العقود الآجلة
وصول إلى مئات العقود الدائمة
TradFi
الذهب
منصّة واحدة للأصول التقليدية العالمية
الخیارات المتاحة
Hot
تداول خيارات الفانيلا على الطريقة الأوروبية
الحساب الموحد
زيادة كفاءة رأس المال إلى أقصى حد
التداول التجريبي
مقدمة حول تداول العقود الآجلة
استعد لتداول العقود الآجلة
أحداث مستقبلية
"انضم إلى الفعاليات لكسب المكافآت "
التداول التجريبي
استخدم الأموال الافتراضية لتجربة التداول بدون مخاطر
إطلاق
CandyDrop
اجمع الحلوى لتحصل على توزيعات مجانية.
منصة الإطلاق
-التخزين السريع، واربح رموزًا مميزة جديدة محتملة!
HODLer Airdrop
احتفظ بـ GT واحصل على توزيعات مجانية ضخمة مجانًا
Pre-IPOs
افتح الوصول الكامل إلى الاكتتابات العامة للأسهم العالمية
نقاط Alpha
تداول الأصول على السلسلة واكسب التوزيعات المجانية
نقاط العقود الآجلة
اكسب نقاط العقود الآجلة وطالب بمكافآت التوزيع المجاني
عروض ترويجية
AI
Gate AI
شريكك الذكي الشامل في الذكاء الاصطناعي
Gate AI Bot
استخدم Gate AI مباشرة في تطبيقك الاجتماعي
GateClaw
Gate الأزرق، جاهز للاستخدام
Gate for AI Agent
البنية التحتية للذكاء الاصطناعي، Gate MCP، Skills و CLI
Gate Skills Hub
أكثر من 10 آلاف مهارة
من المكتب إلى التداول، مكتبة المهارات الشاملة تجعل الذكاء الاصطناعي أكثر فعالية
GateRouter
ختر بذكاء من أكثر من 30 نموذج ذكاء اصطناعي، بدون أي رسوم إضافية 0%
من السرقة إلى العودة إلى السوق، كيف تم "تبييض" 292 مليون دولار أمريكي؟
عنوان النص الأصلي: أين ذهبت الكيلب $292m ؟ تشريح عملية غسيل الأموال $292m
مؤلف النص الأصلي: @the_smart_ape
ترجمة: بيغي، بلوك بيتس
مؤلف النص الأصلي: بلوك بيتس
المصدر الأصلي:
إعادة النشر: مارس إنفستيك
مقدمة المحرر: في 18 أبريل، تعرضت Kelp DAO لهجوم، وسُرقت أصول بقيمة حوالي 292 مليون دولار.
فكيف، في نظام سلسلة مفتوح تمامًا، تم تنظيف هذا المال خطوة بخطوة ليصبح أصولًا قابلة للتداول؟
تستعرض هذه المقالة، من خلال الحدث، مسار غسيل أموال مشفر عالي التصنيع:
من التحضيرات الأساسية غير المعروفة قبل الهجوم، إلى استخدام Tornado Cash لقطع الصلة بين المصدر والوجهة؛
ومن خلال الاستعانة بـ Aave و Compound لتحويل الأصول “السامة” إلى سيولة نظيفة، ثم عبر THORChain والجسور العابرة للسلاسل وبنية UTXO لتحقيق تضخيم مستوى صعوبة التتبع،
وفي النهاية، يتم تحويلها إلى نظام USDT على Tron، ومن خلال الشبكات الخارجية يتم استبدالها بالنقد الحقيقي.
خلال هذه العملية، لا توجد عمليات معقدة في الصناديق السوداء، وكل خطوة تقريبًا تتم “وفقًا للقواعد”.
