مخترق منصة Coinbase Commerce يستيقظ، ويحوّل 5.4 مليون دولار إلى منصة Tornado Cashعادت محفظة تورنادو كاش، المرتبطة باختراق منصة كوين بيس كوميرس (2024)، إلى النشاط بعد ما يقرب من عامين من الخمول. وتشير بيانات البلوك تشين إلى أن المهاجم بدأ بتحويل الأموال في يناير 2026. وفي عمليات التحويل الأخيرة، أودع ما قيمته 5.4 مليون دولار من عملة Ethereum في محفظة تورنادو Cash حتى الآن.
قبل عمليات الإيداع، قام العنوان المرتبط بالسرقة بتحويل ما يقارب 5.8 مليون دولار من عملة DAI إلى محفظة جديدة. ثم تم استبدال هذه العملة بعملة ETH. بعد ذلك، تم تقسيم عملة ETH إلى عدة إيداعات، واتبعت عمليات Tornado Cash نمطًا واضحًا للدفعات. أرسل المهاجم عشرين إيداعًا بقيمة 100 ETH لكل منها، ثم تلتها مبالغ أصغر، شملت 10 ETH، و1 ETH، وتحويلات جزئية. مع ذلك، لا تزال محفظة منفصلة مرتبطة بالمهاجم تحتفظ بحوالي 4.6 مليون دولار من عملة DAI.
يأتي هذا في وقت يشهد فيه سوق العملات الرقمية العالمي ضغوط بيع شديدة. فقد انخفض Ethereum بنسبة تقارب 10% خلال الأيام السبعة الماضية. وكان سعر الإيثيريوم يتراوح بين 3100 و3700 دولار أمريكي في أبريل 2024، عندما وقعت الثغرة الأمنية. أما الآن، فيبلغ متوسط سعر الإيثيريوم 2890 دولارًا أمريكيًا.
ثغرة أمنية في منصة Coinbase Commerce
يعود tracdent إلى التاريخ الذي تم الإبلاغ عنه في أبريل 2024. في ذلك الوقت، أبلغ المحقق زاك إكس بي تي، المتخصص في تحليل بيانات البلوك تشين، عن تدفقات نقدية مشبوهة من عقد على منصة كوين بيسtrac. في 21 أبريل 2024، سجلtracأكثر من 1700 عملية سحب لعملة USDC خلال 16 ساعة على منصة بوليغون، وبلغت قيمتها الإجمالية 15.97 مليون دولار.
يشير النمط إلى تعرض تاجر يستخدم منصة Coinbase Commerce للاختراق. تم سحب الأموال عبر تحويلات متكررة. لاحقًا، تم تحويل عملة USDC المسروقة من منصة Polygon إلى Ethereum، ثم تم استبدالها بعملة Ether وتوزيعها على ثلاث محافظ.
استأنف المهاجم نشاطه بعد ما يقرب من عامين من الخمول، وهو الآن يقوم بإيداع الأموال المسروقة في حساب "تورنادو Cash.
تم إيداع مبلغ إجمالي قدره 5.4 مليون دولار حتى الآن.
قبل ذلك، قام عنوان السرقة بتحويل 5.8 مليون دولار من عملة DAI إلى محفظة جديدة، والتي تم استبدالها لاحقًا بـ... https://t.co/6hZWByeuRQ pic.twitter.com/67vx2CLk6U
— سبيكتر (@SpecterAnalyst) ٢٦ يناير ٢٠٢٦
بعد وقت قصير من السرقة، بدأ أحد المهاجمين، الذي يستخدم اسمًا مستعارًا هو "Excite"، بالتحدث عن الأموال في محادثات خاصة. ربط ZachXBT هذه الادعاءات بعناوين مرتبطة بعمليات السحب. وذكر أنه في مايو 2024، أرسل مستخدم على تطبيق تيليجرام، يحمل اسم "tezedasads12"، معاملة بقيمة 1 DAI. استُخدمت هذه المعاملة لإثبات السيطرة على محفظة تحتوي على حوالي 6 ملايين دولار من الأموال المسروقة.
ادّعى الممثل نفسه ملكية اسم المستخدم "Excite" على إنستغرام. كما حاول شراء اسم مستخدم مماثل على تيليغرام لكنه فشل. كان حساب إنستغرام خاصًا في البداية، ثم أصبح عامًا لاحقًا. وكان الحساب يعرض ساعات فاخرة وغيرها من السلع الثمينة.
ZachXBT ذكر أن معلومات استخباراتية مفتوحة المصدر تشير إلى أن الشخص قد يكون مقيمًا في الدنمارك. لم يتم تأكيد هذه المعلومة بشكل مستقلdentبعد مرحلة غسل الأموال الأولية، توقفت معظم الأموال عن التداول، وأصبحت المحافظ المرتبطة بالثغرة الأمنية غير نشطة. في الوقت نفسه، تم توجيه جزء أصغر من الأموال لاحقًا عبر منصات التداول اللامركزية ومنصات التخزين. استُخدمت هذه المعاملات لنقل الأصول إلى محافظ جديدة.
أظهر أحد عناوين الإيداع تعرضاً كبيراً لبنية تحتية معروفة لاستنزاف الأموال. وقد أشار المحققون إلى ذلك كمؤشر خطر. "تورنادو Cash أول نشاط رئيسي مرتبط بهذه الثغرة الأمنية منذ ما يقرب من عامين.
اختراق منصة كوين بيس 2025
تُضاف هذه القضية إلى سلسلة منdentالأمنية المرتبطة بمنصة Coinbase. ففي مايو 2025، كشفت Coinbase عن هجوم إلكتروني منفصل، وقالت الشركة إن تكلفة هذاdent قد تصل إلى 400 مليون دولار. في تلك الحالة، حصل المهاجمون على بيانات محدودة للعملاء عن طريق دفع مبالغ ماليةtracوموظفين. واستُخدمت هذه البيانات لانتحال شخصية Coinbase وخداع المستخدمين.
أعلنت منصة كوين بيس أن أقل من 1% من عملائها تضرروا. طالب المهاجمون بفدية قدرها 20 مليون دولار، لكن كوين بيس رفضت الدفع. لم يتم اختراق المفاتيح الخاصة. ومع ذلك، أكدت الشركة أنها ستعوض المستخدمين المتضررين.
