اختراق يكلف منصة Unleash Protocol نحو 3.9 مليون دولار

تعرضت منصة Unleash Protocol اللامركزية، المتخصصة في إدارة الملكية الفكرية عبر البلوكشين، لاختراق أمني أدى إلى سرقة أصول رقمية تُقدر قيمتها بنحو 3.9 مليون دولار، وذلك بعد تنفيذ ترقية غير مصرح بها لعقود ذكية سمحت بسحب الأصول.

وأفادت الشركة، في بيان رسمي، أن التحقيقات الأولية تشير إلى أن جهة خارجية نجحت في الحصول على صلاحيات إدارية داخل نظام الحوكمة متعدد التوقيع (Multisig)، ما أتاح لها تمرير ترقية عقد ذكي دون موافقة الفريق، بحسب تقرير نشره موقع "bleepingcomputer" واطلعت عليه "العربية Business".

وقالت "Unleash Protocol": "تشير نتائج التحقيق الأولية إلى أن عنوانًا خارجيًا تمكن من السيطرة الإدارية عبر نظام الحوكمة متعدد التوقيع، ونفذ ترقية غير مصرح بها للعقد، ما أتاح عمليات سحب لم تتم الموافقة عليها وجرى تنفيذها خارج الأطر التشغيلية المعتمدة".

كيف تم الاختراق؟

تعمل "Unleash Protocol" كنظام تشغيلي لإدارة الملكية الفكرية من خلال تحويلها إلى أصول رقمية قابلة للتداول على السلسلة، يمكن استخدامها كضمانات داخل منظومة التمويل اللامركزي (DeFi)، مع توزيع تلقائي لعوائد التراخيص وحقوق الملكية وفق قواعد ذكية.

وبحسب الشركة، سمحت الترقية غير الشرعية للمهاجم بفتح خاصية السحب، ما مكنه من الاستيلاء على مجموعة من الأصول، شملت:

- WIP (الملكية الفكرية المغلفة).

- USDC.

- WETH (إيثر مغلف).

- stIP (ملكية فكرية مكدسة).

- vIP (ملكية فكرية للتصويت المقفل).

تتبع الأموال

وأفاد خبراء الأمن في "PeckShieldAlert" أن إجمالي الخسائر يبلغ نحو 3.9 مليون دولار.

وبعد تنفيذ عمليات السحب، جرى تمرير الأصول عبر جسور بلوكشين وبنى تحتية تابعة لجهات خارجية، في محاولة لتقليل إمكانية تتبعها.

كما أشار التقرير إلى أن المهاجم أودع المبالغ المسروقة في خدمة Tornado Cash لخلط العملات الرقمية، على شكل 1,337 عملة إيثريوم.

يُذكر أن "Tornado Cash" كانت قد خضعت لعقوبات أميركية في عام 2022، قبل رفعها من القوائم في 2025، بسبب استخدامها في غسل أموال مرتبطة بمجموعات اختراق كورية شمالية، إذ تتيح الخدمة إخفاء مسار المعاملات على شبكات البلوكشين العامة.

إجراءات احترازية

وفي أعقاب الحادثة، أعلنت "Unleash Protocol" تعليق جميع عملياتها مؤقتًا، وبدء تحقيق شامل بالتعاون مع خبراء أمن خارجيين لتحديد السبب الجذري للاختراق، إلى جانب دراسة خيارات المعالجة واسترداد الأصول.

كما دعت الشركة المستخدمين إلى عدم التفاعل مع عقود "Unleash Protocol" حتى صدور إعلان رسمي يؤكد أمان المنصة وعودة الخدمات بشكل كامل.