HomeZ - Banner Homeليست عملية اختراق: تصيّد عبر Uniswap Permit2 محا مليون دولار بتوقيع واحد

ليست عملية اختراق: تصيّد عبر Uniswap Permit2 محا مليون دولار بتوقيع واحد

خسر أحد المتداولين ما يقرب من 1 مليون دولار بعد أن استُخدم هجوم تصيّد احتيالي (phishing) ضدّه عبر ميزة الراحة الخاصة بـ Uniswap نفسها. لم يتم اختراق أي بروتوكول. ولم تُستغل أي ثغرة بالمعنى التقليدي. كل ما في الأمر أن المتداول وقّع رسالة لم يكن ينبغي له توقيعها — وكان ذلك كافيًا.

Summary

أهم النقاط

  • خسر متداول ما يقرب من 1 مليون دولار بعد أن خُدع لتوقيع رسالة Uniswap Permit2 خبيثة منحت المهاجمين وصولًا كاملًا إلى محفظته.
  • ضحية أخرى خسرت 196,000 دولار في هجوم مشابه يتعلق برمز $VIRTUAL.
  • هجمات التصيّد عبر الموافقات (approval phishing) تسببت في أكثر من 1 مليار دولار من الخسائر المبلغ عنها منذ 2021 ولا تظهر أي بوادر تباطؤ.
  • أفادت Chainalysis بوجود 14 مليار دولار من إجمالي خسائر الاحتيال على السلسلة في 2025، ارتفاعًا من 12 مليارًا في 2024؛ وسجّلت CertiK وحدها 370 مليون دولار من التصيّد في يناير 2026.
  • أدوات مثل Revoke.cash تتيح للمستخدمين تدقيق وإلغاء موافقات الرموز، بما في ذلك أذونات Permit2 — وهي من أكثر وسائل الدفاع فعالية المتاحة حاليًا.

خسارة ضخمة بقيمة 1 مليون دولار تكشف مخاطر التصيّد عبر Uniswap Permit2

هجوم التصيّد عبر Uniswap Permit2 الذي قضى على محفظة أحد المتداولين يذكّر بمدى سرعة تحوّل خطوة واحدة خاطئة إلى كارثة في عالم DeFi. Permit2 هو عقد موافقة على الرموز قدّمته Uniswap لجعل DeFi أكثر سلاسة. بدلًا من الحاجة إلى معاملة على السلسلة لكل رمز ولكل بروتوكول، يتيح Permit2 توقيعًا واحدًا خارج السلسلة للموافقة على تفاعلات متعددة مع الرموز دفعة واحدة. مريح بطبيعته — وقابل للاستغلال بالمنطق نفسه.

كيف يبسط Permit2 موافقات الرموز ويرفع في الوقت نفسه مستوى المخاطر الأمنية

موافقات ERC-20 التقليدية تُنشئ نقاط تفتيش طبيعية. كل رمز، وكل تفاعل مع بروتوكول يتطلب معاملة خاصة به على السلسلة، ما يمنح المستخدمين فرصًا متكررة لإعادة التفكير. Permit2 يزيل هذه النقاط تمامًا، ويستبدلها برسالة موقّعة واحدة. مكسب الكفاءة هذا حقيقي — وكذلك حجم التعرض الذي يخلقه.

توقيع واحد مُخترق يمكن أن يمنح عقدًا خبيثًا وصولًا إلى محفظة المستخدم بالكامل. لا توجد مطالبة ثانية. لا شاشة تأكيد. لا تحذير. بمجرد التوقيع، تتحرك الأموال بهدوء وبلا رجعة.

مواقع التصيّد أصبحت الآن تقلّد بشكل روتيني واجهات DeFi الشرعية — صفحات المطالبة بالإيردروب، بوابات سكّ الـNFT، شاشات مبادلة مألوفة الشكل — وكلها مصممة لإظهار طلب توقيع Permit2 مقنع في اللحظة المناسبة تمامًا.

حالات واقعية: خسائر تصيّد بقيمة 1 مليون دولار و196,000 دولار

الخسارة البالغة 1 مليون دولار لافتة، لكنها ليست حالة منفردة. ضحية أخرى كانت تحتفظ بـرمز $VIRTUAL وخسرت ما يقرب من 196,000 دولار عبر الآلية نفسها تمامًا. محفظة مختلفة، رمز مختلف، نفس النتيجة: توقيع واحد سيئ وخسارة كاملة.

