امن وحماية المعلومات

ليس اختراقًا: عملية تصيد عبر Uniswap Permit2 تمحو مليون دولار بتوقيع واحد

تعرض أحد المتداولين لخسارة تقدر بمليون دولار تقريباً بعد أن تحولت ميزة تسهيل في منصة “يونيسواب” إلى سلاح ضده في هجوم تصيد احتيالي. لم يتم اختراق أي بروتوكول، ولم يُستغل أي ثغرة أمنية بالمعنى التقليدي. المتداول ببساطة وقع على رسالة لم يكن ينبغي له التوقيع عليها — وكان ذلك كافياً لخسارته كل شيء.

خسارة مليون دولار تكشف خطر التصيد عبر ميزة Permit2 من Uniswap

هجوم التصيد الاحتيالي عبر ميزة Permit2 من Uniswap الذي محى محفظة متداول بالكامل هو تذكير بمدى السرعة التي يمكن أن تتحول بها خطوة واحدة خاطئة إلى كارثة في عالم التمويل اللامركزي DeFi. Permit2 هو عقد موافقة على الرموز قدمته Uniswap لجعل استخدام DeFi أكثر سلاسة. بدلاً من طلب معاملة منفصلة على السلسلة لكل رمز وكل بروتوكول، تسمح Permit2 بتوقيع واحد خارج السلسلة للموافقة على عدة تفاعلات مع الرموز في وقت واحد. إنها ميزة مريحة بالتصميم — لكنها قابلة للاستغلال بنفس المنطق.

كيف تبسط Permit2 الموافقات لكنها تزيد المخاطر الأمنية

موافقات ERC-20 التقليدية تخلق نقاط تفتيش طبيعية. كل رمز وكل تفاعل مع بروتوكول يتطلب معاملة منفصلة على السلسلة، مما يعطي المستخدمين فرصاً متكررة لإعادة التفكير. Permit2 تزيل نقاط التفتيش هذه تماماً، وتستبدلها برسالة موقعة واحدة. هذا الكفاءة حقيقي — لكن التعرض الذي تخلقه حقيقي أيضاً.

توقيع واحد مخترق يمكن أن يعطي عقداً ضاراً حق الوصول الكامل لمحفظة المستخدم. لا يوجد طلب ثانٍ ولا شاشة تأكيد ولا تحذير. بمجرد التوقيع، تتحرك الأموال بهدوء وبشكل لا رجعة فيه.

مواقع التصيد الآن تقوم بانتحال شخصية واجهات DeFi الشرعية بشكل روتيني — صفحات المطالبة بالإنزال الجوي، بوابات سك الرموز غير القابلة للاستبدال NFT، شاشات تبادل مألوفة — كلها مصممة لعرض طلب توقيع Permit2 مقنع في اللحظة المناسبة تماماً.

حالات واقعية: خسائر تصيد بقيمة مليون دولار و196 ألف دولار

خسارة المليون دولار صادمة، لكنها ليست حالة منفردة. ضحية أخرى كانت تحمل رمز $VIRTUAL فقدت ما يقارب 196,000 دولار عبر نفس الآلية بالضبط. محفظة مختلفة، رمز مختلف، نفس النتيجة: توقيع سيء واحد وخسارة كاملة.

ما تشترك فيه الحادثتان هو غياب أي اختراق تقني من جانب Uniswap. البروتوكول عمل تماماً كما هو مصمم. سطح الهجوم لم يكن خطأ برمجياً — بل سلوك المستخدم، تم هندسته من خلال الخداع.

هذا التمييز مهم جداً. يعني أن تدقيق البروتوكولات ومراجعات أمان العقود الذكية لا تقدم أي حماية تقريباً ضد هذا النوع من التهديدات. الثغرة تعيش بين الشاشة والتوقيع.

وباء الاحتيال المتزايد على السلسلة يسلط الضوء على تصيد الموافقات المستمر

هاتان الحادثتان ليستا شاذتين — إنهما نقاط بيانات في نمط أكبر بكثير. التصيد عبر الموافقات تراكم بهدوء سجلاً مدمراً، والأرقام الأوسع تعكس مشكلة مستمرة في التصاعد.

