نجح القرصان المسؤول عن استغلال منصة Truebit في غسل جميع إيثريوم (8,535 ETH) المسروقة، والتي تبلغ قيمتها حوالي 26 مليون دولار، عبر خدمة Tornado Cash. يأتي هذا بعد استغلال ثغرة في العقد الذكي لبروتوكول Truebit في الثامن من يناير، مما أدى إلى خسائر فادحة للمستثمرين. يمثل هذا الاستغلال خرقًا أمنيًا كبيرًا في مجال التمويل اللامركزي (DeFi) في بداية العام، ويؤكد على المخاطر المستمرة المرتبطة بالعقود الذكية.
استغلال Truebit وغسل الأموال: نظرة متعمقة على الهجوم
وفقًا لبيانات تتبعها شركة Lookonchain، قام القرصان بتحويل جميع إيثريوم المسروقة إلى Tornado Cash، وهي خدمة تهدف إلى إخفاء مسار المعاملات الرقمية. يُعد Tornado Cash أداة شائعة لغسل الأموال في عالم العملات المشفرة، حيث يجعل من الصعب للغاية تتبع الأموال إلى مصدرها الأصلي. أعلنت Truebit عن الحادثة الأمنية في تغريدة على منصة X (تويتر سابقًا)، وحذرت المستخدمين من التفاعل مع العقد الذكي المتضرر.
الاستغلال اعتمد على تجاوز للحد الأدنى لقيمة عدد صحيح في عقد ذكي قديم، مما سمح للمهاجم بإنشاء كميات هائلة من رموز TRU بتكلفة تقريبًا صفرية. لاحقًا، قام ببيع هذه الرموز مرة أخرى إلى البروتوكول، مما أدى إلى استنزاف السيولة بشكل كامل. تسبب الهجوم في انهيار سعر TRU بأكثر من 99.9%، مما أدى إلى خسارة كبيرة لقيمة استثمارات المستخدمين.
تداعيات الهجوم وأثرة على سوق العملات الرقمية
تعتبر هذه الحادثة بمثابة تذكير صارخ بالمخاطر الكامنة في مجال التمويل اللامركزي، خاصةً فيما يتعلق بالعقود الذكية غير المدققة أو تلك التي تحتوي على ثغرات أمنية. هذا الحدث قد يزيد من التدقيق التنظيمي على بروتوكولات DeFi، ويدفع الشركات إلى تخصيص المزيد من الموارد لتدقيق الأمان. بالإضافة إلى ذلك، قد يؤدي إلى انخفاض ثقة المستثمرين في هذا المجال.
يشير التحقيق الأولي إلى أن المحفظة الرقمية المستخدمة في الهجوم مرتبطة بهجوم سابق على بروتوكول Sparkle، مما يوحي بأن المهاجم هو شخص ذو خبرة عالية في استغلال الثغرات الأمنية في العقود الذكية. هذا يشير إلى أننا قد نشهد المزيد من الهجمات المعقدة في المستقبل.
استجابت Truebit بتعليق التفاعلات مع العقد المتضرر، وإبلاغ سلطات إنفاذ القانون، وإطلاق مراجعة شاملة للبروتوكول لتحديد نقاط الضعف الأخرى ومعالجتها. الشركة تعمل أيضًا على استكشاف الخيارات المتاحة لاستعادة الأموال المسروقة، على الرغم من أن هذا قد يكون صعبًا نظرًا لاستخدام Tornado Cash لإخفاء مسار الأموال. كما أن الاستعادة الكاملة للأموال قد لا تكون ممكنة.
تشهد منصات التمويل اللامركزي (DeFi) تزايدًا في الهجمات الإلكترونية التي تستهدف العقود الذكية. يُعد أمن العقود الذكية (security of smart contracts) أمرًا بالغ الأهمية لضمان سلامة الأموال والمحافظة على ثقة المستخدمين في هذه المنصات. هذا الحدث يسلط الضوء على أهمية إجراء عمليات تدقيق أمنية شاملة للعقود الذكية قبل نشرها على الشبكة الرئيسية.
تعتبر خدمات الخصوصية مثل Tornado Cash أداة مزدوجة الحافة؛ فهي توفر ميزة الخصوصية للمستخدمين، ولكنها أيضًا تسهل أنشطة غسل الأموال للمجرمين. يثير استخدام Tornado Cash في هذا الهجوم نقاشًا حول التوازن بين حماية الخصوصية ومكافحة الجريمة في عالم العملات المشفرة.
حاليًا، يواصل فريق Truebit العمل مع خبراء الأمن وسلطات إنفاذ القانون لتحديد هوية المهاجم وجمع الأدلة. من المتوقع أن يصدر الفريق تقريرًا مفصلاً عن نتائج التحقيق في غضون الأسابيع القليلة القادمة، بالإضافة إلى خطة لمعالجة الثغرات الأمنية واستعادة الثقة في البروتوكول.
من المهم مراقبة التطورات المتعلقة بهذا الهجوم، بالإضافة إلى الاستجابة التنظيمية المحتملة. هذا الحادث قد يؤثر بشكل كبير على مستقبل التمويل اللامركزي، وقد يدفع إلى تبني ممارسات أمنية أكثر صرامة.
