اطلع على كيفية فضح استغلال GANA Payment بقيمة $3.1M لثغرات خطيرة في العقود الذكية على BSC. تعرف على تفاصيل الهجوم، ومخاطر الأمان، وأفضل طرق حماية استثماراتك في العملات الرقمية من هجمات التمويل اللامركزي (DeFi) المشابهة.
نظرة عامة على استغلال GANA Payment
كشف الباحث الأمني في مجال البلوكشين ZachXBT عن خرق أمني كبير أصاب مشروع GANA Payment، وهو مشروع عملات رقمية يعمل على BNB Smart Chain (BSC). أدى هذا الاستغلال إلى خسائر تجاوزت $3.1 مليون، ما يعكس تصاعد القلق في منظومة أمن البلوكشين.
يوضح الهجوم مدى تطور الأساليب التي يعتمدها المهاجمون في قطاع العملات الرقمية. بعد السرقة، نجح الجاني في غسل جزء كبير من الأموال المسروقة عبر Tornado Cash، وهو بروتوكول خصوصية نشط على شبكتي BSC وEthereum. ولا يزال نحو $1 مليون من الأصول غير متحرك على شبكة Ethereum، بانتظار تحرك محتمل من المستغل.
بحسب تفاصيل نشرها ZachXBT عبر قناة Telegram الخاصة به، قام المستغل بتجميع الأصول المسروقة بصورة دقيقة في العنوان 0x2e8****5c38. ثم أودع المهاجم 1,140 رمز BNB، بقيمة تقارب $1.04 مليون، في Tornado Cash على شبكة BSC. هذه الطريقة تعد من أكثر أساليب غسل الأموال انتشارًا بين القراصنة لإخفاء أثر العملات الرقمية المسروقة.
استمر تعقيد الهجوم عندما حول الجاني أموالًا إضافية إلى شبكة Ethereum. وبفضل هذه العملية العابرة للشبكات، نقل المهاجم 346.8 ETH تساوي $1.05 مليون عبر خلاط الخصوصية Tornado Cash. مع ذلك، يظهر تحليل البلوكشين أن 346 ETH لا تزال غير متحركة في العنوان 0x7a503****b3cca، ما يرجح انتظار المهاجم قبل تحريك مزيد من الأموال لتفادي كشف هويته.
تسلط هذه الواقعة الضوء على التحديات المستمرة التي تواجه مشاريع البلوكشين في تحقيق مستويات أمان عالية. ويبرز استخدام بروتوكولات الخصوصية مثل Tornado Cash كيف يستغل المهاجمون أدوات الخصوصية المشروعة في تحقيق أهداف غير قانونية، مما يعقد عمليات استعادة الأموال والتحقيقات الجنائية.
تحليل تقني يكشف تلاعبًا بهيكل ملكية العقد
أجرت شركة HashDit لأمن البلوكشين تحليلًا فوريًا للخرق بعد رصد نشاط مشبوه على الشبكة. اكتشف التحقيق بسرعة الثغرة الجوهرية التي مكنت الهجوم: التلاعب غير المصرح به بهيكل ملكية عقد GANA.
تمحور الاستغلال حول تغييرات خبيثة في معايير ملكية بنية العقود الذكية الخاصة بـ GANA. ومن خلال السيطرة غير المصرح بها على وظائف الملكية الأساسية، حصل المهاجم على صلاحيات إدارية في آلية التخزين للبروتوكول، ما أتاح له التلاعب بمعدلات توزيع المكافآت والإخلال بجوهر نظام التخزين.
شمل تنفيذ الهجوم عدة خطوات تقنية متقدمة. أولًا، استغل المهاجم ثغرة الملكية للسيطرة على الوظائف الأساسية للعقد. ثم قام بتفعيل وظائف فك التخزين مرارًا، ليحصل في كل مرة على عدد أكبر بكثير من رموز GANA مقارنة بما هو مخصص في الظروف الطبيعية. بهذا التلاعب بآلية حساب المكافآت، تمكن الجاني من سحب أو سك رموز تفوق بكثير ما يحصل عليه المستخدمون الشرعيون.
وبعد الحصول على هذه الرموز الزائدة، نفذ المهاجم استراتيجية بيع منسقة في منصات التداول اللامركزية. من خلال إغراق السوق برموز GANA المسروقة، حول الرموز غير السائلة إلى عملات رقمية أكثر سيولة مثل BNB وETH. كان هذا التحويل ضروريًا لمرحلة غسل الأموال اللاحقة، إذ توفر العملات الرئيسية سيولة أعلى وخيارات أوسع لتحريك الأموال.
