في الأول من ديسمبر، تعرض بروتوكول التمويل اللامركزي Yearn Finance لهجوم، حيث قام المخترقون بتفريغ مجمع السيولة عن طريق إصدار كمية غير محدودة من رموز yETH.
ووفقًا لشركة الأمن السيبراني PeckShield، تُقدّر الخسائر الإجمالية الناجمة عن هذا الحادث بنحو 9.000.000 دولار أمريكي.
وتُظهر بيانات سلسلة الكتل أن المهاجم قام بالفعل بتحويل 1.000 ETH (ما يعادل تقريبًا 3.000.000 دولار أمريكي) إلى خدمة خلط العملات الرقمية Tornado Cash، بينما لا يزال عنوان المهاجم يحتفظ بأصول مشفرة تبلغ قيمتها نحو 6.000.000 دولار أمريكي.
01 نظرة عامة على الحادث: استنزاف مجمع yETH بسرعة
في الأول من ديسمبر، تعرض منتج Yearn Ether (yETH) التابع لـ Yearn Finance لهجوم كبير. يُعد هذا المنتج رمز مؤشر يجمع عدة رموز شهيرة للتخزين السائل (LSTs).
استغل المهاجم ثغرة مصممة بعناية لإصدار كمية شبه غير محدودة من رموز yETH في معاملة واحدة، مما أدى إلى استنزاف مجمع السيولة بالكامل بسرعة.
وتشير بيانات سلسلة الكتل إلى أن الهجوم تضمن عدة عقود ذكية تم نشرها حديثًا، بعضها تم تدميره ذاتيًا فور تنفيذ المعاملة، الأمر الذي زاد من تعقيد التحقيق.
وبعد الحادث، أصدرت Yearn Finance بيانًا عبر منصة X جاء فيه: "نحن نحقق في الحدث المتعلق بمجمع yETH LST StableSwap. خزائن Yearn V2 وV3 لم تتأثر."
02 طريقة الهجوم: إصدار غير محدود وتحويل الأموال
وفقًا لمستخدم منصة X المعروف باسم Togbe، تم اكتشاف الهجوم أثناء مراقبة التحويلات الكبيرة.
وأوضح Togbe: "تُظهر التحويلات الصافية أنه تم إصدار yETH بشكل مفرط، ما أتاح للمهاجم استنزاف المجمع وتحقيق ربح يقارب 1.000 ETH."
وخلال الهجوم، فُقد بعض ETH لأسباب غير معروفة، إلا أن المهاجم حقق في النهاية أرباحًا كبيرة.
وبعد تأمين الأموال، قام المهاجم بتحويل 1.000 ETH (بقيمة تقارب 3.000.000 دولار أمريكي) إلى Tornado Cash — وهو بروتوكول خصوصية لامركزي يُستخدم غالبًا لإخفاء مسار الأموال.
وتُظهر بيانات PeckShield أن عنوان المهاجم لا يزال يحتفظ بأصول مشفرة تبلغ قيمتها نحو 6.000.000 دولار أمريكي.
03 Tornado Cash: أداة للخصوصية وجدلية غسيل الأموال
يُعد Tornado Cash بروتوكول خصوصية لامركزي قائم على شبكة Ethereum، ويستخدم تقنية إثبات المعرفة الصفرية لمساعدة المستخدمين على إخفاء تفاصيل معاملاتهم.
يوفر البروتوكول حماية الخصوصية من خلال قطع الروابط على السلسلة بين عناوين الإيداع والسحب.
ومع ذلك، جعلت ميزة الخصوصية هذه من Tornado Cash أداة مفضلة لدى المخترقين الراغبين في غسل الأموال.
وفي أغسطس 2022، أدرجت وزارة الخزانة الأمريكية Tornado Cash ضمن قائمة العقوبات، مشيرة إلى أن مجموعة القراصنة Lazarus استخدمت المنصة لغسل مئات الملايين من الدولارات منذ عام 2019.
