في هذه الأيام، حتى القراصنة يخسرون المال

المؤلف: Chloe، ChainCatcher

في سبتمبر 2025، تعرض محفظة التوقيع المتعدد على منصة التواصل الاجتماعي Web3 UXLink لعملية سرقة، حيث سرق القراصنة خلال بضع ساعات أكثر من 10 ملايين دولار من الأصول، وقاموا بعملية ضخمة لعملات رمزية بهدف تدمير السوق، مما أدى إلى انهيار سعر العملة بأكثر من 70% في لحظة واحدة. ومع ذلك، فإن أكثر ما يثير السخرية في هذه الكارثة ليس الهجوم نفسه، بل تصرفات القراصنة بعده بشكل “هواة”.

على عكس أساليب سرقة العملات التقليدية، لم يختفِ القراصنة بسرعة، بل قاموا بإيداع ETH والعملات المستقرة في DEX، وتداولوا بشكل متكرر على منصة CoW Swap. وفقًا لبيانات Arkham على السلسلة، خلال نصف سنة فقط، جمع هذا العنوان حوالي 625 عملية تداول، وخسائره على الورق وصلت إلى 4.8 مليون دولار في بعض الأحيان.

باستعادة مسار هذا الهجوم من الناحية التقنية، يمكن ملاحظة نمط سلوك غير معتاد للقراصنة، والواقع القاسي وراء ذلك: في مواجهة دورة السوق الهابطة، حتى مع وجود تقنيات عالية لسرقة الأموال على السلسلة، فإن السوق يعيد الجميع إلى مستوى واحد.

ثغرة أمنية في محفظة UXLink متعددة التوقيع، وخسائر تتجاوز 10 ملايين دولار

في 22 سبتمبر 2025، اكتشفت شركة الأمن السيبراني Cyvers أولاً حركة غير طبيعية في محفظة UXLink متعددة التوقيع وأطلقت تحذيرًا عاجلاً. ثم أكدت شركة UXLink أن محفظتها الأساسية تعرضت للاختراق، وخسرت أكثر من 11.3 مليون دولار.

المسار التقني للهجوم واضح جدًا، حيث استهدف القراصنة ثغرة في وظيفة delegateCall في المحفظة المتعددة التوقيع، واستغلوا الثغرة لتعديل منطق العقد الذكي. قام المهاجم أولاً بإزالة صلاحيات المدير الشرعي للمحفظة، ثم استدعى وظيفة addOwnerWithThreshold لإضافة نفسه كمالك جديد للمحفظة بالقوة. وهكذا، تم تجاوز آلية الأمان الأساسية للمحفظة، وتغيرت السيطرة عليها بشكل كامل.

تبع ذلك عملية نهب جنونية للأصول على السلسلة. شملت قائمة الأصول المسروقة حوالي 4 ملايين دولار من USDT، و50 ألف دولار من USDC، و3.7 بيتكوين WBTC، و25 إيثريوم، وقيمة حوالي 3 ملايين دولار من رموز UXLINK الأصلية. في الوقت نفسه، قام القراصنة على شبكة Arbitrum بعمل إصدار ضخم من رموز UXLINK وضخها إلى السوق، مما أدى إلى هبوط سعر الرمز بأكثر من 70% خلال فترة قصيرة، من حوالي 0.30 دولار إلى أقل من 0.10 دولار، وتبخر أكثر من 70 مليون دولار من القيمة السوقية.

مسار غير تقليدي: التخلي عن التمويه والخروج من السوق عبر التداول المباشر

وفقًا لنموذج الجرائم الرقمية المعتاد، كان من المتوقع أن يقوم القراصنة بتحويل الأصول إلى Tornado Cash لتمويه هويتهم، ثم يستخدمون العديد من العناوين الوسيطة لغسل الأموال على مراحل، وأخيرًا ينهون العملية. لكن هذا المهاجم لم يتبع هذا المسار.

بعد حوالي 48 ساعة من الهجوم، حول القراصنة 1620 إيثريوم إلى حوالي 6.73 مليون DAI، وكان من المتوقع أن يكون هذا أول إشارة لعملية “بيع” في السوق، وراقب العديد من محللي السلسلة هذا السلوك. لكن خلال الأشهر التالية، تغير نمط سلوك هذا العنوان بشكل كامل، وبدأ يتداول بشكل جنوني على السلسلة.

وفقًا لبيانات Arkham، خلال ستة أشهر فقط، سجل هذا العنوان حوالي 625 عملية تداول، مع تركيز كبير على منصة CoW Swap اللامركزية. كانت عمليات التداول تتنقل بشكل متكرر بين WETH و DAI، وتكرار العمليات كان يفوق بكثير ما يفعله المستثمرون على المدى الطويل. لذلك، بدلاً من أن يكون قراصنة سرقوا ملايين الدولارات، يمكن اعتباره متداولًا، أو على الأقل مستثمرًا يتبع نمط “الشراء عند الانخفاض، وتحمل التقلبات، والخروج عند اقتراب السعر من التكلفة”.