أما المرحلة الأخيرة، فقد تضمنت تحويل العائدات إلى Tornado Cash لإخفاء أثر المعاملات عبر قطع الرابط بين عناوين المصدر والوجهة، مما يصعّب على المحققين تتبع الأموال المسروقة.
أصدرت HashDit تحذيرًا أمنيًا عاجلًا طالبت فيه المستخدمين بالتوقف فورًا عن تداول رموز GANA حتى يصدر فريق التطوير تعليمات رسمية ويطبق التحديثات الأمنية المطلوبة. وأكدت الشركة أن مواصلة التفاعل مع العقد المخترق يعرض المستخدمين لمخاطر إضافية.
يسجل هذا الاستغلال إضافة جديدة لسجل حوادث BSC الأمنية، رغم تحسن مؤشرات الأمان عمومًا في الشبكة. ووفقًا لتحليل مشترك من BNB Chain وHacken، شهد النظام انخفاضًا بنسبة %70 في إجمالي الخسائر، من $161 مليون في عام 2023 إلى $47 مليون في عام 2024. رغم هذا التحسن وتطبيق بروتوكولات أمان متقدمة في النظام، تظل هجمات فردية مثل استغلال GANA اختبارًا متواصلًا لقدرات الشبكة الدفاعية.
وتوفر الحوادث السابقة في BSC سياقًا لفهم تطور التهديدات. ففي هجوم تصيد شهير في سبتمبر، خسر أحد مستخدمي Venus Protocol نحو $13.5 مليون بعد أن وافق بالخطأ على معاملة خبيثة. من الجدير بالذكر أن العقود الذكية الأساسية للبروتوكول بقيت آمنة، إذ تعود الخسائر إلى هندسة اجتماعية على مستوى المستخدم وليس إلى ثغرات في البروتوكول نفسه.
كذلك، تعرضت منصة Four.Meme لاختراق بقيمة $183,000 خلال فترة تقلبات السوق، حيث استخدم المهاجم تقنيات "ساندوتش"، مما أدى لخسارة نحو 125 BNB وسط اضطرابات التداول حول رمز Test الخاص بالمنصة.
خطة التعافي وإطلاق التحقيق الفني
سارع فريق تطوير GANA إلى الاستجابة للخرق الأمني عبر إعلان رسمي أكد فيه وقوع هجوم خارجي على بنية العقد التفاعلي. أشار البيان إلى أن جهات غير مصرح لها تمكنت من الوصول إلى أموال المستخدمين وسحبها باستغلال ثغرات العقد.
وفي إطار الرد، استعرض الفريق خطة عمل فورية، شملت التعاقد مع شركة أمن مستقلة متخصصة في تحقيقات البلوكشين وأمان العقود الذكية. تهدف هذه الشراكة إلى إجراء تحقيق طارئ شامل يغطي: تحليل مفصل لنواقل الهجوم ونقاط الدخول، تحديد الثغرات التي مكنت الخرق، وتقييم كامل لنطاق التأثير على المستخدمين والبنية التحتية للبروتوكول.
تشمل استراتيجية التعافي عدة عناصر أساسية، منها إطلاق خطة إعادة تشغيل شاملة للنظام تتضمن حصر جميع عناوين أصول المستخدمين ومستويات الصلاحية المرتبطة بها. يهدف هذا التدقيق إلى ضمان عدم وجود ثغرات متبقية قبل استئناف العمليات.
أصدر فريق GANA اعتذارًا رسميًا للمستخدمين المتضررين عن الإزعاج والخسائر المالية الناتجة عن الحادث الأمني، وتعهد بالحفاظ على التواصل الشفاف خلال عملية التعافي، مع وعد بنشر خطط التعويض والجداول الزمنية عبر القنوات الرسمية قريبًا.
جاء توقيت هذا الاستغلال في فترة شهدت انخفاضًا نسبيًا في نشاط الحوادث الأمنية على مستوى صناعة العملات الرقمية. ووفقًا لبيانات شركة PeckShield، سجل القطاع أدنى خسائر شهرية، بسرقة $18.18 مليون فقط عبر 15 حادثة في فترة حديثة، بانخفاض %85.7 عن خسائر الشهر السابق البالغة $127.06 مليون.
رغم هذا التحسن، يحذر خبراء الأمن من أن المهاجمين يواصلون تطوير أساليبهم بوتيرة توازي أو تتجاوز سرعة البروتوكولات في تعزيز دفاعاتها. وتبرز مهارة منفذ استغلال GANA استمرار صراع التقنيات بين المهاجمين والمدافعين.