ما تشترك فيه الحالتان هو غياب أي خرق تقني من جانب Uniswap. البروتوكول عمل تمامًا كما صُمم. سطح الهجوم لم يكن خطأ برمجيًا — بل كان سلوك المستخدم، الذي جرى هندسته عبر الخداع.

هذا الفارق مهم للغاية. فهو يعني أن تدقيقات البروتوكولات ومراجعات أمان العقود الذكية توفّر حماية شبه معدومة ضد هذا النوع من التهديدات. الثغرة تعيش بين الشاشة والتوقيع.

تفشي عمليات الاحتيال على السلسلة يبرز استمرار التصيّد عبر الموافقات

هاتان الحالتان ليستا شاذتين — بل هما نقطتا بيانات ضمن نمط أكبر بكثير. التصيّد عبر الموافقات راكم بهدوء سجلًا مدمرًا، والأرقام الأوسع تعكس مشكلة تواصل التوسع.

تقارير جرائم العملات المشفرة تكشف عن مليارات مفقودة بسبب التصيّد والاحتيال

وفقًا لـتقرير جرائم العملات المشفرة لعام 2026 الصادر عن Chainalysis، فإن عمليات الاحتيال على السلسلة تسببت في ما لا يقل عن 14 مليار دولار من الخسائر خلال 2025، ارتفاعًا من 12 مليارًا في 2024. هذا ارتفاع سنوي قدره 2 مليار دولار، مدفوع جزئيًا باستمرار تكتيكات الهندسة الاجتماعية التي لا يمكن لأي جدار ناري إيقافها.

بيانات CertiK توضح الصورة أكثر. في يناير 2026 وحده، شكّل التصيّد والهندسة الاجتماعية 370 مليون دولار من إجمالي خسائر العملات المشفرة — رقم استثنائي لشهر واحد فقط. إحدى الحوادث خلال تلك الفترة ساهمت بـ284 مليون دولار من الإجمالي.

منذ 2021، كان التصيّد عبر الموافقات مسؤولًا عن أكثر من 1 مليار دولار من الخسائر المبلغ عنها. الضرر التراكمي تصاعد بثبات، إلى حد كبير بعيدًا عن الأضواء، بينما انصبّ الاهتمام على الاستغلالات الأكثر درامية.

اتجاهات متباينة: تراجع خسائر أدوات سحب المحافظ مقابل استمرار التصيّد عبر الموافقات

هناك تباين ملحوظ يستحق الفهم. خسائر أدوات سحب المحافظ (wallet drainers) انخفضت بنسبة 83% في 2025، لتتراجع إلى نحو 84 مليون دولار — وهو مؤشر حقيقي على أن استهداف البنى التحتية الخبيثة وتنسيق الجهود على مستوى الصناعة بدأ يؤتي ثماره في هذا المتجه الهجومي تحديدًا.

لكن التصيّد عبر الموافقات يعمل على بنية تحتية مختلفة تمامًا. سكربتات السحب تعتمد على عقود خبيثة قابلة للنشر يمكن لشركات الأمن والبورصات تحديدها ووضع علامات تحذير عليها وحظرها. أما التصيّد عبر الموافقات، في المقابل، فيستغل آليات بروتوكول شرعية وثقة المستخدم. إغلاق موقع تصيّد واحد لا يُبطل التقنية نفسها.

هذا التباين يخلق خطرًا حقيقيًا في قراءة التقدم بشكل خاطئ. تراجع خسائر أدوات السحب يبدو كأنه انتصار — وهو كذلك — لكنه قد يحجب النمو المستمر لتهديد يصعب التصدي له بالوسائل التقنية وحدها.

عملية Atlantic تنجح في تجميد 12 مليون دولار من أموال التصيّد

عملية Atlantic، التي نُفذت في أبريل 2026، أدت إلى تجميد ما يقرب من 12 مليون دولار مرتبطة بمخططات التصيّد عبر الموافقات. تحرك إنفاذ القانون بهذا الحجم مهم، لكن 12 مليون دولار في مقابل 14 مليار دولار من خسائر الاحتيال السنوية على السلسلة يوضح الفجوة بين ما يمكن للجهات التنظيمية استرداده حاليًا وبين سرعة تراكم الخسائر.