ولذلك، فإن ما تكشفه هذه المسارات ليس ثغرة نقطة واحدة، بل هو توتر هيكلي في نظام DeFi تحت مظلة الانفتاح، وقابلية التركيب، وعدم القابلية للمراجعة —
عندما يسمح تصميم البروتوكول بوجود هذه العمليات، فإن مسألة “استرداد الأموال” لم تعد تقنية، بل هي مسألة حدود نظام.
وبالتالي، فإن حادثة Kelp DAO ليست مجرد حادث أمني، بل اختبار ضغط لآليات عمل العالم المشفر:
تُظهر كيف يمكن للمخترقين تحويل أموالك إلى أموالهم، وتوضح لماذا، من حيث المبدأ، يصعب على النظام إيقاف هذه العمليات.
كما تعلم، في 18 أبريل، سرق هاكر من كوريا الشمالية 292 مليون دولار من Kelp DAO.
وبعد خمسة أيام، اختفت أكثر من نصفها، وتشتتت في آلاف المحافظ، وتم استبدالها عبر بروتوكولات لا يمكن إيقافها، وأُرسلت إلى وجهة محددة جدًا.
المثير للاهتمام هو: كيف يمكن للأصول المشفرة المسروقة التي يمكن إثباتها بقيمة 2.92 مليار دولار، أن تتحول، دون أن يتمكن أحد من إيقافها، إلى نقد في جيوب بيونغ يانغ.
هدف هذا المقال هو كشف كيف يعمل كامل نظام غسيل الأموال المشفر الحديث، ولماذا لا يمكن إيقافه من الناحية الهيكلية، وما الذي يمكن أن تشتريه كل دولار بعد غسله.
المرحلة الأولى: التخطيط (قبل ساعات من الهجوم)
المهاجمون لم يبدأوا بالسرقة المباشرة.
أسلوب منظمة لازاروس دائمًا يبدأ من التحضيرات الأساسية للبنية التحتية.
قبل حوالي 10 ساعات من الهجوم، قامت 8 محافظ جديدة بتمويل مسبق عبر Tornado Cash —
وهو مموه يقطع الصلة بين مصدر الأموال ووجهتها.
كل محفظة تلقت 0.1 ETH، لدفع رسوم الغاز للعمليات التالية.
وبما أن أموال هذه المحافظ جاءت من مموه، فهي لا تحتوي على سجلات KYC، ولا سجل معاملات سابق، ولا يمكن ربطها بأي جهة معروفة.
لوحة نظيفة.
قبل الهجوم، أطلق المهاجمون 3 عمليات تحويل عبر السلسلة من شبكة إيثريوم الرئيسية إلى Avalanche و Arbitrum —
ويبدو أن الهدف هو تخزين الغاز على هاتين الشبكتين، واختبار عمليات الجسور، والتأكد من سلاسة التحويلات الكبيرة.
المرحلة الثانية: السرقة
محفظة هجوم مستقلة (0x4966…575e) استدعت وظيفة lzReceive على عقد LayerZero EndpointV2.
وبسبب خداع المُحققين، اعتُبرت هذه الاستدعاء رسالة عبور سلسلة شرعية.
وعقد الجسر الخاص بـ Kelp، Kelp DAO: RSETH_OFTAdapter (رابط إيثريوم: 0x85d…) أطلق فورًا 116,500 rsETH إلى 0x8B1.
كل الـ 18% من rsETH المتداولة، تم استهلاكها في عملية واحدة، واختفت.
بعد 46 دقيقة، عند الساعة 18:21 UTC، أوقف فريق الطوارئ متعدد التوقيعات البروتوكول.
وفي الساعة 18:26 و18:28 UTC، حاول المهاجمون تكرار العملية بشكل مماثل مرتين، محاولين سرقة حوالي 40,000 rsETH في كل مرة (بقيمة تقارب مليار دولار لكل عملية).
لكن، تم إلغاء كل ذلك بسرعة بفضل إيقاف Kelp، وإلا لكانت السرقة قد اقتربت من 500 مليون دولار.
