أفضل المعلومات حول العملات الرقمية تصلك مباشرة إلى بريدك الإلكتروني.
يلحق تطبيق Yield Yak بـ Gitcoin في أحدث هجوم لاستنزاف محافظ المستخدمين
- رصدت شركة Blockaid المتخصصة في أمن تقنية البلوك تشين اختراقًا للواجهة الأمامية على النطاق الفرعي للتصويت الخاص بـ Yield Yak، حيث قام المهاجمون بحقن برنامج Eleven drainer لسرقة المحافظ.
- يعكس هذا الهجوم اختراقًا حديثًا في Gitcoin، مما يشير إلى اتجاه متزايد للمتسللين الذين يستهدفون النطاقات الفرعية لمنصات العملات المشفرة بدلاً منtracالذكية الأساسية.
- لم يتم نشر أرقام الخسائر المؤكدة، ولكن قد يكون المستخدمون الذين قاموا بربط محافظهم بالموقع المخترق قد تعرضوا لمعاملات غير مصرح بها.
رصدت شركة Blockaid المتخصصة في أمن تقنية البلوك تشين اختراقًا لواجهة موقع منصة Yield Yak، وهي منصة لتجميع عوائد التمويل اللامركزي (DeFi)، في 24 يونيو 2026. ووفقًا لـ Blockaid، فقد تم اختراق واجهة موقع Yield Yak بواسطة برامج خبيثة تستنزف محافظ العملات الرقمية. ويُعد هذا ثاني هجوم من نوعه خلال أيام على منصة تداول عملات رقمية رئيسية، وهو أحدث إضافة إلى موجة الاختراقات التي تستهدف واجهات منصات العملات الرقمية الكبرى.
بحسب عملية الكشف التي تتبعها شركة Blockaid، فقد تم اختراق النطاق الفرعي vote.yieldyak.com بواسطة برنامج خبيث يُدعى "Eleven drainer". يُعدّ "Eleven drainer" نوعًا من البرامج النصية الخبيثة التي تخدع المستخدمين لحملهم على إرسال أصولهم الرقمية إلى مهاجم عبر معاملات يوافقون عليها. يُجبر هذا البرنامج الخبيث المستخدمين على الموافقة على الإجراءات أو إرسال الأصول إلى المهاجم فور ربط محافظهم الرقمية، وغالبًا قبل أن يدركوا ما يفعلونه. ولم تُقدّم كلٌّ من Blockaid وYield Yak أي معلومات حول حجم الخسائر الناجمة عن هذا الاختراق حتى وقت النشر.
يستخدم المهاجم خطة لعب classic
يشبه الاختراق الذي طال منصة Yield Yak الثغرة الأمنية التي رُصدت في منصة Gitcoin، وهي منصة تمويل مفتوحة المصدر، قبل أيام قليلة. ووفقًا لبيان شركة Blockaid بتاريخ 21 يونيو، احتوى موقع files.gitcoin.co، وهو نطاق فرعي تابع لـ Gitcoin، على نفس شيفرة Eleven الخبيث، وحذّرت الشركة المستخدمين من الاقتراب من المنصة أثناء فحصها. وربطت Blockaid بين الاختراقين بشكل مباشر، مشيرةً إلى أن الهجوم على Yield Yak "يأتي في أعقاب حادثة الأمسdent Gitcoin، والتي استخدمت أسلوبًا مشابهًا".
نظام Blockaiddentهجومًا على واجهة المستخدم لموقع yieldyak[.]com من قِبل @yieldyak_. يحتوي النطاق الفرعي للموقع، vote[.]yieldyak[.]com، الآن على شفرة برنامج eleven drainer.
