Banner
NEWS

خسرت شركة Wasabi Protocol أكثر من 5 ملايين دولار أمريكي نتيجة استغلال ثغرة في مفتاح المسؤول.

خسرت شركة Wasabi Protocol أكثر من 5 ملايين دولار أمريكي نتيجة استغلال ثغرة في مفتاح المسؤول.
CoinPlurk News
CoinPlurk News
مصدر موثوق
Apr 30, 2026
0
ملخص
العنوان: خسرت شركة Wasabi Protocol أكثر من 5 ملايين دولار أمريكي نتيجة استغلال ثغرة في مفتاح المسؤول.
الفئة: NEWS
المؤلف: CoinPlurk News
تاريخ النشر: 30 Apr 2026
ملخص: أدى اختراق مفتاح الإدارة بقيمة تزيد عن 5 ملايين دولار إلى استنزاف خزائن Wasabi Protocol الدائمة عبر أربع سلاسل، مما وصل بالوضع إلى ما يسميه المحللون أسوأ شهر في سجل التمويل اللامركزي.
تاريخ النشر

ماذا حدث

تعرض بروتوكول العقود الآجلة الدائمة على السلسلة (On-chain) "Wasabi" للاختراق في 30 أبريل 2026، حيث قام المهاجمون بسحب أكثر من 5 ملايين دولار عبر شبكات Ethereum وBase وBerachain وBlast، وفقاً لما أفادت به شركة أمن البلوكشين PeckShield.

حصل المهاجم على صلاحية ADMIN_ROLE من خلال محفظة نشر البروتوكول — المحددة باسم wasabideployer.eth كعنوان وحيد يحمل هذا الدور في AccessManager الخاص بـ PerpManager في Wasabi — ثم قام بترقية الخزائن (Vaults) إلى نسخة خبيثة سحبت أرصدة المستخدمين. تم استخراج ما يقرب من 4.55 مليون دولار في الإحصاء الأولي، ولا تزال التحقيقات جارية.

أقرت Wasabi بالحادثة عبر منصة X، وحثت المستخدمين على تجنب استخدام البروتوكول أثناء إجراء التحقيقات، وأكدت أنها استعانت بفرق متخصصة في الاستجابة الأمنية على السلسلة، بما في ذلك SEAL 911 وBlockaid.

كيف تم تنفيذ الهجوم

نُفذ الهجوم من خلال آلية تُعرف باسم استغلال ترقية UUPS. بعد اختراق حساب الناشر (Deployer)، بدأ المهاجم عملية ترقية للعقد استبدلت الكود الآمن بمنطق برمجي خبيث، مما أدى إلى إعادة توجيه الأموال من الخزائن ومجمعات السيولة إلى عناوينه الخاصة. وبسبب افتقار البروتوكول إلى آلية القفل الزمني (Timelock)، تم تنفيذ التغييرات فوراً — مما لم يترك أي فرصة للمطورين أو المستخدمين للتدخل.

التفاصيل التقنية الرئيسية للاختراق:

  • استدعى المهاجم وظيفة grantRole على حساب الناشر (EOA) مع تأخير صفري، مما أدى إلى تحويل عقد الأوركسترا (Orchestrator) الخاص به إلى مسؤول (Admin) بشكل فوري.
  • تم تصنيف رموز حصة السيولة (LP-share) لـ Wasabi وSpicy من الخزائن المتأثرة على أنها مخترقة، مع اقتراب قيمة الاسترداد من الصفر.
  • أشارت Blockaid إلى أن نفس عنوان المهاجم، وعقد الأوركسترا، و"Bytecode" الاستراتيجية، تربط هذا الحادث بنشاط سابق استهدف Wasabi.
  • لم تكن هناك ضمانات مثل تفويض التوقيع المتعدد (Multi-signature) أو التأخيرات الزمنية لمنع التنفيذ الفوري للأعمال الخبيثة.

أبريل 2026: أسوأ شهر في تاريخ التمويل اللامركزي (DeFi)

لم يكن اختراق Wasabi حادثة معزولة؛ إذ يختتم هذا الاختراق شهراً قاسياً على قطاع DeFi، تميز باختراقين رئيسيين وأكثر من عشرين حادثة أصغر. وأشار الرئيس السابق لقطاع DeFi في Monad عبر منصة X إلى أن أبريل 2026 أسفر عن خسارة ما يقرب من 635 مليون دولار عبر 28 حادثة في 30 يوماً.

