تعرّض بروتوكول Wasabi لاختراق ضخم، خسر فيه أكثر من 5.5 مليون دولار عبر أربعة بلوكشين: Ethereum وBase وBlast وBerachain.
يعود الاستغلال إلى ثغرات أمنية، غير أن التحقيقات حتى الآن تؤكد أن الاختراق لم يكن بسبب أي ضعف في كود العقد الذكي الخاص بالبروتوكول نفسه. بل كان الاختراق بسبب اختراق محفظة النشر (deployer wallet)، مما كشف عن أحد نقاط الضعف المتكررة في DeFi (التمويل اللامركزي): الاعتماد المفرط على الحوكمة المركزية.
رصد محللو الحماية الحادثة على الفور تقريباً، إذ لاحظوا أن الهجوم تحرّك بسرعة واتّبع أسلوباً موحداً عبر كل سلسلة مدعومة. وقد استقطب الحدث اهتماماً واسعاً من أعضاء مجتمع الكريبتو الذين يرونه مثالاً صارخاً على كيفية إحداث الثغرات غير المتعلقة بالكود فوضى واسعة.
إساءة استخدام صلاحيات المسؤول من قِبل الهجوم
استغل الهجوم الإدارة بأسلوب منهجي للغاية. إذ اخترق المهاجمون أولاً الدور الرئيسي الذي كان يتحكم في سلسلة كاملة من العقد الديناميكية التي يمكن لمن لديهم صلاحية الوصول إنشاؤها.
باستخدام هذا الوصول، استدعى المهاجم grantRole، ومنح فوراً عقداً خبيثاً جديداً حقوق مسؤول النظام. كانت السمة المحورية لهذه العملية أنها تجاوزت جميع حمايات التأخير، إذ أتاح النظام تعيين الأدوار دون أي timelock.
بعد الحصول على السيطرة الإدارية، نشر المهاجم عقد orchestrator الذي استدعى بالتسلسل إيداع الاستراتيجية لكل خزينة من الخزائن. ومع امتلاك العقد لصلاحيات مستوى المسؤول، أصبح معدّل admin الوحيد، المخصص لتقييد الوصول، غير فعّال.
سمح ذلك للمهاجم باستنزاف الأصول مباشرةً من الخزائن، ونقل الأموال إلى EOAs عبر السلاسل الأربع جميعها. تشير سرعة الهجوم ودقته إلى أن المهاجمين كانوا على دراية مسبقة ببنية النظام وثغراته.
تدابير الاسترداد الفورية تُعطّل الوصول المخترق
في أعقاب ذلك، اتُّخذت إجراءات على السلسلة لتعطيل صلاحيات المفتاح المخترق بسرعة. وجرى إزالة جميع الأدوار المهمة (مثل ADMIN، فضلاً عن معرّفات الأدوار كـ100 و101 و102 و103) من محفظة النشر المخترقة الأصلية. وقد أزال ذلك تماماً أي وصول متبقٍّ للمسؤول من قِبل المهاجم على البروتوكول. ونتيجةً لذلك، سُدّ ناقل الهجوم المحدد.
يؤكد المحللون أن المفتاح المخترق لم يعد بالإمكان استخدامه في أي جولة أخرى من العمليات غير المصرح بها، وهو إنجاز بارز في وقف هذه الحادثة. غير أن الأموال المسروقة المتبقية لا تزال في محافظ المهاجمين على هذه السلاسل دون أي خيارات لاستردادها في الوقت الراهن.
وجد مستخدمو البروتوكول أنفسهم عالقين مع رموز LP لا قيمة لها، وهم ينتظرون الإعلان عن خطة تعويض. وقد أحدث الاختراق تأثيراً هائلاً على المستخدمين. ففي هذه الحالة، جُرِّدت رموز حصص مزود السيولة (LP) المتبقية في محافظ المستخدمين من قيمتها، على الأقل في الوقت الراهن، نظراً لاستنزاف الأصول التي كانت تحتفظ بها الخزائن.
