مخاطر أخطاء اللصق: كيف حدث خسارة بقيمة 12.4 مليون دولار من ETH في ثوانٍ

في واحدة من أغلى أخطاء النسخ واللصق في تاريخ البلوكشين، خسر مستخدم 4,556 ETH بقيمة تقريبية تبلغ 12.4 مليون دولار. وتعد الحادثة تذكيرًا مخيفًا بأن الشبكات اللامركزية لا تهتم بنواياك—إنما تهتم بعناوين المحافظ فقط. لم يكن هذا اختراقًا متطورًا أو استغلالًا لعقد ذكي؛ بل كان خطأ بشريًا تم تضخيمه من خلال التعامل غير الحذر مع العناوين.

نمط جدير بالملاحظة: معاملات روتينية ومخاطر مخفية

كانت محفظة الضحية تتبع نمطًا ثابتًا: إيداعات منتظمة إلى Galaxy Digital باستخدام نفس عنوان الإيداع المعتمد (0x6D90CC8Ce83B6D0ACf634ED45d4bCc37eDdD2E48). هذا الروتين خلق توقعًا—شيئًا يمكن للمهاجم استغلاله. يُفترض غالبًا أن الأمان من خلال التكرار، لكنه يمكن أن يصبح مسؤولية إذا كان شخص ما يراقب سجل معاملاتك.

خطة المهاجم: إنشاء عنوان مزيف شبه مثالي

اكتشف المهاجم هذا النمط وصمم فخًا معقدًا. أنشأ عنوانًا احتياليًا يبدو مشابهًا جدًا للعنوان الشرعي لـ Galaxy Digital: 0x6d908Bb7F81454d378194FF0E9f471334e592E48. لجعل عنوانه يبدو شرعيًا، استخدم تقنية تُعرف باسم “قصف الغبار”—إرسال معاملات صغيرة جدًا إلى عنوان الضحية لملء سجل معاملاته. كانت هذه التحويلات الصغيرة، التي تبدو غير مهمة، بمثابة طُعم لجعل العنوان المزيف يظهر في سجلات المعاملات الأخيرة.

اللحظة التي تغير فيها كل شيء: نسخة ولصق خاطئة واحدة

قبل حوالي 11 ساعة، بدأ الضحية عملية إيداع أخرى. بدلاً من إدخال عنوان Galaxy Digital يدويًا أو التحقق منه بعناية، اتخذ قرارًا مصيريًا: نسخ عنوان مباشرة من سجل معاملاته. وفي غمضة عين، اختار العنوان الخطأ—عنوان المهاجم بدلًا من العنوان الشرعي للإيداع. تم تأكيد المعاملة على البلوكشين غير القابل للتغيير. 4,556 ETH اختفت على الفور، وتم تحويلها مباشرة إلى محفظة المهاجم.

دروس مهمة لكل مالك محفظة

تؤكد هذه الحادثة على عدة ممارسات أمنية أساسية:

لا تلصق العناوين من سجل المعاملات. على الرغم من أنها تبدو كاختصار مريح، إلا أن سجلات المعاملات يمكن التلاعب بها من خلال هجمات الغبار. بدلاً من ذلك، تحقق من العناوين عبر القنوات الرسمية—موقع البورصة، واجهة برمجة التطبيقات المعتمدة، أو علامة مرجعية موثوقة.

دائمًا تحقق من الحرف الأول والأخير لأي عنوان قبل تأكيد المعاملة، خاصة للمبالغ الكبيرة. غالبًا ما يحاكي المهاجمون هذه الأجزاء الظاهرة مع تغيير الأجزاء الوسطى.

فكر في استخدام محافظ الأجهزة مع عرض التحقق من العنوان. تظهر بعض محافظ الأجهزة العناوين كاملة على شاشاتها الآمنة، مما يصعب أخطاء النسخ واللصق.

قم بتمكين ميزات القائمة البيضاء إذا كانت منصتك أو محفظتك تدعمها. هذا يقيد عمليات السحب لعناوين معتمدة مسبقًا فقط.

إن عدم قابلية البلوكشين للتغيير هي أعظم قوته وأقسى حكمه. بمجرد إرسال معاملة إلى عنوان خاطئ، لا يوجد زر تراجع. خسارة 12.4 مليون دولار دائمة. في هذه الحالة، ثوانٍ قليلة من الإهمال كلفت ملايين—تذكير صارخ بأنه في عالم الكريبتو، الدقة ليست اختيارية؛ إنها إلزامية.