اطلع على ثغرات العقود الذكية ومخاطر الأمان في منصات تداول العملات الرقمية عقب عملية الاحتيال الضخمة على المحافظ الإلكترونية بقيمة $282M. تعرف على استغلال واجهات API، ومخاطر الحفظ، وانهيار مدقق Kiln، والهياكل المالية خارج الميزانية التي تعرّض استقرار المنصات والأصول المؤسسية للخطر على Gate.
ثغرات بنية العقود الذكية: من عمليات الاحتيال في المحافظ المادية بقيمة $282 مليون إلى استغلال واجهات برمجة التطبيقات في منصات التداول
كشفت حادثة المحافظ المادية بقيمة $282 مليون عن نقاط ضعف أساسية تتجاوز أمن المستخدم الفردي، إذ فضحت ثغرات منهجية في بنية العقود الذكية تضر منصات التداول وبروتوكولات التوافق. تزامن هذا الحدث مع وجود ثغرات حرجة في تطبيقات أمن واجهات برمجة التطبيقات، ونشر عقود ذكية غير مختبرة بشكل كافٍ. بعد تسويات لجنة التجارة الفيدرالية (FTC) مع منصات تضم ثغرات كبيرة في كودها الأساسي، أظهر تحليل القطاع أن ثغرات بنية المنصات ناتجة عن تعدد مسارات الهجوم المتزامنة.
قدّم تحديث Pectra في Ethereum آليات عقود التفويض التي أدت دون قصد إلى ظهور ثغرات لسحب الأموال من المحافظ. أصبحت وظيفة DELEGATECALL، التي تتيح للعقود تنفيذ كود داخل سياق عقد آخر، أداة للهجوم بعد أن ثبت المهاجمون عناوين تفويض خبيثة مسبقًا. ارتبط أكثر من %97 من التفويضات بعقود سحب أموال متطابقة، صممت لتحويل الأموال الواردة تلقائيًا إلى عناوين يسيطر عليها المهاجمون. وعند تحويل المستخدمين لأصولهم عبر واجهات البرمجة أو استقبالهم للرموز، كانت العقود الخبيثة تحول كل القيم فورًا، مما يؤدي إلى اختراق المحافظ بشكل دائم رغم احتفاظها بالعناوين الأصلية.
تُظهر ثغرات عقود التفويض كيف تستغل هجمات واجهات برمجة التطبيقات للمنصات نقاط ضعف البنية لتنفيذ هجمات متقدمة. أدى تداخل نشر كود العقود الذكية غير المختبر، ونقاط النهاية غير المؤمنة للواجهات، وعيوب تصميم عقود التفويض إلى خلق بيئة مناسبة لسرقات واسعة النطاق. على المؤسسات أن تطبق مراجعات دقيقة للكود، وتحديد معدلات استخدام الواجهات، واختبارات أمنية شاملة قبل النشر لمنع تكرار ثغرات البنية التي تتيح استغلال المنصات وسحب الأموال من المحافظ.
مخاطر الحفظ في منصات التداول المركزية وفشل بروتوكولات التخزين: قضية انهيار مدقق Kiln لـ ETH
الحفظ في منصات التداول المركزية يعرّض المستخدمين لمخاطر الطرف المقابل؛ إذ إن سيطرة المنصات على المفاتيح الخاصة تجعل الاختراقات الأمنية والإخفاقات التشغيلية سببًا في فقدان الأصول بشكل لا رجعة فيه. يجسد انهيار مدقق Kiln كيف تزيد ثغرات بروتوكولات التخزين من هذه المخاطر. في سبتمبر 2025، اكتشفت Kiln، المزود المؤسسي الرئيسي للتخزين، اختراقًا في بنية واجهات برمجة التطبيقات تسبب في استغلال بقيمة $41.5 مليون في أصول Solana المودعة لدى SwissBorg. استجابت Kiln بخروج طارئ لجميع مدققي Ethereum لديها، وهو ما يمثل نحو %4 من إجمالي ETH المخزن بقيمة تقريبية $7 مليار.
كشف هذا الخروج الجماعي عن اعتماديات حرجة متأصلة في ترتيبات التخزين المركزية. استغرق الخروج من العملية لكل مدقق بين 10 و42 يومًا وفق تصميم بروتوكول Ethereum، وارتفع طابور الخروج بحوالي %150، مما يوضح كيف يمكن لفشل واحد أن يؤدي إلى آثار متسلسلة في الشبكة. على الرغم من أن إطار Kiln غير الحاضن للأصول حفظ أصول العملاء تحت سيطرتهم نظريًا، إلا أن الأزمة التشغيلية أظهرت أن مخاطر الحفظ تتجاوز الاختراقات التقنية البسيطة—فثغرات البنية، واستغلال الواجهات، والخروج القسري للمدققين تفرض ضغوطًا ممنهجة على بيئة التخزين.
أصبح المستثمرون المؤسسيون يدركون أن التنويع بين مزودين متعددين وبروتوكولات التخزين السائلة يوفر تخفيضًا جوهريًا للمخاطر. وتبرز حادثة Kiln أهمية البدائل اللامركزية وآليات التأمين القوية كضمانات أساسية ضد ثغرات العقود الذكية والإخفاقات التشغيلية في ترتيبات الحفظ المركزية.