المرحلة الثالثة: عمليات Aave + Compound
rsETH هو رمز شهادة، وقيمته تتوقف على استمرارية الجسر أو إدراجه في القائمة السوداء.
وفي حال تم إيقاف الجسر أو إدراج الأصول المسروقة في القائمة السوداء، فإن قيمتها تتراجع إلى الصفر.
ولذلك، كان على المهاجم أن يسرع في تحويلها إلى أصول غير قابلة للتجميد خلال دقائق.
لكن، Kelp أوقف بعد 46 دقيقة من السرقة — وكان قد فات الأوان.
بدلاً من البيع المباشر للأصول غير السائلة التي تبلغ قيمتها 292 مليون دولار، والتي قد تتراجع بأكثر من 30% خلال دقائق،
اختار المهاجم استخدام بروتوكولات DeFi كأدوات غسيل أموال، وبدأ البيع بسرعة.
المحفظة المستلمة 0x8B1 قسمت 116,500 rsETH المسروقة إلى 7 محافظ فرعية أخرى.
وكل واحدة منها دخلت على الفور في عمليات عبر Aave و Compound V3، حيث وضعت جزءًا من rsETH كضمان، واقترضت ETH.
إجمالي مراكز المحافظ الفرعية:
· وضع الضمان: 89,567 rsETH
· الاقتراض: حوالي 82,650 WETH و821 wstETH، بقيمة تقارب 190 مليون دولار من أصول إيثريوم النظيفة والسائلة
· نسبة الصحة لكل فرع بين 1.01 و1.03 — الحد الأقصى المسموح به قبل التصفية
المهاجم استبدل الأصول المسروقة، بقيمة 292 مليون دولار، والتي كانت مصنفة على أنها غير قابلة للتحقيق تقريبًا، بـ 190 مليون دولار من ETH.
وعندما تم تصنيف rsETH على أنه تقريبًا بلا قيمة (لأن الجسور كانت غير مضمونة، ولا يمكن استردادها)، تحمل المقرضون خسائر.
مع إدراك السوق أن Aave يحمل ديونًا بقيمة أكثر من 200 مليون دولار، بدأ المستخدمون في الانسحاب بشكل هستيري.
خلال 48 ساعة، فقدت Aave حوالي 8 مليارات دولار من TVL (إجمالي القيمة المقفلة).
وكان هذا أكبر أزمة سحب على الإطلاق في نظام DeFi، وكان السبب هو أن المهاجم استغل البروتوكول بشكل كامل وفق تصميمه.
المرحلة الرابعة: تجميع وتقسيم الأموال
بعد إتمام عمليات الاقتراض عبر Aave و Compound، نقلت المحافظ الفرعية ETH المقترضة إلى محفظة الدمج في الطبقة الثالثة (0x5d3).
الهيكلية الآن تظهر بشكل واضح ثلاث طبقات:
ثم، توزعت الأموال على سلسلتين:
· 75,700 ETH بقيت على شبكة إيثريوم
· 30,766 ETH على Arbitrum (حوالي 71 مليون دولار)
مجلس أمن Arbitrum صوت على تجميد الأصول على الشبكة، وتحويل 71 مليون دولار إلى محفظة تحكم يمكن فتحها لاحقًا عبر الحوكمة.
وبعد التجميد، نقل المهاجم بقية ETH من الشبكة الرئيسية، وسرع عملية الغسيل.
ويبدو أنه لم يتوقع أن تتخذ Arbitrum هذا الإجراء.
المرحلة الخامسة: أول موجة غسيل أموال
بعد أربعة أيام من الهجوم، بدأ 0x5d3 في تصفية الأصول.
وتتبعت شركة Arkham خلال ساعات ثلاث عمليات تحويل مستقلة.
الاختيار كان متعمدًا: خلال ساعات التداول الأوروبية يوم الثلاثاء.