تقارير الجرائم الرقمية تكشف عن خسائر بمليارات الدولارات بسبب التصيد والاحتيال

وفقاً لتقرير الجرائم الرقمية 2026 من Chainalysis، تسببت عمليات الاحتيال على السلسلة في خسائر لا تقل عن 14 مليار دولار خلال عام 2025، مرتفعة من 12 مليار دولار في 2024. هذه زيادة سنوية بمقدار 2 مليار دولار، مدفوعة جزئياً باستمرار تكتيكات الهندسة الاجتماعية التي لا يستطيع أي جدار ناري حظرها.

بيانات CertiK توضح الصورة أكثر. في يناير 2026 وحده، تسبب التصيد والهندسة الاجتماعية في خسائر بلغت 370 مليون دولار من العملات الرقمية — وهو رقم استثنائي لشهر واحد. حادثة واحدة ضمن تلك الفترة ساهمت بـ 284 مليون دولار من الإجمالي.

منذ عام 2021، كان التصيد عبر الموافقات مسؤولاً عن خسائر تتجاوز مليار دولار. الضرر التراكمي بني بثبات، إلى حد كبير بعيداً عن الأضواء، بينما كان التركيز على الاختراقات الأكثر دراماتيكية.

اتجاهات متباينة: انخفاض خسائر أدوات سحب المحافظ مقابل استمرار تصيد الموافقات

هناك تباين ملحوظ يستحق الفهم. خسائر أدوات سحب المحافظ انخفضت بنسبة 83% في 2025، لتصل إلى حوالي 84 مليون دولار — وهي علامة حقيقية على أن عمليات استهداف البنية التحتية والتنسيق الصناعي بدأت تؤثر في هجوم محدد.

لكن التصيد عبر الموافقات يعمل على بنية تحتية مختلفة تماماً. نصوص أدوات السحب تعتمد على عقود ضارة قابلة للنشر يمكن لشركات الأمن والبورصات تحديدها ووضع علامات عليها وحظرها. على النقيض، التصيد عبر الموافقات يستغل آليات البروتوكول الشرعية وثقة المستخدم. إغلاق موقع تصيد واحد لا يحيد هذه التقنية.

هذا التباين يخلق خطراً حقيقياً لسوء قراءة التقدم. انخفاض خسائر أدوات السحب يبدو كفوز — وهو كذلك — لكنه قد يخفي النمو المستمر لتهديد يصعب مواجهته بالوسائل التقنية وحدها.

عملية أتلانتيك تجمّد 12 مليون دولار من أموال التصيد

عملية أتلانتيك، التي نُفذت في أبريل 2026، أسفرت عن تجميد ما يقرب من 12 مليون دولار مرتبطة بمخططات تصيد الموافقات. إجراءات إنفاذ القانون بهذا الحجم مهمة، لكن 12 مليون دولار مقابل خلفية 14 مليار دولار من خسائر الاحتيال السنوية على السلسلة توضح الفجوة بين ما يستطيع المنظمون استرداده حالياً والسرعة التي تتراكم بها الخسائر.

الدفاع ضد هجمات التصيد عبر موافقات Permit2

طبيعة هذا التهديد تعني أن الدفاع الفعال يجب أن يحدث على مستوى المستخدم. إصلاحات طبقة البروتوكول يمكن أن تقلل من مساحة السطح، لكنها لا تستطيع منع المستخدم من توقيع رسالة ضارة على موقع يبدو تماماً مثل الموقع الحقيقي.

أدوات وأفضل الممارسات لتخفيف مخاطر تصيد الموافقات

الخطوة الأكثر قابلية للتنفيذ هي الاستخدام المنتظم لأدوات إلغاء الموافقات من المحفظة. موقع Revoke.cash يسمح للمستخدمين بمراجعة وإلغاء موافقات الرموز المعلقة، بما في ذلك أذونات Permit2. إجراء فحص إلغاء بعد التفاعل مع أي بروتوكول جديد أو غير مألوف يحد من نافذة الضرر بشكل كبير — إذا تسربت موافقة سيئة، فإن اكتشافها مبكراً يقلل من التعرض.

التحقق من عناوين العقود قبل التوقيع على أي شيء هو أمر لا يقبل التفاوض. مواقع التصيد مصممة لتكون غير قابلة للتمييز بصرياً عن المنصات الشرعية. عنوان العقد المضمن في طلب الموافقة هو المكان الذي تعيش فيه الحقيقة، ويستحق العشر ثواني الإضافية للتحقق منه.

