خسرت شركة Wasabi Protocol أكثر من 5 ملايين دولار أمريكي نتيجة استغلال ثغرة في مفتاح المسؤول.
ماذا حدث
تعرض بروتوكول العقود الآجلة الدائمة على السلسلة (On-chain) "Wasabi" للاختراق في 30 أبريل 2026، حيث قام المهاجمون بسحب أكثر من 5 ملايين دولار عبر شبكات Ethereum وBase وBerachain وBlast، وفقاً لما أفادت به شركة أمن البلوكشين PeckShield.
حصل المهاجم على صلاحية ADMIN_ROLE من خلال محفظة نشر البروتوكول — المحددة باسم wasabideployer.eth كعنوان وحيد يحمل هذا الدور في AccessManager الخاص بـ PerpManager في Wasabi — ثم قام بترقية الخزائن (Vaults) إلى نسخة خبيثة سحبت أرصدة المستخدمين. تم استخراج ما يقرب من 4.55 مليون دولار في الإحصاء الأولي، ولا تزال التحقيقات جارية.
أقرت Wasabi بالحادثة عبر منصة X، وحثت المستخدمين على تجنب استخدام البروتوكول أثناء إجراء التحقيقات، وأكدت أنها استعانت بفرق متخصصة في الاستجابة الأمنية على السلسلة، بما في ذلك SEAL 911 وBlockaid.
We're aware of an issue and are actively investigating.
— Wasabi Protocol 🟢 (@wasabi_protocol) April 30, 2026
As a precaution, please do not interact with Wasabi contracts until further notice.
We'll share an update as soon as we have more information. Thanks for your patience.
كيف تم تنفيذ الهجوم
نُفذ الهجوم من خلال آلية تُعرف باسم استغلال ترقية UUPS. بعد اختراق حساب الناشر (Deployer)، بدأ المهاجم عملية ترقية للعقد استبدلت الكود الآمن بمنطق برمجي خبيث، مما أدى إلى إعادة توجيه الأموال من الخزائن ومجمعات السيولة إلى عناوينه الخاصة. وبسبب افتقار البروتوكول إلى آلية القفل الزمني (Timelock)، تم تنفيذ التغييرات فوراً — مما لم يترك أي فرصة للمطورين أو المستخدمين للتدخل.
التفاصيل التقنية الرئيسية للاختراق:
- استدعى المهاجم وظيفة
grantRoleعلى حساب الناشر (EOA) مع تأخير صفري، مما أدى إلى تحويل عقد الأوركسترا (Orchestrator) الخاص به إلى مسؤول (Admin) بشكل فوري. - تم تصنيف رموز حصة السيولة (LP-share) لـ Wasabi وSpicy من الخزائن المتأثرة على أنها مخترقة، مع اقتراب قيمة الاسترداد من الصفر.
- أشارت Blockaid إلى أن نفس عنوان المهاجم، وعقد الأوركسترا، و"Bytecode" الاستراتيجية، تربط هذا الحادث بنشاط سابق استهدف Wasabi.
- لم تكن هناك ضمانات مثل تفويض التوقيع المتعدد (Multi-signature) أو التأخيرات الزمنية لمنع التنفيذ الفوري للأعمال الخبيثة.
أبريل 2026: أسوأ شهر في تاريخ التمويل اللامركزي (DeFi)
لم يكن اختراق Wasabi حادثة معزولة؛ إذ يختتم هذا الاختراق شهراً قاسياً على قطاع DeFi، تميز باختراقين رئيسيين وأكثر من عشرين حادثة أصغر. وأشار الرئيس السابق لقطاع DeFi في Monad عبر منصة X إلى أن أبريل 2026 أسفر عن خسارة ما يقرب من 635 مليون دولار عبر 28 حادثة في 30 يوماً.
أكبر حادثتين في هذا الشهر هما:
- Drift Protocol — في الأول من أبريل، تعرضت منصة العقود الدائمة القائمة على Solana لتدفقات خارجة بلغت نحو 270 مليون دولار شملت أكثر من 15 نوعاً مختلفاً من الرموز، فيما تم الإبلاغ عنه كعملية مرتبطة بدولة كوريا الشمالية استغرق التحضير لها ستة أشهر.
- Kelp DAO — في 18 أبريل، قام مهاجم يُشتبه في كونه مدعوماً من كوريا الشمالية باستغلال جسر LayerZero، وتزوير رسالة عبر السلاسل (Cross-chain) سمحت بصك 116,500 من رموز rsETH دون وجود أي قفل في الجانب المصدر. ثم قام المهاجم بإيداع رموز rsETH غير المدعومة في Aave كضمان واقترض ما يقرب من 236 مليون دولار من رموز WETH الحقيقية.
شمل الرد على حادثة Kelp جهداً جماعياً غير مسبوق بين بروتوكولات وأفراد DeFi، أُطلق عليه اسم "DeFi United"، والذي جمع أكثر من 300 مليون دولار لاستعادة دعم رموز rsETH الخاصة بـ Kelp.
نظرية "الهاكر المعتمد على الذكاء الاصطناعي"
أدت وتيرة ودقة الاختراقات الأخيرة إلى تجديد النقاش حول الأدوات التي يستخدمها المهاجمون. طرح المطور فيتو ريفابيلا علناً نظرية مفادها أن كوريا الشمالية قامت بتدريب نموذج ذكاء اصطناعي داخلي على سنوات من بيانات DeFi المسروقة، مشيراً إلى أنه يعمل الآن كمستغل ذاتي يقوم بسحب الأموال من البروتوكولات بشكل أسرع مما يمكن للمراجعين البشريين إصلاحه. ورغم أنها غير مؤكدة، إلا أن هذه الفرضية تعكس قلقاً متزايداً في المجتمع الأمني بشأن الميزة غير المتكافئة التي قد يتمتع بها المهاجمون ضد فرق دفاع البروتوكول.