وكانت السلطات الأمريكية لا تزال في إجازة، والهيئات الأوروبية تتعامل مع تراكمات الإثنين، وأسواق آسيا على وشك الإغلاق.
ثم بدأ نمط التحويلات في الانتشار بشكل متفجر.
كل وجهة من الأولى، سرعان ما تتكرر:
0x62c7 أرسل إلى حوالي 60 محفظة جديدة، و0xD4B8 أرسل إلى حوالي 60 أخرى.
وفي غضون ساعات، توسع مجموعة المحافظ من 10 إلى أكثر من 100 عنوان مؤقت، جميعها تم تمويلها بشكل متزامن، وكل عنوان يحمل مبالغ صغيرة جدًا لتجنب الكشف.
تشغيل منظمة لازاروس لسكربتات المحافظ ذات المفاتيح المتماثلة —
حيث يمكن لنفس كلمة المرور أن تولد خلال ثوانٍ آلاف العناوين الجديدة، باستخدام مجموعة عمال (بايثون + web3، ethers.js، أو أدوات داخلية) للتوقيع والبث بشكل متزامن عبر شجرة العناوين.
هذه البرمجيات كانت قيد التطوير منذ 2018.
عند نهاية هذه المرحلة، اختفت السلسلة القابلة للتتبع بشكل خطي.
تحول مجموعة من 10 محافظ إلى أكثر من 100 عنوان مؤقت، وبدأت الأموال تتوزع عبر مداخل متعددة، مع إخفاء مصدرها.
المرحلة السادسة: THORChain — آلة الهروب
الانقطاع الحقيقي حدث عند THORChain.
هو بروتوكول لامركزي يدعم تبادل الأصول عبر السلاسل.
ترسل ETH على إيثريوم، ويعيد لك BTC على شبكة البيتكوين.
وفي 22 أبريل فقط، بلغت قيمة التحويلات خلال 24 ساعة 460 مليون دولار،
وهو أكثر من 30 ضعف متوسط حجم التداول اليومي الطبيعي للبروتوكول البالغ حوالي 15 مليون دولار.
وفي ذات الفترة، حقق البروتوكول أرباحًا بقيمة 494,000 دولار، موزعة بين البوندير (مشغلي العقد)، ومقدمي السيولة، وصندوق التطوير، وشركاء التحالف، وصناديق التسويق.
وفي الوقت نفسه، كانت الأموال تتدفق عبر مسارات خصوصية أصغر لكنها مكملة،
مثل:
· Umbra: بروتوكول عناوين خفية على إيثريوم، يتيح إرسال الأموال إلى عناوين مؤقتة يمكن فقط للمتلقي حسابها باستخدام مفتاح مشترك.
حوالي 78,000 دولار من النشاط الأول تم تتبعها، ثم فقدت الأدوات أثرها.
· Chainflip: منصة تبادل عابرة للسلاسل، مشابهة لـ THORChain.
· BitTorrent Chain: سلسلة جانبية منخفضة التكلفة ومنخفضة التنظيم مرتبطة بـ Tron.
· Tornado Cash: نفس المموه المستخدم في تمويل الغاز المسبق، وقد أدرجته وزارة الخزانة الأمريكية في قائمة العقوبات في 2022.
كل طبقة إضافية من البروتوكول تزيد من تكلفة التتبع بمقدار 10 أضعاف.
وبعد 5 طبقات، يمكن للشركات المختصة أن تتعقب كل قطعة، لكن التكاليف الاقتصادية تتجاوز قيمة الاسترداد.
المرحلة السابعة: تفتت UTXO على بيتكوين
تحويل ETH إلى BTC عبر THORChain هو في جوهره تحويل الأموال إلى فتات.
إيثريوم يستخدم نموذج الحساب، حيث الرصيد مرتبط بعنوان، وهو بسيط.
أما بيتكوين، فهو يستخدم نموذج UTXO — كل وحدة UTXO تمثل قطعة محددة من العملة، مع سجل كامل للمعاملات.