وقع خرق GANA بالتزامن مع هجوم أكبر استهدف بروتوكول Balancer، حيث تكبد خسائر تجاوزت $128 مليون عبر عدة شبكات بلوكشين. استغل المهاجم مجمعات Balancer V2 Composable Stable Pools عبر تلاعبات معقدة في العقود الذكية، شملت مشاكل في التصريح ومعالجة الاستدعاءات، مما أدى إلى استنزاف أصول ضخمة خلال دقائق، ثم غسلها عبر Tornado Cash باستخدام أساليب مشابهة لاستغلال GANA.
تمكن بروتوكول StakeWise من استرداد $19.3 مليون من osETH عبر نداء طارئ للعقد، ما قلص خسائر Balancer الصافية إلى حوالي $98 مليون، ولكن الحادثة أثرت بقوة على السوق، حيث انخفض إجمالي القيمة المقفلة (TVL) في Balancer من $442 مليون إلى $214.52 مليون في يوم واحد، ما يظهر مدى الضرر الذي تتسبب به الحوادث الأمنية بثقة المستخدمين في بروتوكولات التمويل اللامركزي (DeFi).
تؤكد هذه الحوادث مجتمعة الأهمية القصوى لعمليات التدقيق الأمني المستمرة، ونظم المراقبة الدائمة، والاستجابة السريعة للحوادث في مشاريع البلوكشين العاملة بقطاع التمويل اللامركزي.
الأسئلة الشائعة
كيف تم استغلال ثغرة $3.1M في مشروع GANA Payment؟
استهدف الاستغلال ثغرات في العقود الذكية لمشروع GANA Payment على شبكة BSC، ما مكن المهاجمين من استنزاف الأموال عبر هجمات إعادة الدخول وتحويل الرموز بشكل غير مصرح، وأدى ذلك لخسارة $3.1M.
ما أثر ثغرة الأمان في هذا المشروع على أموال المستخدمين؟
أدى استغلال بقيمة $3.1M إلى اختراق مباشر لأصول المستخدمين في GANA Payment، وتكبد المتضررون خسارة فورية. سمحت الثغرة للمهاجمين باستنزاف مجمعات السيولة وأرصدة المستخدمين، وشملت الإجراءات الفورية مراجعة أمان المحافظ ومراقبة استعادة الأموال عبر تحليل البلوكشين.
كيف يمكن تحديد وتقييم مخاطر أمان العقود الذكية في مشاريع التمويل اللامركزي (DeFi)؟
راجع التدقيقات الأمنية من شركات موثوقة، حلل الكود على GitHub، تحقق من برامج مكافآت اكتشاف الثغرات، تحقق من بيانات وسجل المطورين، افحص تاريخ نشر العقود، قيّم عمق السيولة، وراقب ملاحظات المجتمع بحثًا عن مؤشرات خطر.
كيف تعامل فريق مشروع GANA Payment مع الحادث الأمني؟
اتخذ فريق مشروع GANA Payment استجابة فورية، أوقف العقود الذكية المتأثرة، وتواصل مع مدققي الأمان للتحقيق في استغلال $3.1M. تواصل الفريق بشفافية مع المستخدمين، وعمل على إجراءات التعافي وتحسين الأمان لمنع الثغرات المستقبلية.
كيف يمكن للمستثمرين حماية أنفسهم من مخاطر ثغرات مشاريع البلوكشين المماثلة؟
ينبغي للمستثمرين إجراء تدقيق شامل للعقود الذكية لدى شركات متخصصة، تنويع الاستثمارات، متابعة تحديثات الأمان، التحقق من بيانات الفريق وخبراته، استخدام محافظ الأجهزة للتخزين، والمشاركة فقط في المشاريع ذات الحوكمة الشفافة وبرامج مكافآت اكتشاف الثغرات النشطة.
ما المشاريع التي شهدت حوادث أمنية بسبب ثغرات العقود الذكية في نظام BSC؟
شهدت شبكة BSC عدة حوادث أمنية، منها PancakeSwap (هجوم قرض سريع)، Binance Bridge (استغلال عبر الشبكات)، SafeMoon (مخاوف السحب الاحتيالي)، وعدة مشاريع أخرى تعرضت لـ ثغرات واستغلالات العقود الذكية أسفرت عن خسائر مالية كبيرة.
* لا يُقصد من المعلومات أن تكون أو أن تشكل نصيحة مالية أو أي توصية أخرى من أي نوع تقدمها منصة Gate أو تصادق عليها .
