في 23 مارس 2022، سرقت مجموعة قرصنة كورية شمالية سيئة السمعة ما قيمته حوالي 625 مليون دولار من عملتي الإيثيريوم والدولار الأمريكي الرقمي، مما أدى إلى فوضى عارمة في نظام Axie Infinity. ورغم أن الشركة الأم، Sky Mavis، سدّت الثغرات الأمنية، لا يزال اللاعبون ينتظرون معرفة ما إذا كانوا سيستردون أموالهم بالكامل، وتتوالى التفاصيل المثيرة للاهتمام حول عملية الاختراق.
دعونا نلقي نظرة على كيفية عمل Axie Infinity، وكيف أدت آلياتها إلى خلل قاتل، وكيف استجابت المنظمة لخسارة 625 مليون دولار.
سرق قراصنة كوريون شماليون ما قيمته حوالي 625 مليون دولار من عملتي ETH وUSDC من نظام Axie Infinity البيئي - إليكم ما حدث وراء الكواليس وما يمكن أن يتوقعه اللاعبون لاحقًا.
ما هو Axie Infinity؟
أكسي إنفينيتي من سكاي مافيس هي منصة شائعة تعتمد على تقنية البلوك تشين لعبة اللعب لكسبيبدأ كل لاعب بالحصول على ثلاثة "أكسيز" (رموز غير قابلة للاستبدال) على الأقل، لكل منها سمات ونقاط قوة مختلفة. بعد ذلك، يمكن للاعبين استخدام أكسيساتهم لمنافسة الآخرين في مسابقات شبيهة ببوكيمون لكسب "جرعات الحب السلسة" (SLPs)، والتي يمكنهم استخدامها لتربية (وبيع) أكسيس.
أطلقت سكاي مافيس العام الماضي سلسلة إيثيريوم الجانبية تُعرف هذه الشبكة باسم شبكة رونين، وتهدف إلى تحسين سرعة المعاملات وإلغاء رسوم الغاز. تستخدم الشبكة آلية إجماع إثبات السلطة، حيث تقوم مجموعة من "الكيانات الموثوقة" بالتحقق من صحة المعاملات الفردية ودمجها مرة أخرى في سلسلة كتل إيثيريوم في كتل كبيرة.
أطلقت الشركة هذا العام أيضًا رمز RON للحوكمة، مما يُمكّن المستخدمين من دفع رسوم المعاملات على شبكة رونين والاستفادة من ميزات التمويل اللامركزي (DeFi)، مثل الحوكمة وإمكانية التخزين عبر المدققين لكسب المكافآت. بعد إطلاقه في يناير، تم تداول الرمز بسعر حوالي 3.75 دولار.
كيف سرق قراصنة 625 مليون دولار
يستخدم معظم لاعبي Axie Infinity جسر Ronin لتحويل عملات SLP وAXS وRON إلى إيثيريوم أو عملات ورقية. يمكن تشبيه الجسر بكازينو تُودع فيه النقود، وتُراهن بالرقائق، ثم تُحوّل الرقائق إلى نقود في نهاية اليوم. في هذه الحالة، تتولى العقود الذكية عمليات التحويل بين الإيثيريوم (النقود) والإيثيريوم المُغلّف (الرقائق).
يقوم مدققو شبكة رونين بالتحقق من هذه المعاملات قبل إضافتها إلى سلسلة كتل إيثيريوم. لسوء الحظ، لم يكن لدى الشبكة سوى تسعة مدققين، مما جعلها عرضة لهجوم "51%"، حيث يمكن لاتفاق خمسة منهم فقط تزوير المعاملات. والأسوأ من ذلك، أن آلية إثبات السلطة سهّلت الهجوم بشكل أكبر.
في 23 مارس/آذار 2022، تمكنت مجموعة قرصنة كورية شمالية تُدعى لازاروس من اختراق أربعة من أصل تسعة مدققين. استخدمت المجموعة صلاحيات التصويت لتزوير المعاملات، وسرقت 173,600 إيثيريوم و25.5 مليون دولار أمريكي من عملة USDC، بقيمة تزيد عن 625 مليون دولار أمريكي. لم يُكتشف الأمر حتى 26 مارس/آذار 2022، عندما أوقفت منصة سكاي مافين عمليات السحب.
يمكن اعتبار السرقة بمثابة خسارة كازينو لـ 625 مليون دولار نقدًا بينما لا تزال رقائقه متداولة. ولكن، بالطبع، قد لا تحتفظ الرقائق بقيمتها الأصلية (1:1) إذا لم يكن هناك ما يدعمها نقدًا. لذا، ولتدارك الموقف، تحاول الشركة توفير 625 مليون دولار نقدًا لاستعادة الأموال. وإلا، فسيتعين عليها تخفيض قيمة الرموز.