وعند صرف البيتكوين، يتم تقسيم وإعادة تجميع هذه القطع، لتشكيل وحدات جديدة.
تخيل أن تمزق ورقة نقدية بقيمة 100 دولار إلى 87 قطعة، ثم تمزق كل قطعة إلى 87 أخرى، وتكرر ذلك 7 مرات.
من الناحية التقنية، يمكن تتبع كل قطعة إلى الورقة الأصلية.
لكن، لا توجد جهة تحقيق يمكنها تتبع آلاف السلاسل المتوازية في الوقت الحقيقي، وإعادة تجميع الصورة الكاملة بسرعة كافية لاتخاذ إجراء.
وبذلك، أنجزت THORChain مهمتين:
نقل الأموال عبر حدود لا يمكن لأي عقوبات أن تعيقها،
وتفتيت الأموال إلى رماد لا يمكن تتبعه.
المرحلة الثامنة: مسار USDT على Tron
بعد عبور بيتكوين وطبقة الخصوصية، تعود الأموال إلى نقطة النهاية ذاتها: USDT على Tron.
يعتقد الكثيرون أن ساحة غسيل الأموال الرئيسية هي BTC، وهذا خطأ.
الحقيقة أن الساحة الرئيسية هي USDT على Tron.
تشير البيانات إلى أن حجم المعاملات غير القانونية على USDT-Tron يتصدر كل الشبكات الأخرى، ويتجاوز مجموعها.
وفي مسار أموال Kelp، يتم:
الانتقال من BTC عبر الجسر إلى Tron، ثم التحويل إلى USDT، ثم التنقل بين عناوين Tron عدة مرات.
وتكلفة كل قفزة منخفضة جدًا، لا تتعدى بضعة سنتات، ويمكن تكرارها 10 مرات أو أكثر.
المرحلة التاسعة: السحب — التحويل من تشفير إلى نقد
نهاية كل هجوم، يتم تحويل الأموال عبر شبكة وسطاء بشرية محددة وموثوقة، إلى نقد حقيقي.
مجموعة من وسطاء OTC نشطين في الصين وجنوب شرق آسيا يتلقون ودائع USDT-Tron، ويقومون بتسوية المبالغ نقدًا في السوق المحلية.
هؤلاء الوسطاء هم في الواقع مكاتب صرافة غير مرخصة.
يجمعون تدفقات الأموال من عملاء متعددين (مرخصين وغير مرخصين)، ويقومون بتصفية الحسابات داخليًا، ويستخدمون شبكة المدفوعات الصينية (UnionPay) لتسوية العملة المحلية — وهي تعمل خارج نظام SWIFT وخارج نطاق العقوبات الغربية.
من حسابات هؤلاء الوسطاء، تتدفق الأموال إلى حسابات بنكية تسيطر عليها كوريا الشمالية، غالبًا باسم شركات وهمية مسجلة في هونغ كونغ أو ماكاو أو مناطق قضائية أخرى.
ومن هناك، يتم تحويل الأموال عبر طرق غير رسمية مثل الحوالات غير الرسمية، ونقل النقد المادي، وشراء شركات أمامية، لإعادة الأموال إلى بيونغ يانغ.
وقد وثقت الأمم المتحدة، وFBI، ووزارة الخزانة الأمريكية، وجهة هذه الأموال النهائية.
وتعتمد برامج الصواريخ النووية، والأبحاث النووية، وتفادي العقوبات الدولية، على استمرار تدفق هذه الأموال.
وتقدر تقارير الأمم المتحدة لعام 2024 أن هجمات القرصنة المشفرة تمثل حوالي 50% من إجمالي إيرادات العملة الأجنبية لكوريا الشمالية،
مما يجعلها المصدر الرئيسي لتمويل برامج الأسلحة النووية، متفوقة على تصدير الفحم، وبيع الأسلحة، والتصدير العمالي مجتمعة.