تحقيق اختراق بروتوكول إيكو: استغلال 76 مليون دولار الذي لم يكن اختراقًا حقيقيًا

في عام 2026، تجاوزت خسائر التمويل اللامركزي (DeFi) مليار دولار في أربعة أشهر فقط، وكان شهر أبريل هو الأسوأ في التاريخ مسجلاً خسائر بقيمة 634 مليون دولار عبر أكثر من 28 حادثة. بروتوكولا Drift (285 مليون دولار) وKelpDAO (292 مليون دولار) تسببا وحدهما في 577 مليون دولار من خسائر أبريل، ولم يكن أي منهما بسبب استغلال ثغرة في الكود.

تحليل DefiLlama لاختراقات 2026 يروي القصة نفسها. الشرائح الأكبر هي: استغلال جسور LayerZero (18%)، مفاتيح الإدارة المخترقة (16%)، الرموز المزيفة (14%)، واختراق المفاتيح الخاصة (11%). معًا، تشكل الإخفاقات التشغيلية وإدارة المفاتيح غالبية القيمة المسروقة هذا العام. الثغرات في العقود الذكية مثل إعادة الدخول والتلاعب بـ “أوراكل” بالكاد تُذكر.

بروتوكول Echo أصبح أحدث مثال على ذلك. في 18 مايو، تمكن مهاجم من اختراق بروتوكول Echo على شبكة Monad وصنع 1000 رمز eBTC مزيف. قيمتها الاسمية 76.7 مليون دولار. المشكلة أن الرموز المزيفة لا تشتري لك شيئًا إلا إذا تمكنت من استبدالها بشيء حقيقي. لذا أخذ المهاجم جزءًا صغيرًا منها، وأودعها كضمان في تطبيق الإقراض Curvance، واقترض عملات بيتكوين حقيقية مقابلها. ثم قام بنقل هذه البيتكوين إلى شبكة إيثريوم، واستبدلها بـ ETH، وأرسلها عبر Tornado Cash. المحصلة النهائية: حوالي 816 ألف دولار.

الجميع يتحدث عن 76.7 مليون دولار، لكن الرقم الحقيقي هو 816 ألف دولار، والفارق الكبير بين الرقمين هو القصة الحقيقية هنا. هذا التحليل يشرح ما حدث، وكيف حدث، وماذا يعني لأمن التمويل اللامركزي (DeFi) الآن. الخلاصة: العقد نفسه كان سليمًا. مفتاح إدارة مسروق وضوابط غير صارمة هما ما تسببا في كل شيء آخر، وهذه هي الطريقة التي تحدث بها معظم خسائر DeFi في عام 2026.

تحليل ما بعد الحادثة (ملخص)

إليك التحليل الكامل لما حدث وكيف حدث:

الأطراف المعنية

• Echo Protocol: مشروع بيتكوين مموّل لامركزي (BTCFi). فكرته: خذ عملات البيتكوين الخاصة بك واحصل على نسخة مغلفة تدر عوائد وتعمل في DeFi. قاعدته الرئيسية هي Aptos، حيث يسمى الرمز aBTC. وصل إلى ذروة قيمة إجمالية محجوزة (TVL) بلغت 878 مليون دولار على Aptos في مايو 2025، وهي الآن حوالي 254 مليون دولار. توسع Echo إلى Monad كجزء من حملة شبكة Monad. على Monad، يسمى رمز البيتكوين المغلف eBTC. من المهم معرفة: aBTC و eBTC أصول منفصلة تمامًا ولا يمكن ربطها. إنهما نشران متوازيان غير متصلين. الاختراق أصاب eBTC على Monad فقط.
• Monad: شبكة جديدة عالية الأداء من الطبقة الأولى (L1) متوافقة مع EVM. واحدة من السلاسل التي حظيت باهتمام كبير في 2025-2026. تم إطلاق شبكتها الرئيسية مؤخرًا، والعديد من البروتوكولات الجديدة تنشر عليها. Echo واحد منها. Monad نفسها لم يتم اختراقها بأي شكل من الأشكال. أكد المؤسس المشارك أن الشبكة عملت بشكل طبيعي طوال الوقت. كان الفشل على مستوى البروتوكول أعلى Monad.
• Curvance: بروتوكول إقراض منشور على Monad. يعمل مثل Aave ولكن بأسواق معزولة، حيث يوجد كل أصل ضمان في مجمع منفصل خاص به بحيث لا يمكن للأصل المخترق أن يؤثر على باقي البروتوكول. كانوا قد أضافوا eBTC كأصل ضمان.
• Tornado Cash: أداة خلط لـ ETH محظورة. ترسل ETH وتستقبل ETH من محفظة مختلفة، مما يكسر أثر المعاملات على السلسلة. أداة خروج قياسية للمتسللين.

