2025 ديسمبر كشف أزمة التشفير: كيف أعادت سبع هجمات واسعة النطاق كتابة قواعد الأمان

في آخر شهر من عام 2025، شهد قطاع التشفير أكثر الكوارث الأمنية كثافة. من تكرار ثغرات DeFi في Yearn إلى سقوط سلسلة التوريد في Trust Wallet، ومن اختراق منصة Aevo إلى كشف ثغرات على مستوى بروتوكول Flow، خلال 26 يومًا فقط، وقعت على الأقل 7 حوادث أمنية كبيرة تسببت في خسائر مباشرة تزيد عن 50 مليون دولار، وأثرّت على عشرات الآلاف من المستخدمين. لم يقتصر هذا “عاصفة ديسمبر” على كسر رقم الحوادث الأمنية في شهر واحد فحسب، بل كشف أيضًا عن هشاشة منهجية في النظام البيئي التشفيري من الشيفرة الأساسية إلى أدوات المستخدم.

لماذا ديسمبر؟ التداخل الرباعي للهشاشة النظامية

لم تكن موجة الهجمات في ديسمبر صدفة. عدة عوامل توافقت بشكل مثالي وفتحت نافذة للهاكرز:

فراغ بشري مؤقت: عطلات فرق الأمان أدت إلى تأخير الاستجابة الطارئة من دقائق إلى ساعات. أنظمة المراقبة في بعض البروتوكولات كانت شبه غير موجودة، مما أعطى المهاجمين وقتًا كافيًا لسرقة الأموال وتنظيفها.

نافذة تجميد الشيفرة: عادةً ما تتبع فرق التطوير في ديسمبر سياسة “تجميد الشيفرة” — عدم إصلاح الثغرات المعروفة لتجنب إدخال أخطاء جديدة قبل العطلة. النتيجة أن الشيفرة الضعيفة ظلت مكشوفة طوال الشهر، في انتظار الاستغلال.

انخفاض يقظة المستخدمين: انشغالهم خلال العطلة جعلهم يوافقون على معاملات مشبوهة، ينقرون على روابط خطرة، يتجاوزون خطوات التحقق. عندما تم التلاعب بصلاحيات محفظة معينة، قلّ من يلاحظ.

ذروة السيولة: ديسمبر هو وقت إعادة التوازن للمؤسسات الاستثمارية، وتوزيع مكافآت نهاية العام للمستثمرين الأفراد، مما يجعل السيولة داخل البروتوكولات أعلى من المعتاد. هذا يعني أن الهجمات الناجحة يمكن أن تسرق المزيد من الأموال.

الحالة 1: انهيار Yearn متعدد الطبقات — ديون تقنية وفشل حوكمة ($9.6 مليون)

تُعد حادثة Yearn في ديسمبر خير مثال على التحدي الأساسي الذي يواجه DeFi. هذا البروتوكول الربحي الرائد شهد عدة إصدارات منذ انطلاقه في 2020. بعد استبدال الإصدارات القديمة V1 وV2 بـV3، لم تُحذف الشيفرة، بل توقفت عن الصيانة. المشكلة أن: التوقف عن الصيانة لا يعني إغلاقًا آمنًا.

لا تزال ملايين الدولارات مقفلة في تلك العقود القديمة المهملة. لماذا لا يتم إغلاقها مباشرة؟ لأن ذلك يلامس المفارقة الأساسية في DeFi: البروتوكولات اللامركزية لا يمكنها تجميد أموال المستخدمين بشكل أحادي، حتى لو كان ذلك لحمايتهم. إغلاق العقود يتطلب تصويت حوكمة، لكن من المقترح إلى التصويت يستغرق أيامًا، بينما الثغرات كانت قد استُغلت بالفعل.

كيف بدأ الهجوم

في 2 ديسمبر، بدأ المهاجمون استهداف نظام التنبؤات (Oracle) في النسخ القديمة من Yearn. تعتمد هذه العقود على Uniswap للحصول على أسعار الأصول، لكن برك Uniswap يمكن التلاعب بها مؤقتًا:

1. المهاجم يحصل على 5000 مليون دولار من ETH عبر إقراض فوري (Flash Loan)
2. ينفذ معاملات ضخمة على Uniswap لرفع سعر رموز معينة مؤقتًا
3. يفعّل وظيفة إعادة التوازن في عقود Yearn، التي تعتمد على الأسعار المزيفة لتنفيذ عمليات
4. يعيد سعر Uniswap إلى وضعه الطبيعي
5. يسدد قرض الفوري، ويحتفظ بـ900 ألف دولار كربح

كل ذلك خلال 14 ثانية فقط.