وفي مارس 2025، تم أخيرًا إزالة Tornado Cash من قائمة العقوبات التابعة لوزارة الخزانة، وهو تطور يُنظر إليه كإنجاز كبير لصناعة البلوكشين.
04 سجل Yearn Finance في مجال الأمان
لم تكن هذه المرة الأولى التي يتعرض فيها Yearn Finance لحادث أمني.
ففي عام 2021، تعرض البروتوكول لهجوم استهدف خزينة yDAI، مما أدى إلى خسائر بلغت 11.000.000 دولار أمريكي، بينما حقق المخترقون أرباحًا بلغت 2.800.000 دولار أمريكي.
وفي ديسمبر 2023، تسبب خطأ برمجي في خسارة بنسبة 63% في أحد مراكز الخزائن، إلا أن أموال المستخدمين لم تتأثر.
تم إطلاق Yearn Finance في عام 2020 على يد المؤسس Andre Cronje، الذي غادر المشروع بعد عامين.
05 تأثير السوق وتراجع أوسع في سوق العملات الرقمية
وقع الهجوم أثناء تراجع حاد في سوق العملات الرقمية.
ففي صباح الأول من ديسمبر، انخفض سعر بيتكوين مؤقتًا إلى ما دون 86.000 دولار أمريكي، متراجعًا بأكثر من 5% في يوم واحد؛ كما فقدت Ethereum دعم مستوى 2.900 دولار أمريكي.
وبحسب بيانات Coinglass، تم تصفية عقود عملات رقمية بقيمة تجاوزت 500.000.000 دولار أمريكي عبر الشبكة خلال 24 ساعة، مما أثر على 177.200 متداول.
وقد يكون هذا التراجع مرتبطًا بشائعات حول احتمال استقالة رئيس مجلس الاحتياطي الفيدرالي Jerome Powell، رغم أن وسائل الإعلام الأجنبية الرئيسية لم تورد ذلك، ويعتقد المحللون أن الشائعة على الأرجح غير صحيحة.
06 استجابة القطاع وتوقعات المستقبل
كل حادثة اختراق تثير تساؤلات جديدة حول أمان التمويل اللامركزي (DeFi).
وفي قضية Tornado Cash، قدمت وزارة العدل الأمريكية في أغسطس 2023 اتهامات جنائية ضد المؤسسين المشاركين Roman Storm وRoman Semenov، متهمةً إياهما بالتآمر لغسل الأموال، وتشغيل نشاط تحويل أموال غير مرخص، وانتهاك لوائح العقوبات.
وقد واجهت منظمات القطاع هذه الاتهامات، حيث صرحت Coin Center: "اعتبار تطوير البرمجيات مفتوحة المصدر جريمة يُعد ضربة للابتكار التكنولوجي."
وبالنسبة للمستثمرين المؤسسيين، تُظهر قضية Tornado Cash أن الجهات التنظيمية تتوقع الآن الامتثال الاستباقي، وليس مجرد التحقق من هوية الأطراف المقابلة.
ينبغي على المؤسسات تنفيذ أنظمة مراقبة سلسلة الكتل في الوقت الفعلي، إلى جانب أدوات فحص العقوبات الآلية، لتحديد ومنع المعاملات المشبوهة قبل حدوثها.
التوقعات
تُقدّر شركة PeckShield للأمن السيبراني إجمالي الخسائر الناجمة عن هذا الهجوم بنحو 9.000.000 دولار أمريكي، حيث تم بالفعل تحويل نحو 3.000.000 دولار أمريكي إلى Tornado Cash، بينما لا يزال عنوان المهاجم يحتفظ بأصول مشفرة بقيمة تقارب 6.000.000 دولار أمريكي.
حتى وقت النشر، يواصل فريق Yearn Finance التحقيق في الحادث، وقد أكد أن خزائن V2 وV3 لم تتأثر. ويبرز هذا الحدث مجددًا التحديات المستمرة التي تواجه التمويل اللامركزي في تحقيق التوازن بين الأمان والامتثال التنظيمي.