ما يجب على المستخدمين فعله الآن
تحث الفرق الأمنية الأفراد المتأثرين على إلغاء جميع أذونات العقود الذكية المرتبطة بالبروتوكول كخطوة أولى بالغة الأهمية. يمكن لأدوات مثل Revoke.cash أن تساعد في إزالة الوصول الممنوح سابقاً للعقود المخترقة. يجب على المستخدمين تجنب التفاعل مع الروابط المشبوهة أو برامج الاسترداد غير الرسمية ومتابعة الإعلانات الرسمية الموثقة فقط.
سواء كان الذكاء الاصطناعي يسرع الموجة الحالية من الاختراقات أم لا، فإن حادثة Wasabi تجعل مشكلة هيكلية واحدة واضحة وضوح الشمس: لا تزال هياكل المسؤول (Admin) ذات المفتاح الواحد دون أقفال زمنية أو ضوابط توقيع متعدد من بين أكثر الثغرات القابلة للاستغلال في DeFi اليوم.
نشر بواسطة Coinplurk.com
نستخدم تقنية الذكاء الاصطناعي للمساعدة في تقديم المعلومات بشكل أسرع وأكثر كفاءة. ومع ذلك، يخضع جميع المحتوى لعملية مراجعة بشرية. إذا وجدت أخطاء في البيانات أو معلومات غير دقيقة في هذه المقالة، يرجى الإبلاغ عنها إلى فريق التحرير لدينا عبر زر [الإبلاغ عن المقالة].
Published by Coinplurk.com
نبذة عن الكاتب
CoinPlurk News
مؤلف موثوقVerified Web3 content architect providing high-impact data analysis and real-time reporting on the global blockchain ecosystem.
مقالات أخرى
6أطلقت فيزا وماستركارد وأكثر من 140 شركة عملة Open USD المستقرة
أطلق تحالف يضم فيزا وماستركارد وسترايب وكوين بيس وبلاك روك وأكثر من 140 شركة أخرى عملة Open USD، وهي عملة مستقرة مرتبطة بالدولار مصممة لتقاسم عائدات الاحتياطي مع الشركات التي تستخدمها.
فيفا يختار أفالانش لكأس العالم 2026؛ وسهم أفالانش يقفز بنسبة 8%
لقد أعطى قرار الاتحاد الدولي لكرة القدم (فيفا) ببناء البنية التحتية الخاصة بتذاكر كأس العالم 2026 وبرامج الولاء والمقتنيات الرقمية على سلسلة كتل مخصصة من Avalanche، أقوى إشارة صعودية لسهم AVAX منذ شهر - لكن المحللين يقولون إن الطلب المستدام لا يزال بحاجة إلى إثبات.
Mastercard تطلق AP4M للمدفوعات بسرعة الآلة القائمة على الذكاء الاصطناعي
تمكن خدمة Agent Pay for Machines (AP4M) الجديدة من Mastercard وكلاء الذكاء الاصطناعي من التصريح بالمدفوعات الصغيرة عالية التكرار وتنسيقها وتسويتها بشكل مستقل عبر البطاقات والحسابات المصرفية والعملات المستقرة — مع انضمام أكثر من 30 شريكًا في القطاع بالفعل.
بوليماركت تتطلع إلى اليابان بهدف الحصول على موافقة بحلول 2030
قامت شركة بولي ماركت بتعيين ممثل محلي وحددت هدفاً لعام 2030 للحصول على الموافقة التنظيمية في اليابان، على الرغم من أن قوانين المقامرة الصارمة في البلاد وموجة عالمية من القيود المفروضة على سوق التنبؤ تجعل الطريق إلى الأمام غير مؤكد.
كشف ملف الاكتتاب العام لشركة سبيس إكس عن وجود خزانة بيتكوين بقيمة 1.45 مليار دولار
كشف ملف شركة SpaceX التاريخي المقدم إلى هيئة الأوراق المالية والبورصات قبل طرحها في بورصة ناسداك عن امتلاكها 18712 بيتكوين بقيمة 1.45 مليار دولار، مما يضع شركة الطيران والفضاء بين أكبر الشركات المعروفة التي تمتلك البيتكوين.
بطاقة كريبتو الفيزيائية الأولى لشركة Revolut تُطلق في المملكة المتحدة والمنطقة الاقتصادية الأوروبية
أطلقت Revolut أول بطاقة خصم مشفرة فعلية لها — بطاقة مستوحاة من Dogecoin ومزودة بإضاءة LED، ومقبولة في أي مكان تدعم فيه فيزا وماستركارد — مما يشكل خطوة مهمة في دفع التكنولوجيا المالية لجعل إنفاق الأصول الرقمية جزءًا من التمويل الاستهلاكي اليومي.

مركز تفاعلي
0 الردودهل لديك اقتراح أو سؤال أو تريد فقط ترك تعليق على هذا المقال؟ لا تتردد في الكتابة في قسم النقاش أدناه.
يرجى تسجيل الدخول للانضمام إلى النقاش
سجل دخولك الآنلا توجد تعليقات بعد. كن أول من يعلق!