في 16 و19 ديسمبر، عاد المهاجمون مرة أخرى، وهاجموا خزائن Yearn القديمة التي لم تكن ضمن الحوكمة، وسرقوا حوالي 60 ألف دولار إضافي.

الدروس العميقة

هذا يكشف عن مشكلة “ديون تقنية غير قابلة للحل” في بروتوكولات DeFi. الشركات التقليدية يمكنها ترقية أنظمتها أو إيقاف الدعم عن الإصدارات القديمة، لكن الأنظمة اللامركزية لا تستطيع. الحلول تشمل:

• آليات طوارئ مدمجة: يجب أن تتضمن جميع العقود وظيفة إيقاف طارئ بإشراف متعدد التوقيعات
• تقليل القيمة بشكل تدريجي على الواجهات، لزيادة تكلفة الاستخدام وتحفيز الترحيل
• أدوات ترحيل تلقائية: ترقية بنقرة واحدة بدلاً من عمليات يدوية
• صناديق تعويض للعقود القديمة: لضمان تعويض المستخدمين عن العقود التي لا يمكن إغلاقها

الحالة 2: مفارقة التنبؤات — فخ المركزية في Aevo ($2.7 مليون)

إذا كانت مشكلة Yearn تتعلق بـ"الشيفرة القديمة التي لا تموت"، فإن Aevo كشفت عن نقطة مركزية مخفية في أنظمة اللامركزية.

Aevo هو منصة تداول خيارات على السلسلة. تتطلب الخيارات أسعار أصول دقيقة للتسعير — لكن كيف تعرف العقود الذكية سعر البيتكوين الحالي؟ تحتاج إلى “مُنبئ” (Oracle) — مصدر بيانات خارجي. تستخدم Aevo تصميم مُحدث للمُنبئ، نظريًا مرن: إذا فشل مصدر البيانات، يمكن للمسؤولين التبديل بسرعة.

لكن هذه “المرونة” هي نقطة ضعف قاتلة. من يملك مفتاح إدارة المُنبئ يمكنه تعيين الأسعار كما يشاء.

في 18 ديسمبر، حصل المهاجمون على المفتاح عبر تصيد أو وسائل أخرى. خطوات الهجوم:

1. يوجه المُنبئ إلى عقد خبيث
2. يضبط أسعارًا مزيفة: ETH بسعر 5000 دولار (الحقيقي 3400)، BTC بسعر 150 ألف دولار (الحقيقي 97 ألف)
3. يشتري خيارات بأسعار مزيفة (مثلاً، يشتري خيارات شراء رخيصة)
4. يبيع خيارات بيع بلا قيمة
5. يُقفل المراكز على أساس الأسعار المزيفة، ويدفع البروتوكول 2.7 مليون دولار
6. يعيد الأسعار إلى وضعها الطبيعي لتجنب الكشف الفوري، ثم يسحب العملات

كل ذلك خلال 45 دقيقة.

استجابة Aevo كانت سريعة نسبيًا: إيقاف التداول، إعادة بناء نظام المُنبئ، نشر تحكم متعدد التوقيعات وقفل زمني. لكن الثقة تضررت — إذا كان مفتاح واحد يمكنه التلاعب بالنظام كله، فإن “اللامركزية” مجرد وهم.

الحالة 3: أدوات تتحول إلى أسلحة — كارثة Trust Wallet في عيد الميلاد ($7 مليون)

إذا كانت الحالتان السابقتان تستهدفان البروتوكول نفسه، فإن حادث Trust Wallet أظهر كيف يمكن أن تُستخدم أدوات المستخدم الموثوقة كأسلحة هجوم.

امتداد متصفح Trust Wallet لديه أكثر من 50 مليون مستخدم. في ليلة عيد الميلاد، حصل المهاجمون على شهادة إصدار تطبيق Chrome الخاص بمحفظة Trust. أصدروا نسخة خبيثة 2.68 — تبدو كالنسخة الأصلية، لكن داخلها برمجيات مراقبة.