ما الذي تم استغلاله بالضبط؟

رمز eBTC الخاص بـ Echo على Monad هو عقد ERC-20 قياسي يستخدم نظام التحكم في الوصول القائم على الأدوار (Role-Based Access Control) من OpenZeppelin. هذا هو المعيار الصناعي المستخدم في كل مشروع DeFi جاد تقريبًا. هناك دورين مهمين في إعداده:

• MINTER_ROLE: يسمح بإنشاء رموز جديدة.
• DEFAULT_ADMIN_ROLE: يمكنه إعطاء أو سحب الأدوار، بما في ذلك دور MINTER_ROLE.

عادةً، فقط فريق Echo يمتلك هذه الأدوار. يتم إنشاء الرموز فقط عندما يتم حجز BTC حقيقي في مكان ما، ويقوم الفريق بإنشاء eBTC المقابل. هذا هو نموذج الثقة الكامل وراء أي رمز مغلف. هنا أخطأ Echo. دور DEFAULT_ADMIN_ROLE كان موجودًا في محفظة EOA واحدة (حساب مملوك من قبل مالك واحد)، وهي مجرد محفظة عادية بمفتاح خاص واحد خلفها. ولم يكن للمحفظة أي شبكات أمان. أي شخص يمتلك هذا المفتاح يمكنه إنشاء أي عدد يريده من الرموز، في أي وقت، دون أي عائق.

إذن، نظام Echo البيئي بأكمله الذي تزيد قيمته عن 254 مليون دولار على Monad كان، من الناحية الأمنية، خلف مفتاح خاص واحد. تمت سرقة هذا المفتاح. لم يقل أحد كيف حتى الآن. قد يكون تصيدًا احتياليًا، أو برمجيات خبيثة على كمبيوتر أحد أعضاء الفريق، أو خرقًا في البنية التحتية، أو عاملًا من الداخل، أو أسرارًا تم تسريبها في مستودع برمجي، أو هجومًا على سلسلة التوريد من خلال أداة مطور. Echo لم يفصح عن ذلك.

هجوم خطوة بخطوة

التاريخ: 18 مايو 2026، حوالي الساعة 5:55 مساءً بتوقيت شرق الولايات المتحدة.

• استخدم المهاجم المفتاح المسروق للدخول إلى عقد eBTC كمسؤول.
• منح نفسه دور MINTER_ROLE (أو استخدم الصلاحية مباشرة من دور المسؤول).
• استدعى دالة mint لإنشاء 1,000 رمز eBTC من العدم وأرسلها إلى محفظته.

في هذه المرحلة، تم كسر الارتباط (Peg) رياضيًا. هناك 1,000 رمز eBTC أكثر من قيمة البيتكوين الداعمة لها. لكن المهاجم لم يأخذ أي شيء حقيقي بعد. الرموز المزيفة لا قيمة لها ما لم يتم تحويلها إلى أموال حقيقية.

مسار السحب النقدي

لا يمكن ببساطة بيع 1,000 eBTC مزيفة في بورصة لامركزية (DEX). بورصات Monad اللامركزية لا تمتلك سيولة كافية لذلك. سينهار السعر إلى الصفر قبل سحب أي شيء، وسيلاحظ المتداولون المراجحون (Arbitrageurs) ذلك فورًا. لذا، توجه المهاجم إلى سوق الإقراض بدلاً من ذلك.

