خسارة 15 مليون دولار: روبوت MEV الأشهر على Ethereum يقع ضحية أساليبه
أبرز النقاط
- مهاجم يستدرج أشهر روبوت MEV على Ethereum بفخاخ وهمية ويسرق 15 مليون دولار
- الهجوم استغل آلية الموافقات التلقائية للعقود الذكية دون إبطالها بعد الاستخدام
- المشغّل يرفع مكافأة الاسترداد إلى 7.5 مليون دولار دون استجابة حتى الآن
في مفارقة لافتة، تحوّل الصياد إلى فريسة: روبوت JaredFromSubway الذي طالما استنزف ملايين الدولارات من متداولي Ethereum عبر هجمات Sandwich سيئة السمعة، خسر هو نفسه 15 مليون دولار بعد اختراق روبوت MEV محكم استغل المنطق البرمجي ذاته الذي بُني عليه.
كشفت شركة Blockaid المتخصصة في أمن البلوكتشين عن عملية الاستنزاف يوم السبت الماضي، قبل أن يؤكد مشغّلو JaredFromSubway أن المهاجم نصب فخاخاً من مجمّعات سيولة وعملات وهمية خدعت الروبوت ودفعته إلى منح موافقات للعقود الخبيثة.
كيف نُصب الفخ للروبوت الآلي؟
اعتمد المهاجم على فهم عميق لسلوك JaredFromSubway. فالروبوت مصمّم لمسح الشبكة بحثاً عن فرص تداول مربحة، ثم يُصدر موافقات ERC-20 للعقود المساعدة كي يُنفّذ الصفقات. استغل المهاجم هذه الآلية عبر نشر عقود ذكية صُمّمت لتبدو فرصاً مغرية، فتعامل معها الروبوت تلقائياً.
بدأ التنفيذ بمعاملات اختبارية بريئة للتحقق من أنماط استجابة الروبوت. بعد التأكد، عدّل المهاجم المسار بحيث لا تُستهلك الموافقات ولا تُلغى بعد منحها، ما أتاح له تجميع صلاحيات سحب دون استخدامها فوراً.
في المرحلة الأخيرة، استدعى المهاجم دالة transferFrom لسحب WETH وUSDC وUSDT من عقد JaredFromSubway مباشرةً، مستفيداً من الموافقات المفتوحة التي لم يُبطلها الروبوت.
ما الذي يجعل JaredFromSubway مثيراً للجدل أصلاً؟
يُعدّ JaredFromSubway من أعنف روبوتات MEV على Ethereum وأكثرها ربحية. يعمل وفق نموذج هجوم Sandwich: يرصد صفقة معلّقة لمستخدم عادي، يُدخل أمر شراء قبلها مباشرة ثم يبيع بعدها، محققاً ربحاً من فارق السعر الذي تسبّب به هو نفسه.
- يستخرج الأرباح من انزلاق السعر الذي يُحدثه للمتداولين العاديين
- لا يتطلب إذن المستخدم ولا يُخطره بالتدخل
- حقق عشرات الملايين من الدولارات خلال 2023 وحده وفق تقديرات مراقبين
هذه الممارسات جعلته هدفاً لانتقادات واسعة في مجتمع التمويل اللامركزي، إذ يدفع المتداولون العاديون ثمن الأرباح التي يجنيها المشغّل. من هنا جاء وصف بعض المراقبين للاختراق بأنه "كارما رقمية".
مكافأة 7.5 مليون دولار ولا مجيب
عرض مشغّلو الروبوت مكافأة أولية قدرها 3 ملايين دولار مقابل إعادة الأموال كاملة مع التعهد بعدم الملاحقة. لم يتلقّوا رداً، فرفعوا العرض إلى 7.5 مليون دولار مقابل استرداد نصف المبلغ فقط، مع تخصيص مليون دولار للمجتمع.
كما أكدوا أنهم يتفاوضون مع مجموعة قراصنة أخلاقيين (White-Hat) بشأن المبلغ المسروق، لكن لا اتفاق نهائي حتى الآن.
ماذا يعني ذلك لمستثمري الخليج والمنطقة؟
مع تنامي اهتمام المستثمرين في السعودية والإمارات بالتمويل اللامركزي، تُذكّر هذه الحادثة بأن الأنظمة الآلية ليست محصّنة. حتى أعقد الروبوتات قد تُخدع إن افتقرت عقودها الذكية إلى آليات تحقق كافية أو إبطال فوري للموافقات.
رأي Logicity
المفارقة هنا بنيوية لا عرضية: روبوتات MEV تُبنى على افتراض أن الفرص المربحة حقيقية، ما يجعلها عرضة لفخاخ تُحاكي تلك الفرص. الدرس للمطورين العرب: كل موافقة ERC-20 يجب أن تُقيّد زمنياً وتُلغى فور الاستخدام، وإلا تحولت إلى ثغرة مفتوحة.
