أُفْرِغَتْ أكثر من 500 محفظة إيثريوم، كانت العديد منها غير نشطة لسنوات، في هجوم منسّق أسفر عن خسائر تقارب 800,000 دولار، مع غسل الأموال المسروقة لاحقاً عبر بروتوكول العبور عبر السلاسل ThorChain، وفقاً لخبراء تحليل البيانات على السلسلة. وتبرز الحادثة بسبب قدم المحافظ المتأثرة، إذ ظل بعضها غير نشط لمدة تصل إلى سبع سنوات. وأشار محللون إلى أن المهاجم استهدف محافظ بلا نشاط حديث، ما يثير مخاوف بشأن ثغرات كامنة مرتبطة بممارسات قديمة لإدارة المفاتيح أو باعتمادات تم اختراقها مسبقاً.
Attack Targets Dormant Wallets at Scale
تشير بيانات السلسلة إلى أن مجموعة من العناوين نفّذت بشكل منهجي سحب الأموال من مئات المحافظ خلال فترة قصيرة. كانت المحافظ المتأثرة تحتوي على إيثِر وأصولاً أخرى، على الرغم من أن الأرصدة الفردية كانت في العادة متواضعة.
لاحظ الباحثون أن كثيراً من المحافظ المخترَقة أُنشئت بين 4 و8 سنوات مضت، ما يوحي بأن أساليب التخزين الأقدم أو مفاتيح خاصة مكشوفة ربما لعبت دوراً. وفي بعض الحالات، أفاد مستخدمون متأثرون بعدم وجود تفاعل حديث مع تطبيقات لامركزية أو عقود مشبوهة، ما يزيد من عدم اليقين حول كيفية الحصول على الوصول.
لم يفرغ المهاجم كل محفظة بالكامل، ما دفع المحللين إلى التفكير في احتمال أن تكون العملية قد تضمنت استهدافاً انتقائياً بناءً على عتبات الرصيد أو استراتيجيات استخراج صُممت لتفادي اكتشاف النشاط.
Unclear Attack Vector
من أبرز جوانب الحادثة غياب نقطة دخول مؤكدة. على عكس عمليات تفريغ المحافظ الشائعة المرتبطة بروابط تصيّد أو موافقات خبيثة، لم يُربط هذا الهجوم بعد بآلية استغلال محددة.
اقترح باحثون في أمن المعلومات عدة تفسيرات محتملة، منها اختراق مفاتيح خاصة، أو ثغرات في برمجيات محافظ قديمة، أو بيانات اعتماد انكشفت في تسريبات تاريخية لم تُستغل إلا مؤخراً.
تصاعدت المخاوف بشأن استهداف المحافظ الخاملة لأن عناوين من هذا النوع يُفترض غالباً أنها أكثر أماناً بسبب عدم تفاعلها مع بروتوكولات أحدث. وتحدّى هذا الحدث ذلك الافتراض، وبرز عبره خطر التخزين طويل الأجل دون تدوير دوري للمفاتيح.
Funds Routed Through ThorChain to Obscure Trail
بعد السرقة، مرّر المهاجم الأموال عبر ThorChain، وهو بروتوكول سيولة لامركزي متعدد السلاسل يتيح تبادل الأصول عبر عدة سلاسل بلوك تشين دون وسطاء مركزيين. وقال المحققون إن أجزاءً من إيثِر المسروق حُوّلت إلى أصول أخرى لتعقيد جهود تتبعها. ويُعد استخدام البنية التحتية للعبور عبر السلاسل وتبديل الأصول تكتيكاً شائعاً في الاستغلالات المرتبطة بالعملات المشفرة، إذ يجزّئ مسارات المعاملات ويقلل من قابلية تتبعها.
Security Implications and Recommendations
تُبرز الحادثة هشاشة مستمرة في أنظمة الحيازة الذاتية، خصوصاً بالنسبة للمحافظ التي أُنشئت خلال المراحل المبكرة من منظومة العملات المشفرة. ومع تطور الصناعة، قد تعتمد المحافظ الأقدم على افتراضات أمان قديمة أو أدوات لم تعد تُعد ممارسة رائدة.
حذّر محللون أمنيون من أن المحافظ الخاملة قد تتحول إلى أهداف إذا كانت المفاتيح الخاصة قد انكشفت عبر ضعف في توليد عشوائية المفاتيح، أو أجهزة مخترَقة، أو تسريبات تاريخية. وتُسلّط الحادثة الأخيرة الضوء على أهمية اتخاذ تدابير أمنية استباقية، بما في ذلك نقل الأموال إلى محافظ جديدة تم إنشاؤها حديثاً وتحديث ممارسات التخزين.
ورغم أن الأثر المالي محدود نسبياً مقارنةً باستغلالات أكبر في التمويل اللامركزي، فقد حازت الحادثة على اهتمام كبير بسبب أسلوب الاستهداف غير المعتاد والسبب التقني غير الواضح. وبالنسبة إلى المشاركين في السوق، تعزز الحادثة أهمية النظافة الأمنية للمحافظ وإدارة المفاتيح مع استمرار المهاجمين في تطوير أساليبهم.
ما زال المحققون يواصلون تحليل أنماط المعاملات بهدف تحديد السبب الجذري. وقد يساعد الفهم الأكثر وضوحاً لآلية الاستغلال في توجيه توصيات أمنية مستقبلية والحد من تكرار حوادث مشابهة. وتعمل الهجمة كتذكير بأن الخمول وحده لا يضمن السلامة في عالم العملات المشفرة، وأن حتى الأصول التي ظلت خاملة لفترة طويلة قد تصبح أهدافاً في بيئة تهديدات أكثر تعقيداً.
