وفقًا لشركة “تشيناليسيس” (Chainalysis)، تسببت عقود ذكية غير موثقة في خسائر لا تقل عن 36.7 مليون دولار أمريكي خلال أربع هجمات على تطبيقات التمويل اللامركزي (DeFi) على مدار الأشهر الستة الماضية. ويهاجم المخترقون بشكل متزايد البروتوكولات التي لا يتوفر كودها المصدر للجمهور.
أكبر الحوادث ومصدر الخطر
كانت أكبر حادثة هي هجوم “تروبيت” (Truebit)، الذي فقد فيه 26.2 مليون دولار بعد أن استغل المخترق ثغرة في حساب الأعداد الصحيحة داخل عقد ذكي لم يتم توثيقه على شبكة إيثريوم منذ عام 2021. وتضمنت الحوادث الأخرى بروتوكولات “تراستيد فوليومز” (Trusted Volumes) و”أبيرتور فاينانس” (Aperture Finance) و”إيكوبو” (Ekubo).
في كل حالة، لم يكن العقد الذكي المُستغل موثقًا على متصفح البلوكشين، مما يعني أن كوده المصدر لم يكن متاحًا للجمهور للمراجعة. ووفقًا لـ “تشيناليسيس”، فإن هذا الأمر قلص من فرص مراجعة خبراء الأمن، واستبعد هذه العقود من العديد من برامج مكافأة اكتشاف الأخطاء (bug bounty) رغم أنها تتحكم في أموال المستخدمين.
لماذا يزداد الخطر الآن؟
تشرح “تشيناليسيس” أن هذا الاتجاه يعود جزئيًا إلى التقدم في أدوات فك التشفير والذكاء الاصطناعي، والتي تساعد المخترقين على هندسة الكود الثنائي للعقد الذكي بشكل عكسي وتحديد نقاط الضعف حتى لو لم يكن الكود المصدر متاحًا. ما كان يتطلب في السابق “مهندس عكسي ماهر يعمل لأيام على عقد واحد” يمكن الآن تنفيذه بشكل شبه آلي على أعداد كبيرة من العقود غير الموثقة.
يكشف التقرير عن خطأ شائع في عالم التمويل اللامركزي، وهو الاعتقاد بأن إبقاء كود العقد الذكي سريًا يوفر طبقة أمان إضافية. وتقول “تشيناليسيس” إن البروتوكولات التي تعتمد على الكود المخفي تعتمد بشكل متزايد على “الغموض كإجراء أمني”، وهو نهج بدأ يفقد فعاليته بسرعة.
مخاوف أمنية مستمرة بعد خسائر أبريل القياسية
يأتي هذا التقرير في وقت تشهد فيه عمليات الاختراق في عالم العملات الرقمية ارتفاعًا عامًا. وفقًا لمنصة “دي فاي لاما” (DeFiLlama)، سرق المخترقون 629.7 مليون دولار في شهر أبريل وحده، وهو أعلى رقم شهري منذ فبراير 2025.
- حادثتا اختراق هما السبب في معظم الخسائر: بروتوكول “كيلب دي إيه أو” (KelpDAO) فقد 293 مليون دولار، وبروتوكول “دريفت” (Drift Protocol) فقد 280 مليون دولار. وتشكل هاتان الحادثتان أكثر من 80% من الأموال المسروقة في ذلك الشهر.
- على الرغم من أن الخسائر انخفضت بشكل حاد في مايو، حيث سرق قراصنة 68.3 مليون دولار فقط وفقًا لشركة “سيرتيك” (CertiK)، إلا أن تداعيات هجمات أبريل الكبيرة استمرت. في يونيو، أبلغت منصة “أركهام” (Arkham) أن المخترق وراء هجوم “كيلب دي إيه أو” قام بغسل كل الأموال المسروقة تقريبًا (حوالي 220 مليون دولار) التي لم يتم تجميدها.
- دفع اختراق “كيلب دي إيه أو” العديد من بروتوكولات التمويل اللامركزي لمراجعة بنيتها الأمنية. وأعلنت مشاريع مثل “سولف بروتوكول” (Solv Protocol) عن خطط للانتقال إلى بنية “تشين لينك” (Chainlink) التحتية العابرة للسلاسل بعد مراجعات أمنية داخلية.
في هذا الشهر، قالت شركة “أنثروبيك” (Anthropic) إن 560 من أصل 832 حسابًا قامت بحظرها بسبب انتهاكات السياسات على مدار عام واحد استخدمت الذكاء الاصطناعي للمساعدة في التحضير للهجمات الإلكترونية، بما في ذلك كتابة برامج ضارة وتحديد نقاط الضعف.
وقد أوصت “تشيناليسيس” بتوثيق الكود المصدري، وتوسيع نطاق برامج مكافأة اكتشاف الأخطاء، واستخدام أدوات المراقبة في الوقت الفعلي كإجراءات وقائية ضد الاختراقات المستقبلية.
الأسئلة الشائعة
ما هي العقود الذكية غير الموثقة ولماذا تشكل خطرًا؟
العقود الذكية غير الموثقة هي عقود لم يتم نشر كودها المصدر على متصفحات البلوكشين مثل Etherscan. هذا يعني أنه لا يمكن لأي شخص مراجعة الكود بحثًا عن ثغرات أمنية. يعتقد البعض أن إخفاء الكود يزيد الأمان، لكنه في الحقيقة يجعل هذه العقود أهدافًا سهلة للمخترقين الذين يستخدمون أدوات متطورة لكشف نقاط الضعف.
كيف يستخدم المخترقون الذكاء الاصطناعي في هذه الهجمات؟
يستخدم المخترقون الذكاء الاصطناعي وأدوات فك التشفير لعكس هندسة العقود الذكية غير الموثقة بشكل آلي. هذا يسمح لهم بتحليل الكود الثنائي للعقد (bytecode) والعثور على الثغرات دون الحاجة إلى الكود المصدر، وهو ما كان يتطلب في السابق جهدًا بشريًا كبيرًا ووقتًا طويلاً.
ما هي الإجراءات التي توصي بها “تشيناليسيس” لحماية أموالي؟
توصي شركة تحليل البلوكشين بثلاثة إجراءات رئيسية: أولاً، التأكد من توثيق الكود المصدر لأي عقد ذكي تتعامل معه. ثانيًا، الانضمام لبرامج مكافأة اكتشاف الأخطاء التي تشجع الباحثين على الإبلاغ عن الثغرات. ثالثًا، استخدام أدوات المراقبة الفورية للكشف عن أي نشاط مشبوه في العقود الذكية.