أكبر حادثتين في هذا الشهر هما:

  1. Drift Protocol — في الأول من أبريل، تعرضت منصة العقود الدائمة القائمة على Solana لتدفقات خارجة بلغت نحو 270 مليون دولار شملت أكثر من 15 نوعاً مختلفاً من الرموز، فيما تم الإبلاغ عنه كعملية مرتبطة بدولة كوريا الشمالية استغرق التحضير لها ستة أشهر.
  2. Kelp DAO — في 18 أبريل، قام مهاجم يُشتبه في كونه مدعوماً من كوريا الشمالية باستغلال جسر LayerZero، وتزوير رسالة عبر السلاسل (Cross-chain) سمحت بصك 116,500 من رموز rsETH دون وجود أي قفل في الجانب المصدر. ثم قام المهاجم بإيداع رموز rsETH غير المدعومة في Aave كضمان واقترض ما يقرب من 236 مليون دولار من رموز WETH الحقيقية.

شمل الرد على حادثة Kelp جهداً جماعياً غير مسبوق بين بروتوكولات وأفراد DeFi، أُطلق عليه اسم "DeFi United"، والذي جمع أكثر من 300 مليون دولار لاستعادة دعم رموز rsETH الخاصة بـ Kelp.

نظرية "الهاكر المعتمد على الذكاء الاصطناعي"

أدت وتيرة ودقة الاختراقات الأخيرة إلى تجديد النقاش حول الأدوات التي يستخدمها المهاجمون. طرح المطور فيتو ريفابيلا علناً نظرية مفادها أن كوريا الشمالية قامت بتدريب نموذج ذكاء اصطناعي داخلي على سنوات من بيانات DeFi المسروقة، مشيراً إلى أنه يعمل الآن كمستغل ذاتي يقوم بسحب الأموال من البروتوكولات بشكل أسرع مما يمكن للمراجعين البشريين إصلاحه. ورغم أنها غير مؤكدة، إلا أن هذه الفرضية تعكس قلقاً متزايداً في المجتمع الأمني بشأن الميزة غير المتكافئة التي قد يتمتع بها المهاجمون ضد فرق دفاع البروتوكول.

ما يجب على المستخدمين فعله الآن

تحث الفرق الأمنية الأفراد المتأثرين على إلغاء جميع أذونات العقود الذكية المرتبطة بالبروتوكول كخطوة أولى بالغة الأهمية. يمكن لأدوات مثل Revoke.cash أن تساعد في إزالة الوصول الممنوح سابقاً للعقود المخترقة. يجب على المستخدمين تجنب التفاعل مع الروابط المشبوهة أو برامج الاسترداد غير الرسمية ومتابعة الإعلانات الرسمية الموثقة فقط.

سواء كان الذكاء الاصطناعي يسرع الموجة الحالية من الاختراقات أم لا، فإن حادثة Wasabi تجعل مشكلة هيكلية واحدة واضحة وضوح الشمس: لا تزال هياكل المسؤول (Admin) ذات المفتاح الواحد دون أقفال زمنية أو ضوابط توقيع متعدد من بين أكثر الثغرات القابلة للاستغلال في DeFi اليوم.


نشر بواسطة Coinplurk.com

ملاحظة تحريرية

نستخدم تقنية الذكاء الاصطناعي للمساعدة في تقديم المعلومات بشكل أسرع وأكثر كفاءة. ومع ذلك، يخضع جميع المحتوى لعملية مراجعة بشرية. إذا وجدت أخطاء في البيانات أو معلومات غير دقيقة في هذه المقالة، يرجى الإبلاغ عنها إلى فريق التحرير لدينا عبر زر [الإبلاغ عن المقالة].

Published by Coinplurk.com

CoinPlurk News

نبذة عن الكاتب

CoinPlurk News

مؤلف موثوق

Verified Web3 content architect providing high-impact data analysis and real-time reporting on the global blockchain ecosystem.

