Unleash Protocol يواجه انتقادات بسبب ثغرة أمنية: تم تحويل 3.9 مليون دولار عبر Tornado Cash

بروتوكول تمويل الملكية الفكرية Unleash Protocol تعرض لهجوم أمني كبير أدى إلى خسارة حوالي 3.9 مليون دولار. وفقًا لتحليل شركة أمن البلوكشين PeckShield، تم توجيه الدولارات المسروقة إلى خدمات مزج العملات الرقمية لإخفاء أثرها الرقمي.

نُسبت الحادثة إلى ثغرة حرجة في آلية حوكمة البروتوكول، مما سمح للمهاجم بالحصول على وصول إداري غير مصرح به إلى نظام العقود الذكية.

كيف سمحت فشل نظام الحوكمة متعدد التوقيعات بالسرقة

توافق التحليل الفني لـ PeckShield والمحققون في سلسلة LookonChain على أن الهجوم لم ينشأ من ثغرة في بروتوكول Story (البروتوكول الأساسي)، بل من خلل محدد في بنية حوكمة Unleash.

وفقًا للبيان الرسمي للبروتوكول، “في وقت مبكر من اليوم، اكتشفنا نشاطًا غير مصرح به مرتبط بعقودنا الذكية، مما أدى إلى سحب وتحويل أموال المستخدمين. تشير تحقيقاتنا الأولية إلى أن عنوانًا خارجيًا حصل على السيطرة الإدارية عبر نظام الحوكمة متعدد التوقيعات، مما سمح بتحديث غير مصرح به للعقد.”

هذا النوع من الهجمات يمثل خطرًا خاصًا على منصات DeFi حيث تعتبر الحوكمة اللامركزية الآلية الأساسية للتحكم. تم اختراق نظام التوقيع المتعدد، الذي يفترض أنه يتطلب موافقات متعددة، مما سمح بتحديثات على العقود خارج إجراءات الحوكمة القياسية.

مسار الدولارات: من Unleash إلى Tornado Cash

الأصول المتأثرة في الهجوم تشمل عدة رموز من النظام البيئي: WIP، USDC، WETH، stIP و vIP. بعد استخراج هذه الدولارات من البروتوكول، تم تحويل الأموال على الفور عبر بنية تحتية لأطراف ثالثة إلى عناوين خارجية.

قام المهاجم بإيداع 1,337.1 ether (ETH) — ما يعادل تقريبًا 3.2 مليون دولار وفقًا لسعر الصرف الحالي — في Tornado Cash، وهو خدمة مزج العملات الرقمية المستخدمة على نطاق واسع لإخفاء سجلات المعاملات على البلوكشين. تعتبر تقنية الغسل هذه تكتيكًا شائعًا في سرقات العملات الرقمية لجعل تتبع الدولارات المسروقة مستحيلًا تقريبًا بمجرد دخولها إلى بروتوكول Tornado.

تشير سرعة التحويل — من البروتوكول المخترق إلى Tornado Cash — إلى أن العملية كانت منسقة، مما قد يدل على أن المهاجم أعد مسبقًا عناوين الوجهة.

بروتوكول Story وبيئة تمويل الملكية الفكرية

يعمل Unleash Protocol ضمن منظومة بروتوكول Story، منصة مصممة لترميز حقوق الملكية الفكرية. الهدف من هذه المنصات هو تمكين وسائل الإعلام والعلامات التجارية والأعمال الإبداعية من الانتقال إلى البلوكشين، وتوكنيتها، وترخيصها، أو استخدامها كأصول مالية أساسية داخل التطبيقات اللامركزية.

على الرغم من أن الهجوم أثر مباشرة على Unleash، إلا أن التحقيق أكد أن بروتوكول Story نفسه لم يكن عرضة للثغرات. كانت المشكلة محددة في طبقة الحوكمة الخاصة بـ Unleash، وليس في البروتوكول الأساسي. ومع ذلك، يسلط هذا الحادث الضوء على المخاطر المرتبطة بأنظمة الحوكمة الضعيفة في منظومة DeFi.

استجابة الطوارئ والخطوات التالية للمستخدمين

على الفور بعد اكتشاف النشاط غير المصرح به، أوقف بروتوكول Unleash جميع عملياته بينما تستمر التحقيقات. يتعاون البروتوكول مع خبراء أمن مستقلين ومحققين جنائيين لتحديد السبب الجذري للثغرة في الحوكمة.

نُصح المستخدمون بعدم التفاعل مع عقود بروتوكول Unleash حتى إشعار آخر. الأصول الموجودة في الودائع معرضة للخطر حتى يتم حل الوضع بشكل كامل. يتم توجيه جميع المعلومات الرسمية عبر القنوات الرسمية للبروتوكول على وسائل التواصل الاجتماعي والاتصالات المباشرة.

التداعيات على أمان DeFi والدروس المستفادة

يؤكد هذا الحادث حقيقة أساسية في منظومة اللامركزية: أمان الحوكمة هو بنفس أهمية أمان الكود. سرقة 3.9 مليون دولار من خلال ثغرة إدارية، وليس من خلال ثغرة تقنية، يعزز أن مركزية السلطة حتى في أنظمة التوقيع المتعدد يمكن استغلالها.

بالنسبة للمنصات التي تتعامل مع حقوق ملكية فكرية مميزة وحقوقها المالية المرتبطة، يجب أن تكون معايير الحوكمة أكثر صرامة. ستذكر تجربة مثل هذه مع بروتوكول Unleash المجتمع في DeFi أن أموال المستخدمين محمية فقط إذا كانت الهياكل الإدارية محصنة ضد الاختراقات والهجمات الداخلية المنسقة.

ستستمر الصناعة في التعلم من خلال هذه الأحداث أن آليات الحوكمة اللامركزية تتطلب مراقبة مستمرة وتدقيقات أمنية دورية متخصصة.