• استخدم المهاجم محفظته التي تحتوي على eBTC لإيداع جزء منها كضمان في Curvance. قام Curvance بقبول eBTC كأصل ضمان بناءً على سعره المقدر بحوالي 76,700 دولار لكل رمز.
• بناءً على هذا الضمان المتضخم، اقترض المهاجم قدر استطاعته من البيتكوين الحقيقي المغلف (على الأرجح wBTC أو ما شابه). بلغ الحد الأقصى للمبلغ الذي يمكن اقتراضه حوالي 816,000 دولار بسبب حجم مجمع الإقراض المحدود في Curvance.
• قام المهاجم بعد ذلك بنقل هذه البيتكوين المقترضة عبر جسر إلى إيثريوم.
• على إيثريوم، استبدل البيتكوين بعملة ETH.
• أخيرًا، أرسل ETH عبر Tornado Cash لكسر أثر المعاملة.

المبلغ الإجمالي الحقيقي المسحوب: حوالي 816,000 دولار.

كيف رد Echo؟

في غضون ساعات من الإعلان عن الاختراق، استعاد Echo مفتاح المسؤول، وأحرق 955 eBTC التي كانت لا تزال في محفظة المهاجم (والتي لم تعد موجودة)، وأوقف جميع الوظائف عبر السلاسل على Monad. كما أوقفوا جسر Aptos والإقراض على Aptos كإجراء احترازي، رغم أن Aptos كان سليمًا. قاموا بتحديث العقد على Monad لتقييد العمليات المتأثرة، وقالوا إنهم سيصلحون نشر جسور EVM الأخرى أيضًا. أوقف Curvance سوق eBTC، وأكد أن عقودهم سليمة، وأن تصميم السوق المعزول منع الضرر من الانتشار إلى مجمعات الإقراض الأخرى. أكد Keone من Monad أن الشبكة لم تمس، وقدر الخسارة الفعلية بحوالي 816 ألف دولار.

التحليل والأسباب

الفجوة بين 76.7 مليون دولار و 816 ألف دولار هي القصة بأكملها. كان Curvance هو المخرج الوحيد الممكن، وحدود سيولته حددت الاقتراض بحوالي 868 ألف دولار. الـ 955 eBTC الأخرى لم يكن لديها مكان تذهب إليه حتى أحرقها Echo. سيولة Monad الضئيلة أنقذت Echo من خسارة أكبر بكثير. على إيثريوم، كانت الخسارة ستقترب من 76 مليون دولار.

لماذا يعتبر هذا اختراقًا تشغيليًا وليس اختراقًا للعقد الذكي؟

الكود لم يكن المشكلة. لقد عمل كما يفترض به. المشكلة الحقيقية كانت كيفية إعداد Echo للأمور حول العقد:

• استخدام محفظة EOA واحدة كمسؤول (بدلاً من محفظة متعددة التوقيعات (Multisig)).
• غياب أي تأخير زمني (Timelock) على الإجراءات الحساسة مثل الإنشاء.
• غياب حد أقصى لإنشاء الرموز (Mint Cap).
• غياب فحص أو تحقق من الإمداد في سوق الإقراض (يجب على Curvance التحقق من مصدر الأصل الجديد).

لا شيء من هذه الإصلاحات غامض أو تجريبي. المحافظ متعددة التوقيعات (Multisigs)، التأخير الزمني (Timelocks)، حدود الإنشاء (Mint Caps)، وفحوصات الإمداد هي أشياء ترسلها بروتوكولات DeFi الجادة منذ سنوات. إيكو فقط لم يكلف نفسه عناء استخدام أي منها.

مايو 2026 يبدو هكذا: إيكو هو الاختراق الرابع عشر هذا الشهر. السياق الأوسع: حوالي 328.6 مليون دولار فقدت بسبب اختراقات الجسور في 2026 عبر 8 حوادث. لم يكن أي منها بسبب أخطاء في لغة Solidity. المفاتيح، الموقعون، نقاط نهاية RPC، المحققون خارج السلسلة (off-chain verifiers)، هذا هو المكان الذي تخرج منه الأموال الآن. المهاجمون صعدوا في الهرم التقني. قال Ondo Finance بصراحة في تحليله بعد الحادثة: “لا توجد فئة واحدة من نقاط الضعف يمكن الدفاع ضدها”. هذا هو الجزء الذي لا تزال معظم البروتوكولات لم تستوعبه بعد.

لذا، عندما تم استنزاف Echo من خلال مفتاح مسؤول مسروق، لم يحدث ذلك في فراغ. لقد حدث خلال أكثر بيئة تهديد عدائية شهدها DeFi على الإطلاق، وكان البروتوكول مهيأً كما لو كان لا يزال عام 2022.