الدفاع ضد هجمات التصيّد عبر موافقات Permit2

طبيعة هذا التهديد تعني أن الدفاع الفعّال يجب أن يحدث على مستوى المستخدم. يمكن لإصلاحات طبقة البروتوكول تقليل مساحة الهجوم، لكنها لا تستطيع منع المستخدم من توقيع رسالة خبيثة على موقع يبدو مطابقًا تمامًا للموقع الحقيقي.

أدوات وأفضل ممارسات للتخفيف من مخاطر التصيّد عبر الموافقات

أكثر خطوة عملية متاحة هي الاستخدام المنتظم لـأدوات إلغاء صلاحيات المحافظ. تتيح Revoke.cash للمستخدمين تدقيق وإلغاء موافقات الرموز المعلّقة، بما في ذلك أذونات Permit2. إجراء فحص للإلغاءات بعد التفاعل مع أي بروتوكول جديد أو غير مألوف يحدّ بشكل كبير من نافذة الضرر — فإذا مرّت موافقة سيئة، فإن اكتشافها مبكرًا يقلل التعرض.

التحقق من عناوين العقود قبل توقيع أي شيء أمر غير قابل للتفاوض. مواقع التصيّد تُبنى لتكون غير قابلة للتمييز بصريًا عن المنصات الشرعية. عنوان العقد المضمّن في طلب الموافقة هو المكان الذي تكمن فيه الحقيقة، ويستحق الأمر عشر ثوانٍ إضافية للتحقق منه.

قائمة قصيرة من العادات الدفاعية الأكثر أهمية:

  • تحقق من عنوان العقد في كل طلب توقيع بمقارنته مع العناوين الشرعية المعروفة قبل التأكيد.
  • أجرِ تدقيقات منتظمة باستخدام Revoke.cash أو أدوات مكافئة لإلغاء الموافقات غير الضرورية أو غير المألوفة.
  • تعامل مع أي طلب توقيع Permit2 غير متوقع — خصوصًا على صفحات الإيردروب أو السكّ — كإشارة خطر حتى يتم التحقق منه.

حدود وفوائد المحافظ الصلبة في منع خسائر التصيّد

المحافظ الصلبة تضيف طبقة تأكيد مادية لا توفرها المحافظ البرمجية، وهذه الطبقة ذات قيمة حقيقية. لكن المحافظ الصلبة ليست حلًا كاملًا عندما يتعلق الأمر بالتصيّد عبر الموافقات. إذا قام المستخدم بتوصيل محفظة صلبة بموقع خبيث ثم أكّد يدويًا طلب توقيع Permit2، تصبح الأداة المادية جزءًا من الهجوم بدلًا من أن تكون دفاعًا ضده.

الفكرة الأساسية هي أن التصيّد عبر الموافقات يستهدف عملية اتخاذ القرار، لا بنية الأمان. أي أداة تتطلب من المستخدم الموافقة على معاملة يمكن تسليحها إذا أمكن إقناع المستخدم بأن المعاملة شرعية. هذه مشكلة أصعب من تصحيح عقد ذكي — ولهذا تظل التوعية واليقظة أكثر وسائل الدفاع استدامة المتاحة حاليًا.

الأسئلة الشائعة

ما هو Permit2 الخاص بـ Uniswap ولماذا يشكل خطر تصيّد؟

يتيح Permit2 للمستخدمين توقيع رسالة واحدة خارج السلسلة للموافقة على تفاعلات متعددة مع الرموز في الوقت نفسه. وبينما يبسّط هذا استخدام DeFi، فإنه يعني أن توقيعًا خبيثًا واحدًا يمكن أن يمنح المهاجم وصولًا واسعًا وفوريًا إلى محفظة المستخدم بالكامل — دون أي خطوات تأكيد إضافية.

كيف استغل المهاجمون عبر التصيّد Permit2 في الحوادث الأخيرة؟

أنشأ المهاجمون مواقع تنتحل منصات DeFi شرعية وطلبوا من المستخدمين توقيع رسائل Permit2. وبما أن Permit2 لا يولّد تحذيرًا على السلسلة أو شاشة تأكيد، لم يكن لدى الضحايا أي مؤشر على أنهم يصرّحون لعقد خبيث. النتيجة كانت تحويلات أموال غير مصرح بها وفورية — بما في ذلك خسارة تقارب 1 مليون دولار وخسارة منفصلة بنحو 196,000 دولار تتعلق برمز $VIRTUAL.