أكّد فريق بروتوكول Wasabi الحادثة وأشار إلى أن التحقيقات جارية. وحتى إشعار آخر، يُنصح المستخدمون بشدة بتجنّب استخدام أي عقود Wasabi للحدّ من المخاطر الإضافية. وتعمل شركات الحماية مثل SEAL 911 وBlockaid مباشرةً مع فريق البروتوكول لفهم حجم الضرر وتحديد تدابير المعالجة. وفي الوقت الراهن، ينتظر المجتمع معلومات حول خطة التعويض التي ستكون محورية في إعادة بناء الثقة ومساعدة المستخدمين على استرداد خسائرهم.
بروتوكول Virtuals يستجيب بتجميد الميزات المرتبطة بـ Wasabi
أضرّ الاستغلال مراراً بالمنصات المرتبطة، ومن بينها بروتوكول Virtuals الذي يستخدم بنية Wasabi التحتية لأنظمة معينة.
استجاب بروتوكول Virtuals بسرعة بتجميد إيداعات الهامش المرتبطة بـ Wasabi. واتخذ الفريق احتياطات لضمان استمرار عمليات النواة: التداول والسحوبات ووظائف الوكيل.
مع استمرار تطور الأحداث، حُذِّر المستخدمون من التوقيع على أي نوع من المعاملات المتعلقة بـ Wasabi. وأكّد الفريق أن هذه القيود مؤقتة وستبقى سارية حتى التأكد من سلامة الأنظمة الأعلى مستوى.
ZachXBT ينتقد غياب الحمايات الأمنية الأساسية
أثار الاستغلال نقاشات جديدة حول مدى نضج ممارسات الحماية في DeFi (التمويل اللامركزي)، في ظل تساؤلات متواصلة حول استخدام ضوابط الإدارة. ويشكّك خبير تحليل البلوكشين ZachXBT في المبرر وراء منح حساب واحد مملوك خارجياً (EOA) قدراً كبيراً من السيطرة العامة دون شبكات أمان أساسية كـ multisig وعدم إمكانية تطبيق timelock عليه.
وتعكس انتقاداته اتجاهاً أوسع في الصناعة: فالعقود الذكية تخضع بشكل اعتيادي لعمليات تدقيق مستفيضة، إلا أن هياكل الحماية والحوكمة اليومية كثيراً ما تظل أهدافاً سهلة.
استغلالات غير مرتبطة بالكود في تصاعد خلال أبريل
تُعدّ حادثة Wasabi مثالاً بارزاً على ما شهدناه من تصاعد طوال أبريل: ظهور استغلالات كبرى لا تنجم عن ثغرات في العقود الذكية، بل عن إشكاليات في الحماية الإدارية.
عملت منطق العقد في هذه الحالة كما صُمِّم. فشل نموذج الثقة، ببساطة؛ إذ استخدم S1 في هذه الحالة مفتاح admin واحداً للتحكم في المستوى الأعلى دون أي طبقات حماية إضافية.
يحاكي هذا النمط تحوّلاً في مشهد التهديدات. بات المهاجمون يميلون أقل وأقل نحو اختراق الكود الصعب المراس، ويتجهون أكثر نحو مسار المقاومة الأدنى بالتركيز على ثغرات الحوكمة والعمليات.
الدرس المستفاد للمطورين والبروتوكولات على حدٍّ سواء هو أن الحماية تتجاوز تدقيق الكود لتشمل ضمان سياسات صارمة لإدارة المفاتيح وضوابط الوصول وآليات الحماية من الفشل.
مع استمرار التحقيقات في الكشف عن مزيد من التفاصيل، من المرجح أن يصبح استغلال Wasabi مثالاً مهماً على المخاطر المتزايدة التي يواجهها التمويل اللامركزي.
إفصاح: هذا ليس نصيحة تداول أو استثمار. احرص دائماً على إجراء بحثك قبل شراء أي عملة رقمية أو الاستثمار في أي خدمات.
تابعنا على Twitter @nulltxnews لتبقى على اطلاع بآخر أخبار الكريبتو و NFT والذكاء الاصطناعي والأمن السيبراني والحوسبة الموزعة وMetaverse!
Source: https://nulltx.com/wasabi-protocol-exploit-drains-5-5m-across-four-chains-as-compromised-admin-key-exposes-critical-security-flaw/