— بلوكايد (@blockaid_) 24 يونيو 2026
الأمسdent على @gitcoin التي نفذت أسلوبًا مشابهًا. pic.twitter.com/YFmWEYfa7D
في كلتا الحالتين، تم اختراق النطاقات الفرعية بدلاً من واجهات التطبيق الأساسية. يعمل المنتج الأساسي لـ Yield Yak، وهو بروتوكول زراعة العائدات المركبة تلقائيًا على Avalanche، على النطاق الرئيسي. يبدو نطاق التصويت الفرعي المخترق وكأنه نقطة دخول ثانوية، لكن أي شخص يصل إليه كان سيواجه خطر فقدان رصيده.
غياب defiللخسائر بالضرورة عواقب طفيفة. فغالبًا ما تخضع ثغرات واجهة المستخدم لعملية تحقيق تستغرق ساعات أو حتى أيامًا، حيث تقوم فرق الأمن بتحديدdentبين المحافظ والتحقق مما إذا كان المستخدمون قد نفذوا معاملات خبيثة. وفي حالات أخرى مماثلة هذا العام، تراوحت الخسائر بين عدة آلاف من الدولارات وملايين الدولارات، وذلك بناءً على عدد الأشخاص الذين ربطوا المحافظ حتى تم حذف الشفرة الخبيثة. على سبيل المثال، في إحدى الحوادث التي رصدتها Blockaiddentاستولى قراصنة على حوالي 3.2 مليون دولار من 86 محفظة آمنة باستخدام ثغرة في وحدة تابعة لجهة خارجية في شهر مايو. أما المثال الثاني فهو استغلال مزود السيولة TrustedVolumes، والذي أدى إلى خسائر بلغت 5.9 مليون دولار.
ارتفاع حاد في هجمات الواجهة الأمامية
تُعدّ عمليات اختراق منصتي Yield Yak وGitcoin المذكورتين جزءًا من اتجاه أوسع هزّ مجتمع العملات الرقمية هذا العام. وقد ازدادت وتيرة هجمات الواجهة الأمامية، حيث يستغلّ المهاجم موقعًا إلكترونيًا لمشروع ما دون التأثير علىtracالذكية، عبر منصات DeFi الرئيسية.
في وقت سابق من هذا العام، تعرضت منصات OpenEden وCurvance وMaple Finance لهجمات على واجهاتها الأمامية في أسبوع واحد في فبراير. استخدمت هذه الهجمات مجموعة أدوات استنزاف مختلفة تُسمى AngelFerno، لكنها اتبعت نفس الأسلوب: الوصول إلى البنية التحتية لموقع المشروع، وإدخال شيفرة برمجية تستولي على اتصالات المحافظ الرقمية، وانتظار تفاعل المستخدمين.
وثّقت شركة Blockaid نمطًا أكثر عدوانية في أبريل 2026. فبعد عمليات استغلال بارزة في بروتوكول Drift و KelpDAOومنصات أخرى، أنشأ مُشغّلو عمليات الاحتيال نطاقات مُقلّدة في غضون ساعات لاعتراض المستخدمين المذعورين الذين يبحثون عن طرق لإلغاء الموافقات على الرموز. ووصفت الشركة أبريل 2026 بأنه "أسوأ شهر لسرقة العملات الرقمية على الإطلاق"، مشيرةً إلى سرقة أكثر من 629 مليون دولار أمريكي عبر أكثر من 20dent.
ما يجب على مستخدمي Yield Yak معرفته
يُعدّ Yield Yak بروتوكول DeFi على Avalanche يقوم بتركيب مكافآت زراعة العائدات تلقائيًا، ويُشغّل مُجمّعًا لامركزيًا للتبادل، وفقًا لبياناته على منصة Alchemy. لا يتأثر المستخدمون الذين أودعوا أصولًا عبرtracالذكية للمنصة الرئيسية بشكل مباشر باختراق واجهة المستخدم، نظرًا لأنtracالأساسية تبقى دون تغيير. ينطبق الخطر على أي شخص زار النطاق الفرعي المُخترق وربط محفظة أو وقّع معاملة.