إذن ماذا يعني هذا؟

قضى DeFi السنوات الخمس الماضية في التحسن في أمن العقود الذكية: التدقيقات، مكافآت اكتشاف الثغرات، التحقق الرسمي، كل ذلك. لذا توقف المهاجمون عن استهداف الكود وبدأوا في استهداف كل شيء آخر: المفاتيح، البنية التحتية، الموظفون، الموقعون. لا شيء من ذلك يُدقق.

لأي بروتوكول بيتكوين مغلف، السؤال الأمني الوحيد المهم حقًا هو: من يمكنه إنشاء الرموز، وكم هي صعوبة أن يأخذ شخص ما هذه الصلاحية منهم؟ إذا كانت الإجابة “محفظة متعددة التوقيعات مع تأخير زمني، وحد أقصى للإنشاء، وسوق إقراض يتحقق من مصدر الضمان الجديد”، فلديك بروتوكول حقيقي. إذا كانت الإجابة “محفظة واحدة بمفتاح واحد”، فلديك 254 مليون دولار تنتظر من يأخذها. إيكو كان من النوع الثاني.

الضرر لا يبقى في مكان واحد أيضًا. Aave لم يتم اختراقه في أبريل، لكنه خسرب 5.4 مليار دولار من إجمالي القيمة المحجوزة (TVL) في غضون 48 ساعة من اختراق KelpDAO على أي حال. الناس فقط ذعروا وسحبوا أموالهم من كل شيء. هذا ما يحدث الآن. بروتوكول واحد يتعرض للضرب، والقطاع بأكمله يعاد تقييمه.

الإصلاحات ليست جديدة. لقد كانت موجودة منذ سنوات. استخدم محفظة متعددة التوقيعات للمسؤول، أضف تأخيرًا زمنيًا للتغييرات، ضع حدًا أقصى للإمداد، وتحقق من الضمان. المشكلة فقط أن لا شيء من هذا يجعل البروتوكول أكثر تنافسية من ناحية الواجهة الأمامية، لذا لا أحد يطبقه حتى يصبح هو الخبر التالي. إيكو نجا بسهولة لأن سيولة Monad كانت ضعيفة جدًا لدرجة أن المهاجم لم يستطع سحب كل الأموال. البروتوكول التالي على الأرجح لن يكون لديه هذا العذر.

الأسئلة الشائعة (FAQ)

س1: ما هو المبلغ الحقيقي الذي سُرق من بروتوكول Echo؟
المبلغ الفعلي الذي تمكن المهاجم من تحويله إلى أموال حقيقية هو حوالي 816,000 دولار. الرقم الآخر (76.7 مليون دولار) هو القيمة الاسمية للرموز المزيفة التي تم إنشاؤها، لكن المهاجم لم يتمكن من تحويلها كلها إلى نقد حقيقي بسبب محدودية السيولة في Monad.

س2: لماذا تعتبر هذه الحادثة “اختراقًا تشغيليًا” وليس اختراقًا للعقد الذكي؟
لأن العقد الذكي نفسه كان يعمل بشكل صحيح ولم يتم استغلال ثغرة في الكود البرمجي. المشكلة كانت في الإجراءات الأمنية المحيطة بالعقد، وعلى رأسها استخدام محفظة واحدة (EOA) بمفتاح خاص واحد للتحكم الكامل بصلاحية إنشاء رموز جديدة، دون أي طبقات أمان إضافية مثل المحافظ متعددة التوقيعات أو التأخير الزمني.

س3: ما هو الدرس الأهم الذي يجب أن تتعلمه بروتوكولات DeFi من هذا الاختراق؟
الدرس هو أن أمن DeFi الحديث لا يقتصر فقط على كتابة كود سليم خالٍ من الثغرات. يجب على البروتوكولات تأمين العمليات والمفاتيح والبنية التحتية بنفس القدر من الاهتمام. يجب استخدام محافظ متعددة التوقيعات (Multisigs)، وتأخير زمني (Timelocks) للإجراءات الحساسة مثل إنشاء الرموز، ووضع حدود قصوى للإمداد، والتحقق من مصدر الأصول الجديدة في أسواق الإقراض. الهجمات الآن تستهدف الطبقة التشغيلية وليس الكود نفسه.