سرقة 3.047 مليون دولار من عملة USDC في هجوم بعقد مزيّف على منصة Safe

تسبّب هجوم تصيّد احتيالي حديث في سرقة 3.047 مليون دولار من عملة USDC، بعد أن استهدف محفظة متعددة التوقيعات (multisig) تابعة لمنصة Safe، مستخدمًا عقدًا مزيّفًا تابعًا لـ Request Finance.
يقول المحققون إن المهاجمين خططوا للهجوم بعناية ونفذوه بطريقة بدت وكأنها مصادَق عليها رسميًا تقريبًا. كان الضحية يستخدم محفظة متعددة التوقيعات من نوع 2 من 4.

وبحسب منصة Scam Sniffer، بدت العملية وكأنها جرت عبر واجهة تطبيق Request Finance، لكن بداخل طلب الدفعة المجمّعة تم تمرير موافقة على عقد خبيث. كان عنوان العقد المزيّف مشابهًا جدًا للعقد الأصلي، مع اختلافات طفيفة فقط في الحروف الوسطى، بينما تبدأ وتنتهي العناوين بالحرف نفسه، مما يجعل اكتشافه بالعين المجردة أمرًا صعبًا.

ولتعزيز المصداقية، قام المهاجمون حتى بالتحقق من العقد المزيّف على منصة Etherscan، ما جعله يبدو قانونيًا لأي شخص يراجعه بسرعة. وبمجرد منح الموافقة، استولى المهاجمون على الفور على 3.047 مليون دولار من عملة USDC، ثم حوّلوها إلى إيثريوم (ETH)، وبعد ذلك نُقلت بسرعة إلى منصة Tornado Cash لإخفاء أثرها.

مخطط زمني مُعد بعناية

يكشف تسلسل الأحداث أن الهجوم كان مُخططًا له مسبقًا بعناية. قبل 13 يومًا من عملية السرقة، نشر المهاجمون العقد المزيّف الخاص بـ Request Finance، وأجروا عدة معاملات “batchPayments” لجعل العقد يبدو نشطًا وموثوقًا.

وعند تفاعل الضحية معه، بدا العقد وكأنه يملك سجلًا طبيعيًا من الاستخدام. وعندما استخدم الضحية تطبيق Request Finance، أدخل المهاجمون الموافقة الخبيثة ضمن معاملة الدفعة المجمّعة. وبمجرد توقيع المعاملة، اكتمل الاستغلال.

استجابة شركة Request Finance

أقرت شركة Request Finance بالحادثة وأصدرت بيانًا تحذيريًا للمستخدمين. وأكّدت أن جهة خبيثة نشرت نسخة مقلّدة من عقد Batch Payment الخاص بها.

ووفقًا للبيان، تأثر عميل واحد فقط بالهجوم، وقد تم إصلاح الثغرة منذ ذلك الحين، لكن الطريقة الدقيقة التي تم بها إدخال الموافقة الخبيثة لا تزال غير واضحة.

ويرى المحللون أن احتمالات الهجوم قد تشمل ثغرة في التطبيق نفسه، أو برمجيات خبيثة أو إضافات متصفح تغيّر المعاملات، أو حتى اختراق واجهة الاستخدام أو هجوم اختطاف DNS، ولا يمكن استبعاد أشكال أخرى من حقن الشيفرات.

مخاوف أمنية بارزة

تُبرز هذه القضية تنامي أساليب الاحتيال في صناعة العملات المشفّرة. إذ لم يعد المهاجمون يعتمدون على روابط تصيّد بسيطة أو خدع واضحة، بل باتوا ينشرون عقودًا موثّقة، ويقلّدون خدمات حقيقية، ويخفون الأنشطة الخبيثة داخل معاملات معقّدة.

فالمعاملات المجمّعة، المصمّمة أصلاً لتبسيط المدفوعات، قد تخلق أيضًا فرصًا للمهاجمين، لأنها تجمع عدة عمليات معًا، مما يصعّب على المستخدمين مراجعة كل عملية موافقة أو تحويل على حدة، وهو ما يمنح المهاجمين فرصة لتمرير أنشطة احتيالية دون أن يلاحظها أحد حتى فوات الأوان.

دروس للمجتمع

يشدد الخبراء على ضرورة توخي الحذر الشديد عند استخدام ميزة الإرسال المتعدد أو المدفوعات المجمّعة. ويجب مراجعة كل موافقة على العقود حرفًا بحرف لتفادي الخلط بين العناوين المتشابهة، إذ قد تؤدي أي تفصيلة صغيرة يتم تجاهلها إلى خسائر جسيمة، كما حدث في هذه الحالة.

كما توصي شركات الأمن السيبراني بتقليل الاعتماد على إضافات المتصفحات والتحقق من التطبيقات غير الموثّقة المتصلة بالمحافظ.

والحرص على تحديث البرمجيات، واستخدام المحافظ الباردة للموافقات، ومطابقة عناوين العقود عبر مصادر موثوقة، كلها ممارسات تقلّل من مخاطر مثل هذه الهجمات. وتعدّ هذه الحادثة تذكيرًا بضرورة تعزيز وسائل حماية المستخدمين على المنصات، من خلال تحذيرات أوضح، ووضع علامات تلقائية على العقود المقلّدة، وتحسين شفافية المعاملات لمنع تكرار هذه الهجمات.

تذكير باهظ الثمن

تشكل خسارة 3.047 مليون دولار تذكيرًا جديدًا بحجم المخاطر في عالم التمويل اللامركزي. فعلى الرغم من أن منصتي Safe وRequest Finance لا تزالان تحظيان بشعبية، فإن المهاجمين يزدادون استغلالًا لتعقيداتهما.

وبالنسبة للمستخدمين، تبقى الحيطة هي وسيلة الدفاع الحقيقية الوحيدة، إذ اعتمد المهاجمون في هذه الحالة على الدقة في التفاصيل والإعداد المسبق وعقد مزيف مُقنع، وكان ذلك كافيًا لخداع نظام متعدد التوقيعات ومنحه حق الوصول.

وتُظهر الحادثة أن كل نقرة وكل موافقة في عالم العملات المشفّرة قد تكون مصيرية.