لماذا يهم هيكلية البلوكشين: نداء استيقاظ $50M تسمم العنوان

كابوس مستخدم العملات الرقمية أصبح حقيقة مؤخرًا عندما اختفى ما يقرب من $50 مليون دولار من USDT في ثوانٍ. لم يكن الجاني فشلًا في البروتوكول أو استغلالًا لعقد ذكي، بل كان عبارة عن طريقة هجوم بسيطة بشكل مخادع استغلت تقاطع عيوب تصميم المحافظ والنفسية البشرية. ويعد هذا الحادث تذكيرًا حاسمًا بأن الأمان لا يقتصر على الدفاعات على مستوى البروتوكول فقط—بل يتعلق بفهم كيف تقاوم نماذج البلوكشين المختلفة أنماط هجوم معينة.

فهم تسمم العناوين: هجوم سلبي فعال

يعمل الهجوم المعني على أنه ما يصنفه خبراء الأمن على أنه هجوم سلبي—أي أن المهاجم لا يخترق الأنظمة بقوة، بل يتلاعب بسلوك المستخدم من خلال فخاخ موضوعة بذكاء. إليك كيف حدث ذلك:

الضحية، الذي كان لديه حوالي $50 مليون دولار من USDT تم سحبها حديثًا، اتبع الممارسة الأمنية القياسية بتنفيذ عملية تحويل صغيرة أولاً. بعد دقائق، تم بدء العملية الرئيسية. ومع ذلك، كان المهاجم قد أعد مسبقًا بإنشاء عنوان محفظة مشابه جدًا لواحد يستخدمه الضحية بشكل متكرر، ثم قام بزرع عملية USDT صغيرة فيه.

خدمت هذه المعاملة الصغيرة غرضًا استراتيجيًا: إذ أنشأت سجلًا مسمومًا في واجهة محفظة المستخدم. عند نسخ العناوين من سجل المعاملات—وهو عادة شائعة يشجع عليها معظم واجهات المستخدم للمحفظة—قام المستخدم عن غير قصد بأخذ عنوان مزيف من المحتال بدلاً من المستلم المقصود. وبعد نقرة واحدة، $50 مليون دولار اختفت.

ما جعل هذا الهجوم مدمرًا بشكل خاص هو اعتماده على التلاعب السلبي بدلاً من الاختراق النشط. لم يكسر المهاجم كلمات المرور أو يعترض الاتصالات؛ بل استغل ببساطة كيف تعرض واجهات المحافظ اقتراحات العناوين، محولًا عادات المستخدمين إلى أداة ضدهم.

بنية البلوكشين والأمان: نماذج UTXO مقابل الحسابات

سلط تشارلز هوسكينسون، مؤسس كاردانو، الضوء على فرق معماري حاسم يؤثر مباشرة على هذا الضعف. وذكر أن مثل هذه الخسائر الكبيرة أصعب بكثير تحقيقها في نماذج UTXO المستخدمة من قبل بيتكوين وكاردانو، مقارنة بالأنظمة القائمة على الحسابات مثل إيثريوم وشبكات EVM المتوافقة.

الفرق الأساسي:

في نماذج الحسابات (إيثريوم)، تعمل العناوين كحسابات دائمة ذات أرصدة مستمرة. غالبًا ما تقترح المحافظ نسخ العناوين من سجل المعاملات. يخلق هذا التصميم بيئة مثالية لهجمات تسمم العناوين—حيث يطور المستخدم عادة عادة النسخ واللصق من التاريخ، مما يجعله هدفًا عرضة للهجمات السلبية التي تستغل هذه السلوكيات المتوقعة.

أما في نماذج UTXO (بيتكوين، كاردانو)، فإن كل معاملة تستهلك مخرجات قديمة وتولد مخرجات جديدة. لا يوجد “حساب” دائم للحفاظ عليه، وبالتالي لا يوجد سجل عناوين دائم يمكن تسميمه بصريًا. يزيل الاختلاف المعماري سطح هجوم رئيسي تحمله أنظمة الحسابات بشكل جوهري.

أكد هوسكينسون أن الأمر ليس خللًا في البروتوكول أو ثغرة في الكود—بل هو تفاعل تصميم منهجي حيث يلتقي السلوك البشري بالافتراضات المعمارية. المستخدمون لا يخطئون في فراغ؛ إنهم يردون بشكل منطقي على واجهات المحافظ المصممة حول ديمومة الحسابات.

رد فعل الصناعة والمستقبل

بدأ مجتمع العملات الرقمية في التفاعل مع هذه الثغرات. أصدرت مزودات المحافظ الكبرى تحديثات أمنية تؤكد على مخاطر عادات نسخ العناوين وأعادت تصميم شاشات التحقق من العناوين لتقليل القابلية للتسمم بالعناوين.

تؤكد هذه الاستجابات على مبدأ مهم: يتطلب الأمان مشاركة على مستويات متعددة. يهم بنية البروتوكول، بالتأكيد، لكن أيضًا تصميم المحافظ، وتوعية المستخدمين، وأنماط السلوك. كانت $50 مليون دولار مفقودة يمكن تجنبها—ليس من خلال تشفير أفضل، بل من خلال تصميم تجربة مستخدم أفضل ووعي المستخدم.

فهم الفرق بين كيفية تعامل نماذج البلوكشين المختلفة مع الحسابات الدائمة مقابل المخرجات المعتمدة على المعاملات أصبح أكثر أهمية مع نمو النظام البيئي. بينما ستظل الهجمات السلبية مثل تسمم العناوين تهديدًا حيث يمكن للمستخدمين أن يُ manipulated لنسخ المعلومات، فإن الخيارات المعمارية يمكن أن تقلل بشكل كبير من احتمالية ودرجة حدوث مثل هذه الحوادث.

بالنسبة للمستخدمين الأفراد، الدرس فوري: لا تنسخ العناوين من سجل المعاملات فقط؛ دائمًا تحقق بشكل مستقل من عناوين المستلمين عبر وسائل متعددة. وللصناعة بشكل أوسع، فإن الحادثة تؤكد أن اعتبارات الأمان يجب أن تمتد من تصميم البروتوكول إلى أدق قرارات تجربة المستخدم.