قام أحد المخترقين المرتبطين باستغلال ثغرة Voltage Finance عام 2022، وهو بروتوكول إقراض لامركزي مبني على شبكة Fuse، بتحويل جزء كبير من الأموال المسروقة بعد أشهر من الخمول. وكشفت شركة CertiK المتخصصة في أمن البلوك تشين في 6 مايو/أيار أن المخترق حوّل 100 إيثيريوم، بقيمة تقارب 182,783 دولارًا أمريكيًا، عبر خدمة خلط العملات الرقمية Tornado Cash.
بحسب تحقيق شركة CertiK، ظلّ عنوان المحفظة المستخدم في المعاملة غير نشط لمدة 166 يومًا، دون أي حركة منذ نوفمبر. ويرتبط هذا العنوان بالثغرة الأمنية الأصلية، ويمكن tracإلى أنشطة سابقة للمخترق.
لقد رصد نظام التنبيه الخاص بنا @Tornado Cash
من العنوان 0xCF4823dA7271fdedBe103500d8E197Bdca224B6d.trac الأموال إلى
عملية استغلال شركة Voltage Finance بقيمة 4 ملايين دولار تقريبًا على منصة Fuse في مارس 2022.ابقوا متيقظين! pic.twitter.com/eyqH1HbN3F
— تنبيهات سيرتيك (@CertiKAlert) 6 مايو 2025
كما أوضحت شركة أمن البلوك تشين أن المتسلل استخدم برنامج Tornado Cash، الذي فرضت عليه وزارة الخزانة الأمريكية عقوبات في عام 2022 لتسهيله غسيل الأموال، لإخفاء معاملات البلوك تشين ومنع المحققين من tracتحركات الأموال.
ثغرة Voltage Finance الأصلية لعام 2022
تعرضت منصة Voltage للاختراق في 31 مارس 2022، واستولى المخترق على ما يُقدّر بنحو 4.67 مليون دولار أمريكي من العملات الرقمية. وتشير التقارير إلى استغلاله ثغرة أمنية في معيار ERC677 للعملات الرقمية، وذلك عبر وظيفة رد نداء مُدمجة. وقد مكّنته هذه الوظيفة من تنفيذ هجوم إعادة الدخول، ما أدى إلى سحب الأموال بنجاح من صندوق الإقراض الخاص بالمنصة.
في المرحلة الأولية من الهجوم، استخدم الجاني قرضًا سريعًا بقيمة 515 من عملة الإيثر المغلف (WETH) من زوج WETH-WBTC على منصة Voltage Finance لبدء عملية الاستغلال.
تعمل منصة Voltage Finance كبروتوكول لامركزي يُمكّن من التداول الآلي للرموز الرقمية على شبكة Fuse. وقد استغل المهاجم هذه البنية التحتية من خلال التلاعبtracالذكية للمنصة باستخدام الرموز الرقمية المُغلّفة والقروض السريعة.
أصدرت شركة Ola Finance، وهي شبكة متعددة البروتوكولات تدعم Voltage، بيانًا بعد يومين من الحادثة، dent فيه أن الثغرة الأمنية كانت خاصة بنظام Fuse الخاص بها. وأكد المطورون أن هجمات مماثلة لن تؤثر على شبكات الإقراض الأخرى ضمن منظومة Ola.
في المجمل، قام المهاجم بتحويل 216,964.18 USDC، و507,216.68 BUSD، و200,000 fUSD، و550.45 Wrapped Ether (wETH)، و26.25 Wrapped Bitcoin (wBTC)، و1,240,000 رمز FUSE.
وذكرت شركة أولا في تقريرها: " في المعاملات اللاحقة، تجنب المهاجم الحصول على قرض سريع باستخدام الأموال التي سُرقت بالفعل
سيتم رصد ثغرة أمنية أخرى في مارس 2025
تعرضت منصة Voltage Finance لهجوم إلكتروني جديد في 18 مارس من هذا العام، استهدف مجمعات التخزين البسيطة التابعة لها. هذه المرة، أدى السحب غير المصرح به إلى سرقة 171,027.20 دولارًا أمريكيًا من عملة USDCE و151,085.87 دولارًا أمريكيًا من عملة wETH. أوقفت المنصة العمليات على المجمع مؤقتًا لوقف استنزاف الأموال، وأعلنت أنها "تعمل بشكل عاجلdentهوية المخترق"
بحسب تقرير نشرته شركة Voltage Finance على منصة Medium في 20 مارس، بدأ الهجوم عندما قام طرف ثانٍ مجهول، يُشار إليه بالمهاجم 2، بسحب عملات إيثيريوم من منصة تداول العملات الرقمية HTX. ثم قام المهاجم 2 بتحويل الأصول المسروقة إلى المهاجم 1، الذي استخدم الأموال لشراء رموز FUSE عبر منصة ChangeNow، التي تم ربطها بالشبكة من خلال LayerZero.
ومن هناك، تم تحويل الأصول المسروقة مرة أخرى إلى Ethereum ونقلها عبر عدة محافظ ومعاملات. ثم تم تحويل الأموال من المهاجم 1 إلى المهاجم 3، الذي تلقى أموالاً إضافية عبر SimpleSwap.
قام المهاجم الثالث بإيداع بعض الرموز في منصة تداول KuCoin، لكنه قام باستبدال وسحب رموز أخرى إلى المخترق الأول لإكمال حلقة غسيل الأموال.
قالت شركة Voltage Finance للمخترق في منشورها على منصة X: " بما أن معاملاتك تمت عبر منصة KuCoin، فقد بدأنا بالتعاون لتحديد dent . نفضل حل هذا الموقف سلمياً. ونقدم مكافأة قدرها 50 ألف دولار عند استعادة جميع الأموال".
وفقًا لتقرير حديث صادر عن شركة أمن البلوك تشين Immunefi، فقد بلغت الخسائر الناجمة عن عمليات الاختراق والاستغلال المتعلقة بالعملات المشفرة 1.74 مليار دولار حتى الآن هذا العام، متجاوزة بالفعل إجمالي 1.49 مليار دولار المسجل في عام 2024 بأكمله. ويمثل إجمالي عام 2025 حتى الآن زيادة تقارب أربعة أضعاف عن 420 مليون دولار تم الإبلاغ عنها خلال نفس الفترة من عام 2024.
