دریابید که چگونه یک خطای ساده منجر به سرقت چند میلیون دلاری شد و برای محافظت از دارایی‌های رمزنگاری خود در برابر حملات احتمالی چه کاری باید انجام دهید.

نکات کلیدی

1. حدود ۴.۵۵ میلیون دلار از پروتکل Wasabi به دلیل نقض کلید ادمین که تمامی اقدامات امنیتی ضروری را دور زد، به سرقت رفت.
2. این هک به دلیل عدم وجود حفاظت‌های اساسی مانند کیف پول‌های چندامضایی (multisig) و قراردادهای قفل زمانی (timelock) که کنترل کامل پروتکل را به یک کلید واحد می‌دادند، ممکن شد.
3. زیان‌های مرتبط با دیفای در سال ۲۰۲۶ تاکنون از ۷۷۰ میلیون دلار فراتر رفته و ماه چهارم به ناامن‌ترین دوره برای تأمین‌کنندگان نقدینگی (LPs) و معامله‌گران تبدیل شده است.
4. توصیه می‌شود با لغو تأییدیه‌های توکن (token approvals) و دوری از پروتکل‌های دیفای که از کلیدهای خصوصی تکی استفاده می‌کنند، از پورتفولیوی خود محافظت کنید.

واقعیت آسیب‌پذیری‌های دیفای در سال ۲۰۲۶

آیا تا به حال فکر کرده‌اید که چگونه پروژه‌هایی به ارزش میلیون‌ها دلار می‌توانند در عرض چند دقیقه ورشکسته شوند؟ این بهره‌برداری اخیر از پروتکل Wasabi به ما یادآوری می‌کند که حتی پلتفرم‌های بسیار محبوب در اتریوم و بیس (Base) نیز همچنان در برابر هک‌ها و ضررها بسیار آسیب‌پذیر هستند. هکرها از کلید "wasabideployer" بهره‌برداری کردند، نه با شکستن رمزنگاری‌های دشوار بلکه با عبور از در ورودی اصلی. آنچه نگران‌کننده‌تر است این است که این هک بخشی از یک الگوی گسترده‌تر بود که هکرها تلاش می‌کنند از کلیدهای اصلی توسعه‌دهندگان که برای کنترل و استقرار کد خود استفاده می‌کنند، بهره‌برداری کنند. بیش از ۷۷۰ میلیون دلار تاکنون در سال جاری از هک‌های دیفای به سرقت رفته است. اکنون زمان آن فرا رسیده که دیگر تنها به محبوبیت یک پلتفرم اکتفا نکنید.

چگونگی رخ دادن نقض: یک تجزیه و تحلیل سه مرحله‌ای

هک پروتکل Wasabi در سه مرحله و با الگویی آشنا و مخرب رخ داد که برای محافظت از سرمایه‌گذاری‌های خود در برابر چنین رویدادی باید آن را بشناسید.

مرحله ۱: دسترسی به کلید ادمین. مهاجم موفق شد کنترل یک حساب متعلق به یک نهاد خارجی (EOA) را به دست آورد که کلید اصلی ادمین در آن ذخیره شده بود و تمام کیف پول‌های دیگر و کل پروتکل Wasabi را کنترل می‌کرد. این کلید ادمین یک قرارداد چندامضایی نبود، بلکه یک کلید خصوصی تنها بود که با آن می‌توان هر کاری را انجام داد و هر چیزی را در قراردادهای خزانه تغییر داد.

مرحله ۲: افزایش امتیازات و جایگزینی کد. در مرحله بعد، مهاجمان با استفاده از استاندارد پروکسی ارتقاءپذیر جهانی (UUPS)، که برای به‌روزرسانی کد توسط توسعه‌دهندگان در مواقع لزوم طراحی شده است، امتیازات خود را افزایش دادند. با این حال، در این مورد، مهاجمان از این ابزار برای جایگزینی قرارداد هوشمند واقعی با کد خود استفاده کردند و سپس کنترل کامل پروتکل را به دست گرفتند و خزانه‌ها را به‌روزرسانی کردند تا بتوانند بلافاصله تمامی دارایی‌ها را تخلیه کنند.