ما هي بعض الخطوات العملية للحماية من التصيّد عبر موافقات Permit2؟

ينبغي للمستخدمين التحقق من عناوين العقود في كل طلب توقيع قبل التأكيد، وإجراء تدقيقات منتظمة وإلغاء موافقات الرموز باستخدام أدوات مثل Revoke.cash، والتعامل مع طلبات Permit2 غير المتوقعة بشكّ. المحافظ الصلبة تضيف طبقة تأكيد إضافية لكنها لا تحمي من توقيع رسالة خبيثة على موقع مخترق.

ما مدى أهمية الأثر المالي لهجمات التصيّد عبر الموافقات في عالم العملات المشفرة؟

تسبّب التصيّد عبر الموافقات في أكثر من 1 مليار دولار من الخسائر المبلغ عنها منذ 2021. وقد ساهم في 14 مليار دولار من إجمالي خسائر الاحتيال على السلسلة التي سجّلتها Chainalysis لعام 2025، وتُظهر بيانات CertiK أن التصيّد والهندسة الاجتماعية وحدهما تسببا في 370 مليون دولار من الخسائر في يناير 2026. وعلى الرغم من الانخفاض الكبير في خسائر أدوات سحب المحافظ، يواصل التصيّد عبر الموافقات النمو لأنه يعتمد على بنية تحتية مختلفة يصعب تفكيكها.

{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”ما هو Permit2 الخاص بـ Uniswap ولماذا يشكل خطر تصيّد؟”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”يتيح Permit2 للمستخدمين توقيع رسالة واحدة خارج السلسلة للموافقة على تفاعلات متعددة مع الرموز في الوقت نفسه. وبينما يبسّط هذا استخدام DeFi، فإنه يعني أن توقيعًا خبيثًا واحدًا يمكن أن يمنح المهاجم وصولًا واسعًا وفوريًا إلى محفظة المستخدم بالكامل — دون أي خطوات تأكيد إضافية.”}},{“@type”:”Question”,”name”:”كيف استغل المهاجمون عبر التصيّد Permit2 في الحوادث الأخيرة؟”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”أنشأ المهاجمون مواقع تنتحل منصات DeFi شرعية وطلبوا من المستخدمين توقيع رسائل Permit2. وبما أن Permit2 لا يولّد تحذيرًا على السلسلة أو شاشة تأكيد، لم يكن لدى الضحايا أي مؤشر على أنهم يصرّحون لعقد خبيث. النتيجة كانت تحويلات أموال غير مصرح بها وفورية — بما في ذلك خسارة تقارب 1 مليون دولار وخسارة منفصلة بنحو 196,000 دولار تتعلق برمز $VIRTUAL.”}},{“@type”:”Question”,”name”:”ما هي بعض الخطوات العملية للحماية من التصيّد عبر موافقات Permit2؟”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”ينبغي للمستخدمين التحقق من عناوين العقود في كل طلب توقيع قبل التأكيد، وإجراء تدقيقات منتظمة وإلغاء موافقات الرموز باستخدام أدوات مثل Revoke.cash، والتعامل مع طلبات Permit2 غير المتوقعة بشكّ. المحافظ الصلبة تضيف طبقة تأكيد إضافية لكنها لا تحمي من توقيع رسالة خبيثة على موقع مخترق.”}},{“@type”:”Question”,”name”:”ما مدى أهمية الأثر المالي لهجمات التصيّد عبر الموافقات في عالم العملات المشفرة؟”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”تسبّب التصيّد عبر الموافقات في أكثر من 1 مليار دولار من الخسائر المبلغ عنها منذ 2021. وقد ساهم في 14 مليار دولار من إجمالي خسائر الاحتيال على السلسلة التي سجّلتها Chainalysis لعام 2025، وتُظهر بيانات CertiK أن التصيّد والهندسة الاجتماعية وحدهما تسببا في 370 مليون دولار من الخسائر في يناير 2026. وعلى الرغم من الانخفاض الكبير في خسائر أدوات سحب المحافظ، يواصل التصيّد عبر الموافقات النمو لأنه يعتمد على بنية تحتية مختلفة يصعب تفكيكها.”}}]}

تم إعداد هذه المقالة بمساعدة الذكاء الاصطناعي ومراجعتها من قبل الفريق التحريري.

RELATED ARTICLES

Stay updated on all the news about cryptocurrencies and the entire world of blockchain.

Featured video

LATEST