مقالات أخرى

6
NEWS

أطلقت فيزا وماستركارد وأكثر من 140 شركة عملة Open USD المستقرة

أطلق تحالف يضم فيزا وماستركارد وسترايب وكوين بيس وبلاك روك وأكثر من 140 شركة أخرى عملة Open USD، وهي عملة مستقرة مرتبطة بالدولار مصممة لتقاسم عائدات الاحتياطي مع الشركات التي تستخدمها.

CoinPlurk News ٠١ يوليو ٢٠٢٦
NEWS

فيفا يختار أفالانش لكأس العالم 2026؛ وسهم أفالانش يقفز بنسبة 8%

لقد أعطى قرار الاتحاد الدولي لكرة القدم (فيفا) ببناء البنية التحتية الخاصة بتذاكر كأس العالم 2026 وبرامج الولاء والمقتنيات الرقمية على سلسلة كتل مخصصة من Avalanche، أقوى إشارة صعودية لسهم AVAX منذ شهر - لكن المحللين يقولون إن الطلب المستدام لا يزال بحاجة إلى إثبات.

CoinPlurk News ١٧ يونيو ٢٠٢٦
NEWS

Mastercard تطلق AP4M للمدفوعات بسرعة الآلة القائمة على الذكاء الاصطناعي

تمكن خدمة Agent Pay for Machines (AP4M) الجديدة من Mastercard وكلاء الذكاء الاصطناعي من التصريح بالمدفوعات الصغيرة عالية التكرار وتنسيقها وتسويتها بشكل مستقل عبر البطاقات والحسابات المصرفية والعملات المستقرة — مع انضمام أكثر من 30 شريكًا في القطاع بالفعل.

CoinPlurk News ١٥ يونيو ٢٠٢٦
NEWS

بوليماركت تتطلع إلى اليابان بهدف الحصول على موافقة بحلول 2030

قامت شركة بولي ماركت بتعيين ممثل محلي وحددت هدفاً لعام 2030 للحصول على الموافقة التنظيمية في اليابان، على الرغم من أن قوانين المقامرة الصارمة في البلاد وموجة عالمية من القيود المفروضة على سوق التنبؤ تجعل الطريق إلى الأمام غير مؤكد.

CoinPlurk News ٢٢ مايو ٢٠٢٦
NEWS

كشف ملف الاكتتاب العام لشركة سبيس إكس عن وجود خزانة بيتكوين بقيمة 1.45 مليار دولار

كشف ملف شركة SpaceX التاريخي المقدم إلى هيئة الأوراق المالية والبورصات قبل طرحها في بورصة ناسداك عن امتلاكها 18712 بيتكوين بقيمة 1.45 مليار دولار، مما يضع شركة الطيران والفضاء بين أكبر الشركات المعروفة التي تمتلك البيتكوين.

CoinPlurk News ٢١ مايو ٢٠٢٦
NEWS

بطاقة كريبتو الفيزيائية الأولى لشركة Revolut تُطلق في المملكة المتحدة والمنطقة الاقتصادية الأوروبية

أطلقت Revolut أول بطاقة خصم مشفرة فعلية لها — بطاقة مستوحاة من Dogecoin ومزودة بإضاءة LED، ومقبولة في أي مكان تدعم فيه فيزا وماستركارد — مما يشكل خطوة مهمة في دفع التكنولوجيا المالية لجعل إنفاق الأصول الرقمية جزءًا من التمويل الاستهلاكي اليومي.

CoinPlurk News ١٩ مايو ٢٠٢٦

مركز تفاعلي

0 الردود

هل لديك اقتراح أو سؤال أو تريد فقط ترك تعليق على هذا المقال؟ لا تتردد في الكتابة في قسم النقاش أدناه.

يرجى تسجيل الدخول للانضمام إلى النقاش

سجل دخولك الآن

لا توجد تعليقات بعد. كن أول من يعلق!

CoinPlurk Web3 Gateway Platform

⚠ إخلاء مسؤولية هام
Coinplurk هي منصة بوابة Web3 تُقدّم أحدث أخبار وبيانات ومراجعات تطبيقات Web3. جميع المحتويات لأغراض إعلامية فقط، ولا تُشكّل نصيحة استثمارية أو مالية، ولا دعوة لشراء أو بيع أي أصول رقمية. جميع القرارات المالية تقع على عاتقك وحدك. ننصح بشدة بإجراء بحثك الخاص قبل التعامل مع أي منصة Web3.

© 2026 CoinPlurk | All Rights Reserved