$27M سرقة محفظة العملات الرقمية تكشف عن عيوب حاسمة في أمان التوقيع المتعدد

اختراق أمني حديث دمر محفظة عملة مشفرة لواحد من حيتان إيثريوم، مما أدى إلى خسارة تزيد عن 27 مليون دولار من الأصول الرقمية. الحادث، الذي تم تحديده لأول مرة في نوفمبر 2025، يُعد تحذيرًا صارخًا حول مخاطر تكوين المحافظ متعددة التوقيعات بشكل غير صحيح وإدارة المفاتيح الخاصة بشكل غير ملائم في نظام العملات المشفرة. كشفت شركة أمن البلوكتشين PeckShield أن المهاجم استولى على السيطرة على محفظة الضحية بعد ست دقائق فقط من إنشائها، مما كشف عن فجوات أساسية في كيفية تعامل المستخدمين المتقدمين مع ممتلكاتهم من العملات الرقمية.

كيف هزم إعداد توقيع واحد حماية التوقيع المتعدد

جوهر هذا الكارثة يكمن في خطأ تكويني حاسم: تم إعداد المحفظة كتوقيع “1 من 1” بدلاً من ترتيب توقيع متعدد حقيقي. بينما تم تصميم المحافظ متعددة التوقيعات على أساس أن موافقات متعددة مطلوبة لتنفيذ المعاملات، فإن هذا التكوين الخاص كان يتطلب توقيعًا واحدًا فقط—مما ألغى تمامًا فائدة الأمان. عندما تم اختراق المفتاح الخاص، سواء عبر التصيد الاحتيالي، البرمجيات الخبيثة، أو غيرها من الوسائل، لم يكن هناك عوائق أمام المهاجم لنقل الأموال.

ما يجعل هذا الضعف أكثر إثارة للقلق هو أنه لم يكن خللاً في تقنية المحفظة نفسها، بل كان خطأ تشغيليًا أساسيًا في النشر. فهم الضحية لمتطلبات التوقيع المتعدد حولها إلى بنية آمنة إلى نقطة فشل واحدة. يؤكد خبراء الأمن أن الحماية الحقيقية بالتوقيع المتعدد تتطلب على الأقل تكوين 2 من 3 أو 3 من 5، مع توزيع المفاتيح الخاصة عبر أجهزة متعددة ومعزولة يسيطر عليها أطراف مختلفة.

تتبع 12.6 مليون دولار من ETH عبر خدمات الخلط

بمجرد أن حصل المهاجم على الوصول، بدأ على الفور في نقل الأصول المسروقة عبر Tornado Cash، وهي خدمة تحويل العملات المشفرة المصممة لإخفاء مسارات المعاملات. أظهر التحليل الجنائي لـ PeckShield أن حوالي 4100 ETH (بقيمة حوالي 12.6 مليون دولار وفقًا لأسعار نوفمبر) تم تمريرها عبر خدمة الخلط في معاملات مجزأة.

بالإضافة إلى إيثريوم، سرق الهاكر عدة رموز مخزنة في المحفظة: WETH (إيثريوم المغلف)، OKB (يتداول حاليًا عند 86.12 دولار)، LEO (يتداول بالقرب من 8.69 دولارات)، وFET (تحالف الذكاء الاصطناعي الفائق، حوالي 0.18 دولار). كما احتفظ المهاجم بحوالي 2 مليون دولار من العملات المستقرة وأصول سائلة أخرى. عند الجمع مع ممتلكات أخرى ربما تم نقلها بشكل منفصل، يقدر خبراء التحليل الجنائي أن إجمالي السرقة قد يتجاوز 40 مليون دولار، مما يجعلها واحدة من أكبر خروقات المحافظ في تاريخ DeFi الحديث.

استخدام Tornado Cash يمثل محاولة متعمدة لكسر شفافية البلوكتشين. على الرغم من أنه ليس محصنًا تمامًا—حيث يمكن لمحللي البلوكتشين التعرف على أنماط مشبوهة—إلا أن خدمة الخلط تنجح في تعقيد تتبع الأموال بشكل كبير وتعيق جهود استرداد القانون.

