محيط أربيتروم يواجه حادثة بقيمة 1.5 مليون دولار: كيف تم اختراق ثغرة عقد الوكيل بشكل متسلسل

آربتروم، كأكبر حل توسيع من الطبقة الثانية على إيثريوم من حيث الحجم، وقع مؤخراً في أزمة بعد حادث هجوم متعمد على عقد ذكي. وفقاً لبيانات منصة التحليل الأمني على السلسلة Cyvers، تمكن المهاجمون من سرقة أصول بقيمة 1.5 مليون دولار عبر ثغرة في عقد وكيل، وتورط في ذلك مشروعان بيئيان هما USDGambit وTLP. لم تتسبب هذه الحادثة فقط في خسائر اقتصادية مباشرة هائلة، بل كشفت أيضاً عن مخاطر حوكمة واسعة الانتشار في نظام أربيتروم البيئي.

تم اكتشاف الحادث في أوائل يناير 2026، وكانت أساليب المهاجمين دقيقة ومخادعة. وفقاً لتحليل الأدلة على السلسلة من Cyvers، تضمن الهجوم عقداً مخصصاً ونفاذاً دقيقاً إلى هيكل ProxyAdmin، مما أدى في النهاية إلى تحويل 1.5 مليون دولار من USDT من عناوين الضحايا مباشرة. تذكرنا هذه الحادثة مرة أخرى بأن حتى الحلول التقنية المعتمدة على نطاق واسع، فإن ثغرات الحوكمة فيها يمكن أن تتسبب بكوارث.

كيف استغل المهاجمون صلاحيات ProxyAdmin لسرقة 1.5 مليون دولار

استخدم الهجوم على أربيتروم استهدافاً دقيقاً للعقود القابلة للترقية. استغل المهاجمون عنوان محفظة «0x763…12661» للتحكم مباشرة في عقد TransparentUpgradeableProxy، وهو نوع من العقود الوكيلة يلعب دوراً حيوياً في بنية DeFi، حيث يسمح للمطورين بترقية المنطق البرمجي دون تغيير عنوان العقد.

المفتاح في الهجوم كان تجاوز صلاحيات ProxyAdmin. يُعد ProxyAdmin طبقة الحوكمة للعقود القابلة للترقية، وغالباً ما يكون تحت سيطرة منشئ العقد. لكن في هذا الحدث، تمكن المهاجمون من تجاوز القيود التقليدية على الصلاحيات، وحصلوا على صلاحية المدير. بعدها، سرق المهاجمون من عنوان الضحية «0x67a…e1cb4» مبلغ 1.5 مليون دولار من رموز USDT. كل ذلك تم توثيقه بوضوح على السلسلة، ومسار تدفق الأموال كان شفافاً تماماً، لكن لم يتمكن أحد من اعتراضه في الوقت المناسب.

تكشف هذه الطريقة في الهجوم عن مشكلة أعمق: العديد من مشاريع DeFi عند نشرها، تركز صلاحيات ProxyAdmin في عنوان واحد. وإذا تم اختراق هذا العنوان أو سيطر عليه المهاجمون، فإن النظام بأكمله يصبح عرضة للخطر. أكد منشئو مشروعي USDGambit وTLP فقدان السيطرة على عقودهما، مما يعني أنهما غير قادرين على تحديث العقود أو إيقاف تحويل الأموال لإصلاح الثغرات.

من السرقة إلى غسيل الأموال: مسار هروب الأموال بقيمة 1.5 مليون دولار

السرقة كانت مجرد خطوة أولى، فإخفاء الأموال هو الهدف النهائي للمهاجمين. تظهر بيانات Cyvers أن المهاجمين بعد سرقة 1.5 مليون دولار من USDT، بدأوا فوراً في تنفيذ خطة معقدة لتشويش وتتبع الأموال. أولاً، قاموا بنقل الأموال من جسر أربيتروم عبر السلسلة إلى شبكة إيثريوم الرئيسية، مستفيدين من الثغرات التنظيمية والتقنية بين الشبكات المختلفة لزيادة صعوبة التتبع.

الخطوة التالية كانت أكثر دهاءً — حيث قام المهاجمون بإيداع جزء من الأموال في بروتوكولات الخصوصية اللامركزية مثل Tornado Cash. هذه البروتوكولات تهدف إلى كسر شفافية تتبع الأموال على البلوكشين، من خلال آليات خلط العملات التي تجعل مصدر الأموال ووجهتها غير قابلة للتتبع. بمجرد دخول الأموال إلى هذه الأحواض الخاصة، تكاد تكون استعادةها من قبل الجهات القانونية أو المشاريع مستحيلة، مما يجعل استرداد 1.5 مليون دولار مهمة شبه مستحيلة.

لماذا أصبحت ثغرات حوكمة العقود الوكيلة تهديداً نظامياً في DeFi

الهجوم على أربيتروم لم يكن حادثاً معزولاً. رغم أن بنية العقود القابلة للترقية مثل TransparentUpgradeableProxy توفر مرونة كبيرة لنظام DeFi، إلا أن هيكل الحوكمة المركزي للصلاحيات أصبح نقطة ضعف معترف بها في الصناعة. كثير من المشاريع عند السعي للتطوير السريع، يتجاهلون إدارة صلاحيات ProxyAdmin بشكل دقيق.

تصميم العقود الوكيلة يهدف إلى إصلاح الثغرات وتحسين المنطق، لكن إذا كانت صلاحيات التحكم غير محكمة، فإن هذه الميزة تتحول إلى نقطة ضعف. حجم الخسارة البالغ 1.5 مليون دولار يعكس الواقع الحقيقي لحجم الأموال والمخاطر في نظام أربيتروم البيئي. على الصناعة أن تدرك أن إدارة الصلاحيات المركزية تحمل مخاطر نقطة فشل واحدة، وأي ضعف فيها يمكن أن يستغل من قبل المهاجمين.

وفي الوقت نفسه، ينبغي للمشاريع البيئية أن تفكر في اعتماد محافظ متعددة التوقيع، وآليات قفل الوقت، والحكم اللامركزي كإجراءات حماية. من خلال توزيع صلاحيات ProxyAdmin، وتعيين فترات تأخير للترقية، أو نقل الصلاحيات إلى إدارة المجتمع عبر DAO، يمكن تقليل مخاطر الهجمات بشكل كبير. كبيئة ناضجة، يجب على أربيتروم أن يدفع جميع المشاريع إلى تبني معايير أمنية أكثر صرامة، بحيث لا تتكرر دروس الـ1.5 مليون دولار مرة أخرى.