وظائف الشيفرة الخبيثة:

• مراقبة إدخال المستخدم لمفاتيح المساعدة، كلمات المرور، توقيعات المعاملات
• تسجيل هذه المعلومات بسرية
• إرسال البيانات إلى خوادم المهاجمين عبر تصيّد وتحليل حركة المرور
• استعلام API للبلوكشين لتحديد المحافظ ذات القيمة العالية
• إعطاء أولوية لمحو محافظ ذات قيمة عالية

تم مسح حوالي 18 ألف محفظة مباشرة، وتسجيل 12 ألف كلمة سر. كثير من الضحايا اكتشفوا سرقة أموالهم بعد أيام، لأن الشيفرة كانت تعمل بشكل خفي جدًا.

خلل أمني في امتداد المتصفح

هذا الحدث كشف عن مشكلة نظامية في أمان امتدادات المتصفح:

غياب التحقق من التوقيع الرقمي: المستخدمون لا يمكنهم التحقق من أن التحديثات أصلًا من المطورين الرسميين. سرقة بيانات الاعتماد تتيح توزيع تحديثات خبيثة.

صلاحيات واسعة جدًا: الامتداد يمكنه “قراءة وتعديل جميع بيانات المواقع”، والمستخدم يمنحها دون فهم كامل للعواقب.

عدم وجود مراقبة أثناء التشغيل: المتصفح لا يراقب سلوك الامتداد المشبوه (اتصالات غير معتادة، سرقة بيانات اعتماد).

خطر التحديث التلقائي: التحديث التلقائي مفيد، لكنه يصبح قناة هجوم عند سرقة بيانات الاعتماد.

نصائح الحماية للمستخدمين أصبحت صارمة جدًا:

• امتدادات المتصفح يجب أن تحتوي على مبالغ صغيرة يمكن تحمل خسارتها (100-500 دولار)
• استخدام متصفح منفصل للمعاملات التشفيرية، وتثبيت الامتدادات الضرورية فقط
• تعطيل التحديث التلقائي، وتثبيت التحديثات يدويًا بعد مراجعتها
• تخزين الأصول الكبيرة في محافظ أجهزة (هاردوير)

الحالة 4: ثغرات على مستوى البروتوكول — تجاوز صلاحيات Flow ($3.9 مليون)

إذا كانت الحالات الثلاث السابقة تتعلق بـ"طبقة التطبيق"، فإن حادثة Flow تمس جوهر البلوكشين.

Flow هو سلسلة أولى مخصصة للـNFT والألعاب، وتديرها شركة Dapper Labs التي جمعت أكثر من 700 مليون دولار. في 27 ديسمبر، اكتشف المهاجمون ثغرة في التحقق من صلاحية وظيفة إصدار العملات في Flow.

يعتمد Flow على نموذج حساب فريد ولغة برمجة اسمها Cadence. عبر معاملات مُصممة بشكل خاص، تمكن المهاجمون من تجاوز فحص الصلاحيات، وخلق عملات بقيمة 3.9 مليون دولار من لا شيء، ثم باعوها على DEX وهربوا.

رد فعل Flow شمل إجراء مثير للجدل: إيقاف الشبكة بالكامل. تم ذلك عبر تصويت من عُقد التحقق، وأدى إلى توقف جميع المعاملات.

هذا القرار أثار نقاشات فلسفية:

• كيف يمكن لشبكة تدعي اللامركزية أن تتوقف بشكل تعسفي؟
• ما الفرق بين ذلك وبين الرقابة؟
• هل حماية القيمة الاقتصادية مبرر كافٍ؟

ردّ Flow كان أن هذا إجراء طارئ، وأن جميع المدققين وافقوا بشكل مستقل، وأن التوقف مؤقت فقط. لكن سابقة التوقف قد أُنشئت — يمكن الآن إيقاف الشبكة.

بعد 14 ساعة، تم نشر التصحيح، وعادت الشبكة للعمل. تم حرق عملات غير شرعية بقيمة 2.4 مليون دولار، وبلغت قيمة العملات التي تم سحبها عبر الجسور 1.5 مليون دولار، ولا يمكن استردادها.

الدروس النظامية: لماذا تتجمع الهجمات في ديسمبر

عند تحليل جميع الأحداث، تظهر خمسة عوامل رئيسية تجعل ديسمبر “شهر الخطر”:

الأشهر التي تتزامن فيها أربعة عوامل هي تمامًا موسم الكوارث الأمنية.