مرحله ۳: انتقال وجوه سرقت شده بین زنجیره‌ها. مهاجمان پروتکل را هم در بلاکچین اتریوم و هم در بلاکچین بیس تخلیه کردند و از آنجایی که هیچ قفل زمانی (timelock) در پروتکل پیاده‌سازی نشده بود، موفق شدند ۴.۵۵ میلیون دلار سرقت شده را قبل از اینکه کسی بتواند واکنش نشان دهد یا دارایی‌های خود را برداشت کند، منتقل کنند.

اهمیت استانداردهای امنیتی

آیا می‌دانید که برخی از بزرگترین حملات سایبری سال ۲۰۲۶ قابل اجتناب بودند اگر از یک کیف پول چندامضایی (multisig) استفاده می‌کردند؟ برای به‌روزرسانی یک قرارداد، به ۳ امضا از ۵ امضا نیاز دارد که عملاً نابود کردن یک پروتکل تنها با هک شدن یک کلید را تقریباً غیرممکن می‌سازد. به نوبه خود، یک قفل زمانی (timelock) مانند یک محافظ است که یک دوره تأخیر را در تغییرات مدیریتی اعمال می‌کند.

مشکل در مقابل راه حل

اقدامات پیشگیرانه برای پورتفولیوی شما

شاید نتوانید نحوه ایجاد پروتکل‌های این توسعه‌دهندگان را دیکته کنید، اما می‌توانید نحوه برخورد خود با آن را تعیین کنید. در اینجا چند گام وجود دارد که به شما کمک می‌کند تا خود را در سطح قابل توجهی ایمن نگه دارید:

1. رد کردن تأییدیه توکن: باید توکن‌های تأیید شده در هر پلتفرم را با استفاده از ابزارهایی مانند بررسی‌کننده‌های تأییدیه توکن اتراسکن (etherscan token approvals checkers) بررسی کنید. اگر در حال حاضر هیچ معامله‌ای انجام نمی‌دهید، فوراً آنها را رد کنید.
2. تنوع‌بخشی نقدینگی: هرگز نباید همه تخم‌مرغ‌های خود را در یک سبد قرار دهید. به عبارت دیگر، نباید تمام ثروت خود را در یک نوع سیستم معاملاتی سرمایه‌گذاری کنید.
3. نظارت بر کانال‌های رسمی: همیشه باید حساب‌های رسمی شبکه‌های اجتماعی آنها را برای اطلاع از اخبار مربوط به به‌روزرسانی امنیتی در این پروتکل‌ها نظارت کنید. باید بدانید که وقتی کسی از شما می‌خواهد وجوه خود را به آدرس جدیدی منتقل کنید، ممکن است یک حمله فیشینگ باشد.
4. 
   

درک خطرات و مزایا

مزیت استفاده از پلتفرم‌های پرپچوال غیرمتمرکز، اهرم بالا و دسترسی به جفت‌های معاملاتی مختلف است که ممکن است از طریق نوسانات بازار سودآور باشد. اما خطر بهره‌برداری از کلید ادمین همیشه در مراحل اولیه دیفای (مالی غیرمتمرکز) وجود دارد. امکان سودهای بالا باید با این دانش متعادل شود که سطح امنیتی کد تنها به اندازه پایین‌ترین سطح امنیتی آن خوب است.

حفاظت از آینده شما در دیفای

نقض پروتکل واسابی به هیچ وجه یک ناهنجاری نیست – بلکه نشانه‌ای است که هنوز فضای زیادی برای بهبود امنیت در این بخش وجود دارد. با گذشت زمان، همانطور که در سفر رمزنگاری خود پیش می‌روید، اطمینان حاصل کنید که پروتکل‌هایی که انتخاب می‌کنید، غیرمتمرکزسازی کلید استقرار خود را به جای دادن دسترسی کامل به یک فرد، در اولویت قرار می‌دهند.

حالا، وقت بگذارید و کیف پول‌های متصل خود را بررسی کرده و یک ممیزی شخصی انجام دهید. پانزده دقیقه را صرف بررسی تأییدیه‌های توکن خود کنید و هر چیز مشکوکی را که دیگر به پروتکلی که از آن استفاده می‌کنید تعلق ندارد، حذف کنید. به این ترتیب، می‌توانید از حملات احتمالی در امان بمانید و کنترل دارایی‌های خود را در دنیای دیجیتال در دست داشته باشید.