مركز إقراض Aave يخلق خطر تسلسل التصفية

في وقت الاختراق، كان الضحية قد نشر ممتلكاته من العملات المشفرة عبر منصة Aave، وهي منصة لامركزية رائدة في التمويل اللامركزي. كانت المحفظة المخترقة قد قدمت حوالي 25 مليون دولار من إيثريوم كضمان، اقترض على إثره حوالي 12.3 مليون دولار من عملة DAI المستقرة (التي تحافظ حاليًا على ربطها بالدولار عند 1.00).

هذا المركز الممول يضيف خطرًا ثانويًا خطيرًا. عامل الصحة الحالي للمحفظة—مقياس يقيس مدى قرب المركز من التصفية القسرية—يقف عند 1.68. وهو قريب بشكل مقلق من حد التصفية عند 1.0. إذا شهد سعر إيثريوم انخفاضًا كبيرًا، فإن المركز سيفعل تلقائيًا، مما يجبر على بيع الضمان بأسعار قد تكون غير مواتية. هذا لا يسبب مشكلة للضحية فحسب، بل يمثل خطرًا نظاميًا للسوق الأوسع، حيث أن التصفية القسرية تخلق ضغط بيع يمكن أن يتسلسل عبر مراكز العملات المشفرة الأخرى.

دروس في أمان محافظ العملات المشفرة

تؤكد الهجمة على عدة إخفاقات أمنية حاسمة يجب على مستخدمي العملات المشفرة تجنبها:

وسائل اختراق المفاتيح الخاصة: من المحتمل أن يكون الاختراق الأول ناتجًا عن برمجيات خبيثة على جهاز الضحية، هجوم تصيد يستهدف بيانات اعتمادهم، أو ممارسات أمنية تشغيلية ضعيفة. يستخدم المهاجمون بشكل متزايد الهندسة الاجتماعية المتطورة لاستهداف الأفراد ذوي الثروات العالية في مجال العملات المشفرة.

التوقيع غير المتصل والمحافظ الصلبة: يوصي خبراء الأمن بشدة بأن يستخدم المستخدمون الذين يديرون ممتلكات كبيرة من العملات المشفرة محافظ أجهزة أو أجهزة توقيع غير متصلة بالإنترنت. هذه تحافظ على المفاتيح الخاصة معزولة تمامًا عن الأنظمة المتصلة بالإنترنت التي تعمل فيها البرمجيات الخبيثة والتصيد الاحتيالي.

تطبيق التوقيع المتعدد الحقيقي: يتطلب محفظ التوقيع المتعدد بشكل صحيح:

• حد أدنى 2 من 3 أو 3 من 5 توقيعات
• تخزين المفاتيح الخاصة على أجهزة مادية منفصلة
• إدارة المفاتيح بواسطة أطراف مختلفة (أو نفس الشخص عبر مواقع جغرافية متنوعة)
• تدقيقات أمنية منتظمة لإعداد وتكوين المحفظة

التحقق خارج واجهة المستخدم: يجب على المستخدمين التحقق من تفاصيل المعاملة على مستوى الأجهزة، وليس فقط عبر واجهة المستخدم، التي قد تكون مخترقة أو مزورة.

هذه السرقة التي بلغت 27 مليون دولار تعتبر درسًا مكلفًا للمجتمع بأكمله في مجال العملات المشفرة: حتى الممارسات الأمنية المعتمدة مثل المحافظ متعددة التوقيعات توفر فقط إطار الأمان الذي صممت من أجله. إن محفظة غير مكونة بشكل صحيح لا توفر حماية أكثر من إعداد توقيع واحد، ويمكن أن تكون العواقب مدمرة. لأي شخص يدير أصول عملات مشفرة كبيرة، تؤكد هذه الحادثة على أن البنية التحتية الأمنية الاحترافية ليست اختيارية—بل ضرورية.