## بروتوكول Unleash يتعرض للاختراق مما أدى إلى خسارة 3,9 مليون دولار - أين المشكلة؟

أعلنت شركة أمن البلوكشين PeckShield عن هجوم ملحوظ استهدف بروتوكول Unleash، وهو منصة لامركزية تعمل على بروتوكول Story. أدى هذا الهجوم إلى خسارة حوالي 3,9 مليون دولار من محافظ المستخدمين، مما أثار مناقشات حول أمان نظام الحوكمة في DeFi.

### آلية الهجوم: السيطرة على Multisig تم اختراقها

وفقًا لتحليل PeckShield التفصيلي، استغل المهاجم ثغرة في نظام multisig الخاص بـ Unleash Protocol للحصول على صلاحيات مدير النظام غير المصرح بها. بعد الحصول على هذه الصلاحيات، قاموا بترقية العقود الذكية دون موافقة من الفريق الأساسي، مما فتح بابًا لسحب الأصول بشكل غير قانوني.

هذه درس مهم حول أهمية آلية multisig — النظام الذي يتطلب توقيعات متعددة لتأكيد المعاملات. عندما يتم استغلال السيطرة على multisig، فإنه يعطل أحد أهم طبقات الحماية في بروتوكولات DeFi.

### طريق الأصول المسروقة

بعد سحب الأموال، قام المهاجم بنقل الأصول إلى بلوكشين Ethereum وبدأ في عملية التمويه. تظهر البيانات على السلسلة أن 1,337.1 ETH أُرسلت إلى Tornado Cash — خدمة خلط الأموال المعروفة بقدرتها على إخفاء آثار المعاملات.

تم تنفيذ استراتيجية التمويه من خلال عمليات إرسال صغيرة، من مبالغ micro إلى دفعات 100 ETH، وهي طريقة كلاسيكية لتوزيع التدفقات المالية وتجنب الكشف.

### الأصول المتأثرة

يؤكد بروتوكول Unleash أن الهجوم أثر على بعض الأصول الرئيسية:
- **WIP** - الرمز الأصلي للبروتوكول
- **USDC** - العملة المستقرة
- **WETH** - إيثريوم المغلف
- **stIP** - نسخة الستاكينج من IP
- **vIP** - نسخة التصويت من IP

جميع عمليات السحب هذه تمت خارج عملية الحوكمة العادية، دون موافقة داخلية.

### التأثير المحدود والاستجابة السريعة

مهم أن نذكر أن بروتوكول Unleash أوضح أن بروتوكول Story والبنية التحتية الأساسية لا تزال آمنة تمامًا. المشكلة تركز فقط على العقود وأنظمة الحوكمة الخاصة بـ Unleash، مما يقلل من المخاوف بشأن ضعف كامل في النظام البيئي.

بعد اكتشاف الحادث، قام بروتوكول Unleash بإيقاف جميع العمليات مؤقتًا لمنع المزيد من السحب. الفريق يتعاون حاليًا مع خبراء أمن مستقلين ويجري تحقيقات جنائية لتحديد السبب الجذري للاختراق.

### نصائح للمستخدمين

حاليًا، يُنصح المستخدمون بعدم التفاعل مع أي من عقود بروتوكول Unleash حتى يتم إصدار إعلان رسمي لاحقًا. هذه فترة مهمة لإعادة تقييم آليات الأمان والتأكد من عدم تكرار هذا النوع من الهجمات.

### الأسئلة الرئيسية حول الحادث

**ما هو التمويه في سياق أمان DeFi؟** التمويه (أو exit scam) هو عندما يختفي المطورون أو الأشخاص ذوو الصلاحيات مع أموال المستخدمين. ومع ذلك، في هذه الحالة، هو هجوم خارجي، وليس تمويه حقيقي.

**كيف تم استغلال نظام multisig؟** استولى المهاجم على السيطرة على مفتاح أو أكثر من المفاتيح المطلوبة بواسطة نظام multisig، مما سمح لهم بتنفيذ معاملات غير قانونية.

**ما هي الأصول التي فُقدت؟** إجمالاً، 3.9 مليون دولار من WIP و USDC و WETH و stIP و vIP تم سحبها من البروتوكول.

**هل يمكن لبروتوكول Unleash أن يتعافى؟** ذلك يعتمد على نتائج التحقيق الجنائي وإمكانية تتبع الأموال. ومع ذلك، فإن الأموال المرسلة إلى Tornado Cash ستكون صعبة التتبع.