المخاطر النظامية عبر الهياكل خارج الميزانية: كيف يركز تمويل الائتمان الخاص مواطن الضعف في منصات التداول المشفرة
الهياكل خارج الميزانية في منصات التداول المشفرة تخفي تعرضًا جوهريًا يزيد من المخاطر النظامية بين المشاركين المتداخلين في السوق. عندما تستخدم المنصات كيانات ذات أغراض خاصة، أو التوريق، أو ترتيبات محاسبية أخرى لنقل الأصول والالتزامات خارج الميزانية الرئيسية، يفقد المنظمون والمستثمرون القدرة على تقييم مستويات الرافعة المالية الحقيقية والتزامات الأطراف المقابلة. وتزداد هذه الضبابية سوءًا عند اقترانها بترتيبات التمويل بالائتمان الخاص، التي تركز مواطن الضعف بين عدد أقل من اللاعبين المؤسسيين الكبار.
يخلق تمويل الائتمان الخاص في قطاع العملات المشفرة مخاطر حادة للطرف المقابل، إذ تصبح المنصات معتمدة على مجموعة ضيقة من المقرضين الذين يؤثر أداؤهم مباشرة على توفر السيولة. وعلى عكس الأنظمة المصرفية التقليدية التي تتضمن آليات امتصاص للصدمات، تفتقر أسواق العملات المشفرة لهذه الآليات خلال فترات التوتر. عندما يواجه مقدمو الائتمان الخاص صعوبات، تعاني المنصات من أزمات سيولة مباشرة. ويضخم سوق العملات المستقرة الذي يبلغ $300 مليار هذه المخاطر، إذ يتيح هروب رأس المال بسرعة، مما يسرّع انتقال العدوى بين المنصات المتداخلة.
المخاطر النظامية تتفاقم بفعل الرافعة المالية والتداخل المؤسسي. تقترض المنصات بكثرة مقابل أصول مشفرة متقلبة، مما يزيد من التعرض عند انخفاض القيم. وتخلق علاقاتها المتشابكة مع المؤسسات المالية التقليدية عبر المشتقات وترتيبات الضمانات والإقراض قنوات لنقل التوترات السوقية. الرقابة التنظيمية الأخيرة من جهات مثل OCC تعكس إدراكًا متزايدًا بأن الالتزامات خارج الميزانية واعتماديات الائتمان الخاص تشكل تهديدًا لاستقرار النظام المالي. ومن دون متطلبات إفصاح شفافة وحدود تركيز صارمة على التعرض للائتمان الخاص، تظل المنصات عرضة لانهيارات متسلسلة قد تمتد إلى النظام المالي التقليدي.
الأسئلة الشائعة
كيف حدثت عملية الاحتيال في المحافظ المادية بقيمة $282 مليون عام 2026، وما هي ثغرات العقود الذكية المتورطة؟
استغل المحتالون في عملية الاحتيال لعام 2026 بقيمة $282 مليون هجمات إعادة الدخول والتلاعب بأوراكل الأسعار في العقود الذكية. استهدفت الهجمات منصات مركزية باستخدام تقنيات متعددة، جمعت بين ثغرات العقود الذكية والهندسة الاجتماعية لاختراق المحافظ الساخنة وتنفيذ تحويلات غير مصرح بها عبر عدة بلوكشين.
ما هي أبرز الثغرات الأمنية في عقود منصات التداول الذكية، مثل هجمات إعادة الدخول وتجاوز القيم العددية؟
تشمل الثغرات الشائعة هجمات إعادة الدخول حيث تستدعي العقود الخارجية العقد الأصلي بشكل متكرر، وتجاوز القيم العددية الذي يؤدي إلى تخطي البيانات للنطاقات المتوقعة، والاستدعاءات الخارجية غير الآمنة. هذه الهجمات قد تستنزف الأموال وتعرض أمن المنصة للخطر.
ما الفرق بين مخاطر أمن المحافظ المادية ومخاطر العقود الذكية في المنصات، وكيف يمكن للمستخدمين حماية أنفسهم؟
تعزل المحافظ المادية المفاتيح الخاصة فعليًا، وتحميها من الهجمات عبر الإنترنت. تواجه عقود منصات التداول الذكية ثغرات في الكود وهجمات استغلال. يجب على المستخدمين تخزين الأصول في المحافظ المادية، والتحقق من العقود الذكية قبل التفاعل معها، واستخدام محافظ متعددة التوقيع، وفصل الحسابات بين التداول والتخزين للحد من التعرض للمخاطر.
ما هي عمليات التدقيق والاختبار الأمني التي يجب أن تجريها المنصات قبل نشر العقود الذكية؟
ينبغي على المنصات إجراء مراجعات أمنية شاملة للكشف عن هجمات إعادة الدخول، وأخطاء تجاوز القيم، والمتغيرات غير المهيأة. تشمل الاختبارات اختبار الوظائف واختبار الاختراق. كما أن مراجعة الكود من قبل خبراء مستقلين أمر ضروري قبل النشر.
ما هي المعايير الأمنية الجديدة والإجراءات التنظيمية التي اعتمدتها صناعة العملات المشفرة بعد حادثة الاحتيال هذه؟
طبقت الصناعة متطلبات أكثر صرامة لعزل الأصول، ومعايير حفظ محسنة، وتدقيقات إلزامية للاحتياطات. كما أدخل المنظمون إرشادات إفلاس شاملة، ومتطلبات رأس المال، ورصد للمعاملات في الوقت الفعلي لمنع الحوادث المماثلة وحماية أموال العملاء.
كيف يمكن تحديد وتجنب التفاعل مع العقود الذكية الخبيثة أو الضعيفة؟
تحقق من كود العقد على مستكشفات البلوكشين، واستخدم مكتبات مجربة مثل OpenZeppelin، واتبع نمط CEI، وأجرِ اختبارات وحدات ومراجعات مستقلة قبل التفاعل. راجع تقارير التدقيق وتعليقات المجتمع لتقييم السمعة.
* لا يُقصد من المعلومات أن تكون أو أن تشكل نصيحة مالية أو أي توصية أخرى من أي نوع تقدمها منصة Gate أو تصادق عليها .