رد أكسي إنفينيتي
رفعت سكاي مافيس مؤخرًا عدد المدققين على شبكتها إلى أحد عشر، وتشترط الآن إجماع عشرة منهم على الأقل لإتمام المعاملات. إضافةً إلى ذلك، تُفعّل الشركة آليات حماية لمراقبة عمليات السحب وتحديد المشكلات المحتملة في وقت مبكر. وأخيرًا، تُقدّم ضمانات على أجزاء من خزائنها لتوفير شبكة أمان.
بالطبع، لا تُعوّض أيٌّ من هذه الإجراءات الأموال المفقودة أصلاً. وتأمل الشركة في جمع رأس مال لسدّ هذا النقص. ورغم أن 625 مليون دولار مبلغٌ كبير، إلا أن الشركة قد جمعت بالفعل 152 مليون دولار في جولة التمويل الثانية (Series B)، وكان تقييمها قبل الاختراق حوالي 3 مليارات دولار، ما يعني أنها قد تتمتع ببعض المرونة.
الخبر السار هو أن منصات تداول العملات الرقمية قد تتمكن من استعادة بعض هذه الأموال. على سبيل المثال، حاول المخترقون تحويل أموالهم المسروقة إلى منصة 86 Binance استولت المنصة على الحسابات فورًا، واستردت حوالي 6 ملايين دولار. مع ذلك، من المرجح أن يحوّل المخترقون معظم الأموال إلى عملات رقمية مجهولة المصدر، مثل تورنادو كاش.
دروس لعشاق العملات الرقمية
لم يكن اختراق رونين الذي نفذه أكسي إنفينيتي سوى أحدث حلقة في سلسلة طويلة من الاختراقات الأمنية. فعلى سبيل المثال، في أغسطس 2021، خسرت شبكة بوليغون 611 مليون دولار، رغم أن المخترق أعاد معظم الأموال. ومن الأمثلة الشهيرة الأخرى عملية سرقة الثقب الدودي، حيث استهدف المخترقون جسرًا لسرقة 326 مليون دولار، لكن في النهاية تمكن المساهمون من تعويض جميع الأطراف.
أهم ما يمكن استخلاصه من هذه السرقات وغيرها هو أن مشاريع العملات الرقمية تعتمد على العقود الذكية والأفكار المبتكرة. للأسف، العقود الذكية قد تحتوي البرامج، كغيرها من البرامج، على أخطاء برمجية تتحول إلى ثغرات مكلفة. وفي الوقت نفسه، يبحث المخترقون باستمرار عن طرق لاستغلال الأفكار الجديدة المتعلقة بآليات الإجماع.
يمكنك تجنب هذه المشاكل بعدة طرق:
- نوّع استثماراتك في العملات الرقمية. فإذا انخفضت قيمة عملة واحدة، لن تخسر كل شيء.
- قم بتحويل أرباح ألعاب P2E إلى عملات مشفرة مستقرة، مثل الإيثيريوم، بشكل منتظم.
- تعامل بحذر مع الأفكار الجديدة المتعلقة بآليات الإجماع والعقود الذكية.
الجانب الإيجابي لهذه الهجمات هو أنه قد يكون بإمكانك خصم خسائرك من ضرائبك، طالما أنها ليست ناتجة عن سرقة أو خسارة مادية. على عكس الأسهم والسندات، لا تخضع العملات المشفرة لـ غسل بيع القاعدة يمنع هذا القانون الأفراد من المطالبة بخصومات عن الخسارة إذا أعادوا شراء أصل مماثل خلال 30 يومًا. وبالتالي، يمكنك تعويض أي مكاسب رأسمالية وما يصل إلى 3,000 دولار من الدخل العادي.
الخط السفلي
يُعدّ اختراق منصة Axie Infinity تذكيراً جاداً بأنّ التمويل اللامركزي ونظام الربح من اللعب لا يزالان في مراحلهما الأولى. ورغم أنّهما قد يجذبان تقييمات بمليارات الدولارات، فإنّ التكنولوجيا الكامنة وراءهما... غالباً ما يكون عرضة يُعاني هذا البرنامج من نفس أنواع الثغرات الأمنية التي تُعاني منها أي برامج أخرى. لذا، ينبغي على اللاعبين والمستثمرين توخي الحذر.
إذا كنت تستثمر في العملات الرقمية، يُمكن لـ ZenLedger مساعدتك في تجميع معاملاتك عبر منصات التداول والمحافظ الرقمية، وحساب أرباحك وخسائرك الرأسمالية، وملء نماذج مصلحة الضرائب الأمريكية الشائعة تلقائيًا. كما يُمكنك دمجها مع TurboTax لأتمتة العملية بالكامل مع الاحتفاظ بسجل ورقي موثق للدفاع عن نفسك في حال خضوعك للتدقيق الضريبي.
