تقرير: 36.7 مليون دولار خسائر اختراقات التمويل اللامركزي في 6 أشهر بمساعدة الذكاء الاصطناعي
وفقًا لتقرير جديد من شركة تحليل البلوكشين “Chainalysis” (تشيناليسيس)، فقدت بروتوكولات التمويل اللامركزي (DeFi) ما لا يقل عن 36.7 مليون دولار خلال الأشهر الستة الماضية بسبب هجمات استهدفت عقودًا ذكية غير موثقة. وتُظهر النتائج، التي نقلتها “Cointelegraph” (كوينتيليغراف)، اتجاهًا متزايدًا حيث يركز المهاجمون على البروتوكولات ذات الكود المصدري غير المنشور، وغالبًا ما يستغلون ثغرات موجودة منذ سنوات.
أكبر حادثة منفردة: اختراق Truebit (تروبيت)
أكبر اختراق كان لبروتوكول “Truebit” (تروبيت)، المصمم للتحقق من المهام الحاسوبية على شبكة إيثريوم. تمكن أحد المهاجمين من استغلال ثغرة في عقد ذكي غير موثق كان موجودًا على إيثريوم منذ عام 2021، وسرق 26.2 مليون دولار. تمثل هذه الحادثة الواحدة أكثر من 70% من إجمالي الخسائر المبلغ عنها في فترة الستة أشهر. وتشمل البروتوكولات الأخرى المتضررة “Trusted Volumes” (تراستد فوليومز) و”Aperture Finance” (أبيرتشر فاينانس) و”Ekubo” (إيكوبو)، لكن التفاصيل حول خسائرها الفردية لا تزال محدودة.
الذكاء الاصطناعي وأدوات فك الترجمة: عصر جديد من الاستغلال
أشارت “تشيناليسيس” إلى أن التطورات الحديثة في أدوات فك الترجمة (Decompilers) والذكاء الاصطناعي تجعل هذه الاختراقات أسهل بكثير في التنفيذ. فالعقود الذكية التي كانت تتطلب في السابق أيامًا من التحليل اليدوي من قبل خبراء أمن متخصصين، يمكن الآن تحليلها واستغلالها على نطاق واسع باستخدام أدوات تعمل بالذكاء الاصطناعي. هذا يخفض حاجز الدخول أمام الجهات الخبيثة ويزيد من تكرار الهجمات على الكود غير المدقق أو غير الموثق.
لماذا العقود الذكية غير الموثقة هي هدف رئيسي؟
العقود الذكية غير الموثقة تفتقر إلى الكود المصدري المنشور للعموم على متصفحات البلوكشين مثل “Etherscan” (إيثرسكان). كان هذا الغموض يُعتبر في السابق إجراءً أمنيًا بسيطًا، لكن التقرير يشير إلى أنه الآن يجعل البروتوكولات هدفًا رئيسيًا. يستخدم المخترقون أدوات فك الترجمة لعكس هندسة البايت كود وتحديد نقاط الضعف وشن الهجمات. تؤكد بيانات “تشيناليسيس” أن الشفافية في كود العقد الذكي أصبحت مطلبًا أمنيًا بالغ الأهمية، وليس مجرد ممارسة جيدة.
الآثار المترتبة على نظام التمويل اللامركزي (DeFi)
تأتي هذه النتائج في وقت يتعرض فيه قطاع التمويل اللامركزي بالفعل لتدقيق أمني وتنظيمي مكثف. بالنسبة للمستخدمين، يعتبر التقرير بمثابة تحذير للتحقق من أن البروتوكولات التي يتعاملون معها لديها عقود ذكية مفتوحة المصدر وخاضعة للتدقيق. بالنسبة للمطورين، فإنه يسلط الضوء على الحاجة الماسة إلى عمليات تدقيق أمني شاملة والتحقق من الكود قبل النشر. كما أن استخدام المهاجمين للذكاء الاصطناعي يشير إلى أن فرق الأمن يجب أن تتبنى أدوات متقدمة بنفس القدر للكشف عن التهديدات وتقييم الثغرات.
خلاصة
يرسم تقرير “تشيناليسيس” صورة واضحة: صناعة التمويل اللامركزي تواجه موجة جديدة من الهجمات المتطورة التي يدعمها الذكاء الاصطناعي وتستهدف الكود غير الموثق. مع خسارة 36.7 مليون دولار في ستة أشهر فقط، واحتلال حادثة “تروبيت” وحدها الجزء الأكبر من هذه الخسائر، فإن الرسالة واضحة لا لبس فيها. الشفافية والتدقيق الصارم وإجراءات الأمن الاستباقية لم تعد خيارًا، بل أصبحت ضرورية لبقاء وموثوقية منصات التمويل اللامركزي.
الأسئلة الشائعة (FAQ)
س1: ما هو العقد الذكي غير الموثق؟
ج: العقد الذكي غير الموثق هو عقد لم يتم نشر كوده المصدري على متصفح بلوكشين مثل “إيثرسكان”. هذا يجعل من الصعب على المستخدمين وخبراء الأمن مراجعة الكود بحثًا عن الثغرات.
س2: كيف يُستخدم الذكاء الاصطناعي لاختراق العقود الذكية؟
ج: يستخدم المهاجمون أدوات فك ترجمة مدعومة بالذكاء الاصطناعي لعكس هندسة البايت كود للعقود الذكية غير الموثقة، وتحديد عيوب الأمان، وأتمتة عملية الاستغلال على نطاق واسع.
س3: ماذا يمكن لمستخدمي التمويل اللامركزي فعله لحماية أنفسهم؟
ج: يجب على المستخدمين التعامل فقط مع البروتوكولات التي لديها كود عقد ذكي موثق ومتاح للعموم، وخضعت لعمليات تدقيق أمني مستقلة. يُنصح أيضًا بالتحقق من تقارير التدقيق الحديثة وملاحظات المجتمع.