أداء تداول ضعيف: خسائر مؤقتة تتجاوز 400 ألف دولار، وتقلبات شبه ثابتة خلال نصف سنة

وفقًا لبيانات Arkham، من أكتوبر 2025 حتى أوائل فبراير 2026، كانت أصول المهاجم على الورق تتعرض لخسائر مؤقتة تتجاوز 3 ملايين دولار عدة مرات؛ وفي فبراير، وصلت الخسائر إلى أعلى مستوى لها عند 4.8 مليون دولار. كانت أنماط التداول متشابهة جدًا: يشتري بكميات كبيرة عند الانخفاض، ويقاوم التقلبات حتى يعاود السعر الارتفاع ويصل إلى مستوى التكلفة، ثم يخرج.

حتى أواخر مارس، بدأ المهاجم يحقق بعض المكاسب. في منصة CoW Swap، باع 5496 إيثريوم بسعر متوسط قدره 2150 دولار، وحصل على حوالي 11.86 مليون DAI، محققًا ربحًا على الورق قدره حوالي 935 ألف دولار، وأعاد توازن محفظته أخيرًا إلى نقطة التعادل. لكن حصة WBTC التي يملكها كانت تستهلك هذا الربح، حيث اشترى في 30 يناير 2026، 203 بيتكوين WBTC بسعر متوسط قدره 83,225 دولار، وبلغت خسائره الحالية حوالي 2.68 مليون دولار، وكان توقيت الشراء عند قمة السوق المؤقتة، مما جعله يشتري عند سعر مرتفع مرة أخرى.

سجن شفاف وطريق طويل نحو التعافي

تقدم حادثة UXLink نظرة فريدة على تاريخ الجرائم الرقمية: حيث يظل المهاجم، تحت الأضواء، يترك أثرًا واضحًا من المعاملات، مما يتيح للمحللين على السلسلة تتبع سلوكه بشكل كامل.

ربما لا يكون ذلك نتيجة إهمال من القراصنة، بل هو اعتقاد قديم حول “الأمان”. ربما يظن أن توزيع الأصول على عناوين متعددة، والتداول على DEX لتجنب قيود التحقق من الهوية على CEX، كافٍ لإخفاء هويته. لكن تطور أدوات التحليل على السلسلة جعل هذا الاعتقاد متفائلًا جدًا. فـ Arkham و Lookonchain و PeckShield و SlowMist وغيرها من المؤسسات، تراقب وتحدد كل حركة كبيرة تقريبًا على الفور، وكل عملية دخول وخروج للمهاجم تُعرض أمام الجمهور بشكل كامل. على الرغم من أن المهاجم يملك ملايين الدولارات، إلا أنه يبدو وكأنه يعيش في سجن رقمي شفاف.

بالنسبة لمطوري مشروع UXLink، فإن هذا الواقع هو نوع من الراحة، لكنه أيضًا تحدٍ كبير. فالأصول لم تختفِ، وما زالت على السلسلة، لكن في عالم لا يخضع للسلطات القضائية، فإن الفارق بين “رؤيتها” و"استرجاعها" لا يزال حاجزًا يصعب تجاوزه.

على الرغم من أن UXLink أتمت مراجعة أمنية للعقود الجديدة، وأطلقت خطة تعويض للمستخدمين، وسعت لاستعادة ثقة السوق، إلا أن سعر الرمز انخفض من ذروته في ديسمبر 2024 عند 3.75 دولار إلى حوالي 0.0044 دولار، بانخفاض قدره 99%. بالنسبة لـ UXLink، قد يستغرق إصلاح الثغرات البرمجية بضعة أسابيع، لكن إعادة بناء النظام البيئي من أنقاض شبه فارغة، لا تزال رحلة طويلة وشاقة.

في مواجهة السوق الهابطة، الجميع سواسية

تُعد قصة قراصنة UXLink تجسيدًا لواقع السوق، وليست مجرد حادثة أمنية.

على الرغم من امتلاكهم مهارات تقنية عالية، تمكنوا من استغلال ثغرة delegateCall وتجاوز دفاعات التوقيع المتعدد، وإتمام عملية جمع الثروات خلال ساعات قليلة، إلا أنهم بعد وصول الأموال، واجهوا نفس مصير المستثمرين العاديين: السوق لا يهتم من أين جاءت الأصول، و ETH التي يحتفظون بها تتراجع، وBTC بعد الشراء يظل محاصرًا.

هذه النهاية لا ترحم، لكنها مليئة بالسخرية. فالأصول التي سرقها المهاجم بذكاء، تتآكل تدريجيًا مع تقلبات السوق، وبعد نصف سنة، تقترب قيمتها على الورق من قيمة دخولهم. هو ليس أول من يخسر في سوق هابطة، ولن يكون الأخير الذي يتعرض للخسارة عند محاولة الشراء عند أدنى سعر لـ WBTC.