فقدان 1.4 مليون دولار في ليلة واحدة: كيف أصبحت العقود غير الموثقة ماكينة سحب ذاتية للقراصنة

2026-01-06 02:17:55

تم التعرض لهجوم من قبل قراصنة على عقد غير موثوق على شبكة Arbitrum الخاصة بمنصة التبادل اللامركزية TMX، وخسائر تقدر بحوالي 1.4 مليون دولار. وفقًا لبيانات مراقبة CertiK، قام القراصنة من خلال عمليات متكررة مصممة بعناية باستنزاف أصول USDT و wrapped SOL و WETH في العقد بشكل منهجي. يعكس هذا الحدث مرة أخرى خطراً يُقلل من شأنه في نظام DeFi البيئي: العقود غير المراجعة مثل خزائن الأمان غير المقفلة، في انتظار أن تُفتح.

كيف تمكن القراصنة من ذلك

أسلوب هجوم القراصنة ليس معقدًا، لكنه فعال بشكل مذهل:

إصدار رموز TMX LP مقابل USDT
تحويل USDT إلى USDG
إلغاء قفل الرهن العقاري لـ TMX LP
بيع USDG مقابل المزيد من الأصول
تكرار العمليات أعلاه بشكل دوري

نجاح هذا “دورة الأرباح” يعتمد على وجود ثغرة في منطق العقد — اكتشف القراصنة وجود فروق سعر أو عيب في آلية التبادل يمكن استغلاله مرارًا وتكرارًا. من خلال التكرار، تم استنزاف السيولة الموجودة في العقد في النهاية.

لماذا يُطلق عليه “عقد غير موثوق”

هنا، كلمة “غير موثوق” مهمة جدًا. فهي تعني:

عقد موثوق	عقد غير موثوق
تم تدقيقه من قبل شركات أمنية مثل CertiK وOpenZeppelin	لا يوجد مراجعة أمنية من طرف ثالث
منطق الكود تم فحصه بشكل احترافي	الثغرات في الكود لم تُكتشف بعد
المخاطر نسبياً واضحة	المخاطر مخفية كـ"ألغام"
تكلفة الاختراق عالية	تكلفة الاختراق منخفضة

وفقًا لأحدث الأخبار، العديد من المشاريع الجديدة تتخطى خطوة التدقيق بهدف الإطلاق السريع. هذا النهج يبدو كأنه يوفر التكاليف، لكنه في الواقع مقامرة — مقامرة بعدم اكتشاف الثغرات. والقراصنة هم من يراجعون الكود بدقة.

ماذا يُظهر هذا الحالة

من الظاهر أن الخسارة كانت لـ TMX، لكن المشكلة الأعمق تكمن في:

ضعف وعي مستخدمي DeFi بالحماية

الكثير من المستخدمين يشاركون في تعدين السيولة أو التداول، ونادرًا ما يتحققون من أن العقود قد خضعت لمراجعة أمنية. بالمقابل، أحد الأسباب التي جعلت مشروع Mutuum Finance يجذب أكثر من 18600 مالك هو أنه أكمل تدقيقين أمنيين من Halborn وCertiK، مما يبرز الفرق.

عيوب إدارة المخاطر لدى المشاريع

إطلاق عقد غير موثوق هو إشارة حمراء بحد ذاته. إذا كان المشروع رسميًا، يجب أن يتم التدقيق فور اكتمال الوظائف، وليس بعد وقوع مشكلة.

انخفاض تكلفة الاختراق

كل هجوم ناجح يضيف إلى رصيد القراصنة من “الطرق”. العقود غير الموثوقة التالية قد تواجه مخاطر مماثلة.

ما الذي يجب مراقبته لاحقًا

هل ستصدر منصة TMX بيانًا رسميًا وخطة تعويضات؟
هل ستعزز شبكة Arbitrum من تحذيراتها للمخاطر على العقود الجديدة؟
هل ستتم متابعة وتجميد الأصول المسروقة التي تقدر بـ 1.4 مليون دولار؟
كم من العقود غير الموثوقة لا تزال في حالة خطر؟

الخلاصة

الدروس المستفادة من هذا الحدث بسيطة جدًا: في عالم DeFi، التحقق من العقود ليس خيارًا، بل ضرورة. إذا أطلق مشروع بدون تدقيق أمني رسمي، فإن كل مبلغ من الأموال التي تشارك فيها هو مقامرة على مستوى كود المشروع. والقراصنة هم في الواقع “مدققو الكود” الأكثر جدية.

بالنسبة للمستخدمين، قبل المشاركة في أي مشروع DeFi، من الأفضل التحقق عبر Etherscan من وجود تقارير تدقيق من CertiK أو OpenZeppelin. هذه الخطوة لا تتطلب خلفية تقنية، لكنها تقلل بشكل كبير من المخاطر. أما بالنسبة للمشاريع، فإن تكلفة التدقيق أقل بكثير من تكلفة الاختراق — و1.4 مليون دولار هو أفضل درس يمكن أن تتعلمه.

SOL1.73%

USDG0.01%

قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.