نسخة العنوان الواحد تؤدي إلى خسائر بملايين الدولارات: غوص عميق في ثغرات تصميم المحافظ

حادث أمني مذهل كشف عن ثغرات أساسية في كيفية تعامل محافظ البلوكشين مع التحقق من العناوين. تعرض حساب يملك ما يقرب من $50 مليون في USDT لعملية احتيال متطورة، حيث تم سحب الأموال إلى محفظة المهاجم من خلال ما يصنفه خبراء الأمن على أنه هجوم سلبي يستغل عيوب تصميم واجهة المستخدم.

كيف يعمل تسميم العنوان: تشريح الهجوم

كانت المحفظة المستهدفة تحافظ على نشاط ثابت في تحويل USDT على مدى ما يقرب من عامين. بعد أن حصلت على حوالي $50 مليون من بورصة رئيسية، قام المستخدم بتنفيذ عملية اختبار أولية للتحقق من عنوان الاستلام — وهو إجراء أمني شائع. ومع ذلك، ما تبع ذلك يوضح كيف يمكن أن تزيد احتياطات المستخدمين بشكل متناقض من تعرضهم للخطر.

كان المهاجم قد وضع مسبقًا عنوان محفظة مزيف يعكس واحدًا يظهر بشكل متكرر في سجل معاملات الضحية. من خلال إيداع مبلغ رمزي من USDT في هذا العنوان المزيف، ضمن المحتال أن يظهر في قائمة المعاملات التاريخية للمستخدم. عندما حاول المستخدم لاحقًا نقل المبلغ الكامل البالغ $50 مليون، قام بنسخ ما اعتقد أنه عنوان موثوق من معاملاته السابقة — واختار في الواقع العنوان المسمم بدلاً من ذلك.

يمثل هذا هجوم سلبي: المهاجم لا يختطف المحفظة قسرًا أو يعبث ببروتوكول البلوكشين نفسه. بدلاً من ذلك، يستغل أنماط سلوك المستخدم المتوقعة وتصميم واجهة المحفظة الذي يشجع على نسخ العناوين من سجل المعاملات. أصبح فعل الضحية النسخ واللصق من سجل محفظته — والذي يُعتبر عادة آمنًا — هو قناة الهجوم.

نماذج الحساب مقابل UTXO: اختلافات في الثغرات الهيكلية

سلط مؤسس كاردانو تشارلز هوسكينسون الضوء على تمييز حاسم في هندسة البلوكشين يوضح لماذا نجح هذا الهجوم بسهولة خاصة على شبكات إيثريوم وEVM-متوافقة. تعمل هذه المنصات على نموذج حسابي، حيث تعمل العناوين كحسابات دائمة تحتفظ بأرصدة وسجلات معاملات مستمرة.

في النظام القائم على الحساب:

• تظل عناوين المستخدم ثابتة عبر جميع المعاملات
• تعرض واجهات المحافظ بشكل طبيعي عناوين تاريخية لراحة المستخدم
• يدرّب هذا التصميم بشكل غير مقصود المستخدمين على الثقة وإعادة استخدام العناوين السابقة
• يخفي البساطة البصرية مخاطر الأمان

على النقيض، تستخدم بيتكوين وكاردانو نموذج UTXO (مخرجات المعاملات غير المصروفة)، الذي يختلف جوهريًا:

• كل معاملة تستهلك المخرجات السابقة وتولد مخرجات جديدة تمامًا
• لا يوجد مفهوم “حساب” دائم بالمعنى التقليدي
• إعادة استخدام العنوان تحمل تحذيرات واضحة وتداعيات أمنية
• لا يمكن لواجهات المحافظ بسهولة عرض سجل عناوين دائم للنسخ منها

يعني هذا الاختلاف الهيكلي أن هجمات تسميم العنوان تواجه مقاومة كبيرة في بيئات UTXO. غياب سجل عناوين دائم يلغي الإشارات البصرية التي يستغلها المحتالون في سيناريوهات هجوم نشطة حيث تسهل واجهة المستخدم للمحفظة عادات خطرة للمستخدمين.

ما بعد البروتوكول: تقاطع التصميم البشري

أكد هوسكينسون أن هذا الحادث لا يمثل فشلًا في البروتوكول ولا ثغرة في العقود الذكية. بل هو مثال على التقاء خطير بين تصميم النظام وسلوك الإنسان — هجوم على الطبقة البشرية لا يمكن لأي أمن تشفيري منعه.

لقد دفع هذا الحادث مطوري المحافظ إلى إعادة النظر في سير عمل التحقق من العنوان. تتضمن التحديثات الأمنية الأخيرة من مزودي المحافظ الرئيسيين تحذيرات صريحة ضد عادة نسخ العناوين وتصميم شاشات التحقق المعاد تصورها مع تمييز بصري محسّن بين العناوين. تعترف هذه التحسينات بأن هندسة الأمان يجب أن تأخذ في الاعتبار سلوك المستخدم الفعلي وليس الممارسات النظرية المثالية.

الدرس الحاسم للمستخدمين

تؤكد خسارة $50 مليون لماذا يتجاوز أمان المحافظ مجرد الحفاظ على المفاتيح الخاصة. يجب على المستخدمين:

• التحقق من العناوين عبر قنوات مستقلة (رموز الاستجابة السريعة، المواقع الموثوقة)
• تجنب نسخ العناوين من سجل المعاملات للتحويلات الكبيرة
• تفعيل ميزات التحقق من العنوان مع ترميز بصري أو رموز تحقق
• إدراك أن تصميم المحفظة يؤثر على نتائج الأمان بقدر ما يؤثر على اليقظة الشخصية

من المحتمل أن يسرع هذا الحادث من مناقشات هندسية حول ما إذا كان ينبغي لنماذج الحساب أن تتبنى تعديلات مستوحاة من UTXO، أو ما إذا كانت واجهات المحافظ تتطلب إعادة تصميم جذرية لتقليل أخطاء الإنسان. إن نضوج منظومة العملات الرقمية يعتمد بشكل متزايد على سد الفجوة بين الأمان التقني وسهولة الاستخدام العملية.