalysis
يؤكد تقرير Chainalysis أنه عند اختيار البروتوكولات للنشر بإغلاق الشيفرة (closed source)، فإن ثلاث طبقات أمان تقليدية تفقد فعاليتها بالتزامن:
تعطل مراجعات الباحثين ذوي القبعات البيضاء: لا توجد شيفرة أصلية قابلة للقراءة علنًا، ما يمنع الباحثين الأمنيين من تحديد الثغرات والإبلاغ عنها
استبعاد خطط مكافآت الثغرات: عادةً ما تُستبعد العقود غير المُتحقَّق منها بشكل صريح من خطط مكافآت الثغرات السائدة
تعطل الإبلاغ المدفوع بالمجتمع: في بيئة مراجعة مفتوحة بلا شيفرة أصلية، لا يستطيع المجتمع تحديد مشاكل الأمان بشكل استباقي
يؤكد تقرير Chainalysis أن البروتوكولات التي تنشر عقودًا غير مُتحقَّق منها لا تمتلك حاليًا سوى المراقبة الفورية على السلسلة كوسيلة حماية وحيدة يمكن أن تحل محل آليات فشل الحماية المذكورة أعلاه.
الأسئلة الشائعة
ما الفرق الجوهري بين العقود الذكية غير المُتحقَّق منها والمُتحقَّق منها؟
يمكن قراءة الشيفرة الأصلية للعقود المُتحقَّق منها علنًا على متصفحات بلوكشين مثل Etherscan، ما يمكّن الباحثين الأمنيين من تحديد الثغرات مباشرة وتقديم البلاغات. أما العقود غير المُتحقَّق منها فتُظهر فقط البايتكود المُترجم؛ ويحتاج الباحثون الأمنيون والمهاجمون كلاهما إلى إجراء هندسة عكسية عبر أدوات تفكيك/تفكيك بايتكود، كما أن العقود غير المُتحقَّق منها تكون عادةً مستبعدة من خطط مكافآت الثغرات السائدة.
كيف تتم مقارنة 36.70 مليون دولار المسجلة بواسطة Chainalysis مع إجمالي حالات سرقة DeFi؟
وفقًا لتقرير Chainalysis، تمثل 36.70 مليون دولار فئة فرعية مستقلة ضمن إجمالي الخسائر البالغ 1 مليار دولار وأكثر عبر 88 بروتوكول DeFi تم تسجيلها في نفس الفترة بواسطة DeFiLlama. تمتلك غالبية بروتوكولات DeFi التي تعرضت للهجوم عقودًا ذكية مُتحقَّقًا منها، ويشكل استهداف العقود غير المُتحقَّق منها نمطًا هجوميا مميزًا لا ينبغي مقارنته مباشرة بإحصاءات أمان DeFi الأوسع.
ما توصيات Chainalysis الأمنية المحددة للبروتوكولات التي تستخدم عقودًا غير مُتحقَّق منها؟
تؤكد Chainalysis أن التوصية المحددة الوحيدة التي يثبتها تقريرها هي نشر مراقبة فورية على السلسلة لاستبدال الوظائف التي تفشلها منظومة الأمان التقليدية فيما يتعلق بالعقود غير المُتحقَّق منها. لم يقدم التقرير توصيات بأدوات مراقبة محددة، ولا معايير للتنفيذ، ولا اقتراحات بشأن الجدول الزمني.
