سوق التمويل اللامركزي (DeFi) ما زال ينزف، وآخر ضحاياه هو بروتوكول “واسابي” (Wasabi Protocol).
ما الذي حدث لبروتوكول واسابي؟
تعرض بروتوكول “واسابي”، وهو منصة لتداول العقود الدائمة مبنية على شبكتي إيثيريوم (Ethereum) وقاعدة (Base)، لعملية سحب غير مصرح بها تبلغ قيمتها حوالي 4.55 مليون دولار يوم الخميس. وذكرت شركة الأمن بلوك إيد (Blockaid) في منشور على منصة إكس أن المهاجمين تمكنوا من اختراق المفتاح الخاص بنشر البروتوكول.
كيف تمت عملية الاختراق؟
الاختراق الحالي هو الأحدث في شهر شهد خسائر في قطاع التمويل اللامركزي تجاوزت 605 ملايين دولار عبر 12 حادثة على الأقل.
تفاصيل العملية كالتالي:
- كان هناك محفظة خارجية تسمى “wasabideployer.eth” تملك صلاحية “الدور الإداري” الوحيد في نظام البروتوكول.
- المحفظة الخارجية هي محفظة يتحكم فيها مفتاح خاص، وليس عقد ذكي. وأي شخص يملك المفتاح يتحكم في المحفظة.
- بمجرد حصول المهاجم على مفتاح النشر، قام باستدعاء وظيفة “grantRole” على عقد الصلاحيات لمنح نفسه صلاحيات إدارية كاملة دون أي تأخير.
- بعدها، قام العقد المساعد للمهاجم بترقية خزائن العقود الدائمة (perp vaults) وخزينة (LongPool) الخاصة بواسابي إلى إصدارات ضارة، مما سمح له بسحب الأرصدة.
ما هي الثغرة المستغلة؟
اعتمد الاختراق على نمط قابلية الترقية UUPS، وهو نمط يسمح للعقد الذكي بتغيير الكود الأساسي الخاص به مع الحفاظ على نفس العنوان. هذا النمط يستخدم على نطاق واسع لأنه يتيح للمطورين إصلاح الأخطاء دون الحاجة لنقل المستخدمين.
المشكلة أن هذا يعني أيضًا أنه إذا تمكن المهاجم من السيطرة على الصلاحيات الإدارية، يمكنه استبدال منطق العقد بأي شيء يريده، بما في ذلك كود مصمم لسرقة الأموال.
ما هو الخطأ في إعدادات الأمان؟
قالت شركة بلوك إيد أن بروتوكول واسابي لم يكن لديه أي حماية مثل “القفل الزمني” (Timelock) أو “التوقيع المتعدد” (Multisig). القفل الزمني يجبر على وجود تأخير بين الإعلان عن إجراء إداري وتنفيذه، مما يمنح المستخدمين وقتًا للرد. أما التوقيع المتعدد فيتطلب موافقة عدة أشخاص لتطبيق أي تغيير. وكان واسابي يفتقد لكليهما، تاركًا مفتاحًا واحدًا يتحكم بشكل كامل في البروتوكول.
ما هي الخزائن التي تضررت؟
وفقًا لبلوك إيد، شملت العقود المخترقة خزائن wWETH وsUSDC وwBITCOIN وwPEPE وLong Pool على شبكة إيثيريوم، بالإضافة إلى خزائن sUSDC وwWETH وsBTC وsVIRTUAL وsAERO وsBRETT على شبكة قاعدة.
تم حث المستخدمين الذين يحملون رموز السيولة (LP tokens) الخاصة بواسابي على إلغاء أي موافقات نشطة على عقود الخزائن، لأن الأصول الأساسية التي تدعم تلك الرموز إما تم سحبها أو لا تزال معرضة للخطر.
هل هذه الحادثة فريدة من نوعها؟
هجوم واسابي يشبه إلى حد كبير اختراق بروتوكول دريفت (Drift Protocol) في 1 أبريل، حيث استخدم مهاجمون مرتبطون بكوريا الشمالية مفتاحًا إداريًا مخترقًا لسحب 285 مليون دولار من منصة العقود الدائمة على شبكة سولانا.
في تلك الحالة أيضًا، استغل المهاجمون إعداد إداري بمفتاح واحد بدون قفل زمني، حيث أدرجوا رمزًا مزيفًا كضمان ورفعوا حدود السحب لسحب الأصول الحقيقية في حوالي 12 دقيقة.
بعد ثلاثة أسابيع، في 19 أبريل، خسر بروتوكول كيلب داو (Kelp DAO) 292 مليون دولار عندما استغل مهاجم تكوينًا بمدقق واحد في جسر LayerZero الخاص بالبروتوكول، مما أدى إلى إصدار 116,500 وحدة من rsETH غير المدعومة، والتي استخدمت بعد ذلك كضمان لاقتراض إيثيريوم حقيقي من منصة Aave.
ما هو حجم الخسائر الإجمالي؟
تجاوز إجمالي خسائر التمويل اللامركزي لعام 2026 الآن 770 مليون دولار عبر أكثر من 30 حادثة تم الإبلاغ عنها. شهر أبريل وحده يمثل الجزء الأكبر من هذا الرقم.
الاختراقات الأصغر هذا الشهر شملت منصات مثل:
- كاو سواب (CoW Swap) – 1.2 مليون دولار
- غرينكس (Grinex) – 13.74 مليون دولار
- ريسولف لابز (Resolv Labs) – 23 مليون دولار
- فولو بروتوكول (Volo Protocol) – 3.5 مليون دولار
ما يجمع هذه الحوادث ليس وجود ثغرات جديدة. كل حادثة تنتج نفس اللغة في التقارير النهائية عن “الدروس المستفادة”، ولكن الاختراق التالي عادة ما يصل قبل تنفيذ تلك الدروس.
لم يصدر بروتوكول واسابي أي بيان عام حول الحادثة حتى الآن.
أسئلة شائعة
ما هو بروتوكول واسابي؟
بروتوكول واسابي هو منصة تداول للعقود الدائمة (Perpetuals) مبنية على شبكتي إيثيريوم وقاعدة، تسمح للمستخدمين بالتداول برافعة مالية.
كيف تمكن المخترق من سرقة الأموال؟
تمكن المخترق من اختراق المفتاح الخاص بالمحفظة التي تملك صلاحيات إدارية كاملة في البروتوكول، ثم استخدم هذه الصلاحيات لترقية عقود الخزائن إلى نسخ ضارة تسمح له بسحب جميع الأموال.
كيف يمكن للمستخدمين حماية أنفسهم من مثل هذه الاختراقات؟
يجب على المستخدمين دائمًا إلغاء الموافقات النشطة على العقود التي لا يثقون بها، والبحث عن البروتوكولات التي تستخدم أنظمة أمان متعددة مثل القفل الزمني والتوقيع المتعدد لحماية أموالهم، بالإضافة إلى متابعة التحذيرات الأمنية من شركات مثل بلوك إيد.