قائمة مختصرة من العادات الدفاعية الأكثر أهمية:

  • استخدم Revoke.cash بانتظام لمراجعة وإلغاء الموافقات
  • تحقق من عنوان العقد في كل طلب توقيع قبل التأكيد
  • تعامل مع أي طلب Permit2 غير متوقع بشك كبير
  • لا توقع أبداً على رسائل من مواقع تدّعي إنزالاً جوياً أو ميزات حصرية دون تدقيق
  • حافظ على محفظة منفصلة للمعاملات الصغيرة واحتفظ بالأصول الكبيرة في محفظة تخزين بارد غير متصلة

حدود وفوائد المحافظ الصلبة في منع خسائر التصيد

المحافظ الصلبة تضيف طبقة تأكيد مادي لا توفرها المحافظ البرمجية، وهذه الطبقة لها قيمة حقيقية. لكن المحافظ الصلبة ليست حلاً كاملاً عندما يتعلق الأمر بتصيد الموافقات. إذا قام مستخدم بتوصيل محفظة صلبة بموقع ضار ثم قام يدوياً بتأكيد طلب توقيع Permit2، يصبح الجهاز المادي جزءاً من الهجوم بدلاً من أن يكون دفاعاً ضده.

الرؤية الرئيسية هي أن تصيد الموافقات يهاجم عملية اتخاذ القرار، وليس البنية الأمنية. أي أداة تتطلب من المستخدم الموافقة على معاملة يمكن تسليحها إذا أمكن إقناع المستخدم بأن المعاملة شرعية. هذه مشكلة أصعب من تصحيح عقد ذكي — ولهذا السبب يظل التعليم واليقظة أقوى الدفاعات المتاحة حالياً.

أسئلة شائعة (FAQ)

س: ما هي ميزة Permit2 من Uniswap ولماذا تشكل خطر تصيد؟
ج: Permit2 تسمح للمستخدمين بتوقيع رسالة واحدة خارج السلسلة للموافقة على عدة تفاعلات مع الرموز في وقت واحد. بينما تبسط استخدام DeFi، فهذا يعني أن توقيعاً ضاراً واحداً يمكن أن يمنح المهاجم وصولاً واسعاً وفورياً لمحفظة المستخدم بأكملها — دون أي خطوات تأكيد إضافية.

س: كيف استغل مهاجمو التصيد Permit2 في الحوادث الأخيرة؟
ج: بنى المهاجمون مواقع تنتحل شخصية منصات DeFi الشرعية وحثوا المستخدمين على توقيع رسائل Permit2. لأن Permit2 لا تولد أي تحذير أو شاشة تأكيد على السلسلة، لم يكن لدى الضحايا أي مؤشر على أنهم يأذنون بعقد ضار. النتيجة كانت تحويلات فورية وغير مصرح بها للأموال — بما في ذلك خسارة تقدر بمليون دولار وخسارة أخرى بحوالي 196,000 دولار تشمل رمز $VIRTUAL.

س: ما هي الخطوات العملية للحماية من تصيد موافقات Permit2؟
ج: يجب على المستخدمين التحقق من عناوين العقود في كل طلب توقيع قبل التأكيد، ومراجعة وإلغاء موافقات الرموز بانتظام باستخدام أدوات مثل Revoke.cash، والتعامل مع طلبات Permit2 غير المتوقعة بشك. المحافظ الصلبة تضيف طبقة تأكيد إضافية لكنها لا تحمي من توقيع رسالة ضارة على موقع مخترق.

س: ما هو الأثر المالي لهجمات تصيد الموافقات في العملات الرقمية؟
ج: تسبب تصيد الموافقات في خسائر تتجاوز مليار دولار منذ 2021. ساهم في خسائر الاحتيال على السلسلة البالغة 14 مليار دولار المسجلة من قبل Chainalysis لعام 2025، وتظهر بيانات CertiK أن التصيد والهندسة الاجتماعية تسببا في خسائر 370 مليون دولار في يناير 2026 وحده. على الرغم من الانخفاض الكبير في خسائر أدوات سحب المحافظ، يستمر تصيد الموافقات في النمو لأنه يعتمد على بنية تحتية مختلفة يصعب تفكيكها.

ثعلب البيتكوين

مستشار مالي متخصص في العملات الرقمية، يركز على تحليل أسواق البيتكوين وكشف الفرص الاستثمارية المميزة.
زر الذهاب إلى الأعلى