قائمة حماية المستخدم: بروتوكول الأمان الفائق خلال العطلات

استفادة من دروس ديسمبر الدامية، ينصح المستخدمون خلال فترات الخطر (قبل العطلة بأسبوعين وحتى أسبوع بعدها):

قبل العطلة 2-4 أسابيع:

• مراجعة جميع الأرصدة، خاصة داخل محافظ المتصفح
• نقل الأصول ذات القيمة العالية إلى محافظ أجهزة أو محافظ باردة
• تجنب الاقتراض من بروتوكولات جديدة أو غير ناضجة
• تحديث جميع برامج الأجهزة، ومديري كلمات المرور
• مراجعة إعدادات الأمان في منصات التداول (قوائم السماح بالسحب، صلاحيات API)

خلال العطلة:

• فحص المحافظ عدة مرات يوميًا (تفعيل تنبيهات المعاملات)
• التشكيك في أي رسائل رسمية (حتى لو من جهات معروفة)
• عدم الموافقة على صلاحيات عقود ذكية جديدة
• عدم تثبيت تحديثات برمجية
• تقليل رصيد المحافظ الساخنة إلى الحد الأدنى ($100-500)
• عدم إيداع أموال جديدة في بروتوكولات غير موثوقة

بعد العطلة:

• مراجعة جميع المعاملات غير المصرح بها
• إلغاء جميع صلاحيات العقود غير الضرورية
• تغيير جميع مفاتيح API وكلمات المرور المهمة
• فحص الأجهزة للتأكد من عدم وجود برمجيات خبيثة

مسؤولية البروتوكولات: كيف تبني بنية تحتية آمنة حقًا

بالنسبة لمشاريع DeFi مثل Yearn، فإن تجارب ديسمبر تظهر الحاجة إلى تغييرات جذرية:

• تشغيل أمني مستمر على مدار العام: لا يمكن تقليل المراقبة والاستجابة خلال العطلات. يجب تنظيم نوبات لضمان تغطية 24/7.
• تجميد الشيفرة بشكل صارم قبل 4 أسابيع من العطلة، مع تدقيق أمني شامل. خلال العطلة، يُسمح فقط بالإصلاحات الطارئة، ويُمنع أي تغييرات أخرى.
• استجابة طارئة آلية: تقليل الاعتماد على القرارات البشرية. يجب أن تتضمن أنظمة الكشف عن الشذوذ إجراءات تلقائية مثل قواطع الدوائر.
• تصاريح مسبقة للطوارئ: لا تنتظر وقوع الأزمة لطرح تصويت حوكمة. يُنحى بعض الصلاحيات مسبقًا لمفاتيح متعددة التوقيعات.
• تحذيرات مبكرة للمستخدمين: إعلامهم مسبقًا بفترات الخطر، ونصحهم بتقليل التعرض.
• حوكمة حقيقية متعددة التوقيعات: لا تجعل “اللامركزية” شماعة للتنصل من المسؤولية. عند الضرورة، يجب أن تتخذ الإجراءات.

نظرة مستقبلية لعام 2026: هل ستتكرر الأحداث؟

للأسف، من المرجح أن تتكرر. المهاجمون يتعلمون، والمتحصنون يتأخرون في تحسين دفاعاتهم. إلا إذا حدث تغيير جذري في الصناعة، فمن المتوقع أن:

• تظهر هجمات جديدة خلال موسم العطلات القادم
• تظل الثغرات في الشيفرات القديمة المهملة
• تستمر سلاسل التوريد كمصدر هجوم رئيسي
• تظل المُنبئات الحلقة الأضعف

أما المستخدمون الأفراد، فاستراتيجيتهم الوحيدة هي:

افترض أن كل شيء يمكن أن يُخترق، وصمّم دفاعاتك بناءً على ذلك.

هذه ليست نظرة تشاؤمية، بل وعي واقعي بواقع ديسمبر 2025. صناعة التشفير تمر بمرحلة تطور سريع، والأمان دائمًا وهم. ما يمكنك فعله هو أن ترفع مستوى يقظتك في فترات الخطر، وتجهز نفسك جيدًا، وتكون سريعًا في الاستجابة عند وقوع الأزمة.

شهر ديسمبر 2025 علّمنا أن اليقظة الدائمة ليست مبالغة في الحذر، بل مهارة بقاء أساسية في عالم التشفير.