دروس أمنية من الحادثة
- عدم الاعتماد على الموافقات المفتوحة: يجب إبطال كل موافقة ERC-20 فور انتهاء الغرض منها
- محاكاة السيناريوهات العدائية: اختبار العقود الذكية ضد فرص وهمية قبل النشر
- الفصل بين منطق الكشف ومنطق التنفيذ: لتقليل مساحة الهجوم
الأسئلة الشائعة
ما هو هجوم MEV من نوع Sandwich؟
هجوم يرصد فيه الروبوت صفقة معلّقة، يُدخل أمر شراء قبلها ويبيع بعدها، فيربح من فارق السعر الذي أحدثه على حساب المتداول الأصلي.
كيف استطاع المهاجم خداع روبوت آلي؟
نشر عقوداً ذكية تبدو فرصاً مربحة، فمنحها الروبوت موافقات سحب دون أن يُبطلها لاحقاً، ما أتاح للمهاجم استخدامها لسحب الأموال.
هل يمكن استرداد الأموال المسروقة؟
نظرياً نعم إن استجاب المهاجم للمكافأة أو توصّل الفريق لاتفاق مع قراصنة أخلاقيين، لكن لا ضمانات على البلوكتشين بعد تأكيد المعاملة.
ما مدى انتشار روبوتات MEV على Ethereum؟
واسع جداً؛ تشير بيانات Flashbots إلى استخراج أكثر من 1.4 مليار دولار كقيمة MEV منذ 2020.
هل تحتاج مساعدة في التطبيق؟
إن كنت تطوّر عقوداً ذكية أو أنظمة تداول آلية وتريد تدقيقاً أمنياً أو استشارة حول أفضل الممارسات، تواصل مع فريق Logicity للربط بخبراء موثوقين في المنطقة.
عمر حسن
كاتب تقني وابتكار
مقالات ذات صلة
تصفح الكل
OpenAI تختبر اشتراك ChatGPT للعلوم: هل يُغيّر قواعد البحث الأكاديمي؟
رصد مطوّرون سلاسل برمجية داخلية على واجهة الويب الخاصة بـ ChatGPT تُشير إلى فئة اشتراك جديدة تحمل اسم ChatGPT for Science، ما يؤكد أن OpenAI تتجه نحو تقسيم قاعدة مستخدميها إلى شرائح عمودية متخصصة بدلا
تسريب FortiBleed يكشف بيانات اعتماد 73 ألف جهاز Fortinet VPN حول العالم
كشف باحثون في الأمن السيبراني عن تسريب ضخم يحمل اسم FortiBleed، يتضمن بيانات اعتماد صالحة لأكثر من 73 ألف جهاز Fortinet VPN وجدران حماية FortiGate منتشرة في مؤسسات حول العالم. التسريب يُعدّ من أكبر عم
إضافات خبيثة على سوق JetBrains تسرق مفاتيح API الخاصة بالذكاء الاصطناعي من 70 ألف مطوّر
كشف باحثون أمنيون في شركة Aikido Security عن حملة منسّقة استهدفت مطوّري البرمجيات عبر 15 إضافة خبيثة على سوق JetBrains Marketplace، صُمِّمت خصيصاً لسرقة مفاتيح API الخاصة بخدمات الذكاء الاصطناعي مثل O
برمجية Rokarolla الخبيثة تستهدف 217 تطبيقاً مصرفياً ومحفظة عملات رقمية على أندرويد
كشف باحثون في شركة Zimperium للأمن السيبراني عن برمجية خبيثة جديدة تُدعى Rokarolla تستهدف مستخدمي أندرويد عبر 217 تطبيقاً مصرفياً ومحفظة عملات رقمية، مستخدمةً ترسانة ضخمة من 137 أمراً للتحكم الكامل با
اقرأ أيضاً
حملة تصيد عبر واتساب تخترق الحواسيب بملفات أعمال مزيفة
تتعرض أجهزة الحاسوب في أكثر من 11 دولة لحملة تصيد احتيالي متطورة عبر واتساب، حيث يستغل المهاجمون ملفات VBScript خبيثة متنكرة في شكل مستندات مالية وتجارية لاختراق الأنظمة والتحكم بها عن بُعد. الخطورة ا
iPhone 18 Pro: كاميرا أكبر بـ 2 ملم تُعيد رسم معادلة التصوير في هواتف Apple
أكّد أحد أبرز المسرّبين على منصة Weibo أن هاتف iPhone 18 Pro القادم سيحصل على الترقية الجوهرية المنتظرة في الكاميرا الرئيسية، وهي ترقية ستُترجم فعلياً إلى زيادة سُمك بروز الكاميرا بنحو 2 ملم مقارنة با
اختصار النقر الخلفي على هواتف Samsung: دليلك الكامل لإعداده عبر Good Lock
يمكنك الآن تحويل ظهر هاتف Samsung Galaxy إلى زر اختصارات ذكي عبر ميزة النقر الخلفي، وهي خاصية طال انتظارها من مستخدمي Android بعد ظهورها على iPhone في نظام iOS 14 عام 2020. الفارق أن تطبيق Samsung يمن