حتى وقت النشر، لم تُصدر كلٌ من منصة Yield Yak ومنصة Gitcoin بياناتٍ رسميةً بشأن حالة معالجةdent. ولم تُعلن أي شركة أمنية أو محقق في مجال تقنية البلوك تشين عن خسائر مؤكدة مرتبطة باختراق Yield Yak، ولا يوجد حاليًا أي دليل على البلوك تشين يُشير إلى حجم أي سرقة محتملة. وقد نصحت Blockaid المستخدمين بعدم التفاعل مع المواقع الإلكترونية المتأثرة ريثما يتم التحقيق في المشكلة ومعالجتها.
ينبغي على المستخدمين الذين يشتبهون في تفاعلهم مع vote.yieldyak.com إلغاء أي موافقات على الرموز المميزة الممنوحة خلال الجلسة باستخدام أداة موثوقة ومراقبة محافظهم بحثًا عن عمليات تحويل غير مصرح بها.
إذا كنت تقرأ هذا، فأنت متقدم بالفعل. ابقَ متقدماً من خلال نشرتنا الإخبارية.
الأسئلة الشائعة
ماذا حدث لموقع Yield Yak الإلكتروني؟
كشفت شركة الأمن Blockaid أن النطاق الفرعي لـ Yield Yak vote.yieldyak.com قد تم حقنه برمز خبيث "Eleven drainer" مصمم لسرقة الأصول المشفرة عندما يقوم المستخدمون بربط محافظهم، وذلك وفقًا لتنبيه Blockaid على X في 24 يونيو 2026.
هل برنامج Eleven Drainer هو نفس البرنامج الخبيث الذي أصاب منصة Gitcoin؟
نعم. أكدت Blockaid أن هجوم Yield Yak استخدم نفس رمز Eleven drainer الموجود على النطاق الفرعي files.gitcoin.co الخاص بـ Gitcoin قبل ثلاثة أيام، وذكرت أنdentعملتا بطريقة مماثلة.
هل تتأثرtracالذكية والأموال المودعة لدى Yield Yak؟
تستهدف هجمات الواجهة الأمامية موقع المشروع الإلكتروني، وليسtracالذكية. المستخدمون الذين لم يزوروا النطاق الفرعي المخترق أو يتفاعلوا معه ليسوا معرضين للخطر بشكل مباشر، ولكن ينبغي على أي شخص ربط محفظة إلكترونية بموقع vote.yieldyak.com إلغاء الموافقات على الرموز المميزة والتحقق من وجود أي معاملات غير مصرح بها.
إخلاء مسؤولية: المعلومات الواردة هنا ليست نصيحة استثمارية. Cryptopolitanموقع أي مسؤولية عن أي استثمارات تتم بناءً على المعلومات الواردة في هذه الصفحة. ننصحtronبإجراء بحث مستقلdent /أو استشارة مختص مؤهل قبل اتخاذ أي قرارات استثمارية.
أشيش كومار
أشيش كومار صحفي متخصص في العملات الرقمية والتمويل، يتمتع بخبرة ثماني سنوات في غرف الأخبار. يغطي أخبار أسواق العملات الرقمية، واللوائح التنظيمية، DeFi، ومنصات التداول. عمل مع مواقع Coingape وTodayq وNewsroompost. يحمل أشيش شهادة دراسات عليا في الصحافة الإنجليزية من المعهد الهندي للاتصالات الجماهيرية (IIMC). كما أجرى مقابلات مع شخصيات بارزة في هذا المجال، من بينهم آرثر هايز، ويات سيو، وأوستن فيدرا، وغيرهم.
- أي العملات المشفرة يمكن أن تدر عليك المال
- كيفية تعزيز أمانك باستخدام المحفظة الإلكترونية (وأي منها يستحق الاستخدام فعلاً)
- استراتيجيات استثمارية غير معروفة يستخدمها المحترفون
- كيفية البدء في الاستثمار في العملات المشفرة (أي منصات التداول التي يجب استخدامها، وأفضل العملات المشفرة للشراء، إلخ)