ניקוז ארנקים: כיצד ניצול אישורים לוכד שוב ושוב משתמשי DeFi

by | Nov 29, 2025 | אבטחה, פריצות ואכיפה

ניקוז ארנקים: כיצד ניצולי אישור לוכדים שוב ושוב משתמשי DeFi

ניקוז ארנקים: כיצד ניצולי אישור לוכדים שוב ושוב משתמשי DeFi – גלו את המכניקה, הסיכונים וההשפעה האמיתית של התקפות אלו בשנת 2025.

  • ניצול לרעה של אישור DeFi הוא איום הולך וגובר שגוזל כספים מארנקים תמימים.
  • המאמר מסביר מדוע התקפות אלו נמשכות למרות שדרוגי אבטחה.
  • למדו כיצד לזהות דגלים אדומים ולהגן על תיק ההשקעות שלכם תוך הבנת הנוף הרחב יותר של RWA.

בשנת 2025, המערכת האקולוגית של DeFi התבגרה לרשת מורכבת של פרוטוקולים המבטיחים תשואות גבוהות אך גם חושפים משתמשים לניצול מתוחכם. איום מתמשך אחד הוא מה שנקרא מתקפת “ניקוז ארנקים”, שבה גורמים זדוניים מנצלים לרעה מנגנוני אישור אסימוני ERC-20 כדי לגבות כספים ממחזיקים תמימים. אפילו כאשר מפתחים מתקנים חוזים חכמים ומבקרים מחמירים את סקירות הקוד, גרסאות חדשות של הניצול ממשיכות לצוץ.

עבור משקיעים קמעונאיים בקריפטו-ביניים המסתמכים על חקלאות תשואה אוטומטית או אספקת נזילות, הבנת אופן פעולתן של התקפות אלו חיונית. זה חשוב מכיוון שעסקה אחת שאושרה בצורה שגויה יכולה למחוק חודשים של רווחים תוך שניות.

מאמר זה ידריך אתכם במכניקות הליבה העומדות מאחורי ניצול לרעה של אישורים, ידגים מדוע הם נותרים יעילים, ויחקור את השפעתם הן על משתמשי DeFi והן על מרחב אסימון הנכסים (RWA) הרחב יותר בעולם האמיתי. נבחן גם כיצד פלטפורמות כמו Eden RWA מתמודדות עם סיכונים אלו תוך דמוקרטיזציה של גישה להשקעות נדל”ן יוקרתיות.

ניקוז ארנקים: כיצד ניצול לרעה של אישורים לוכד שוב ושוב משתמשי DeFi – הבנת וקטור התקיפה

תקן ERC-20 הציג פונקציית approve() המאפשרת לבעל אסימון להאציל זכויות הוצאה לכתובת אחרת. בעוד שמנגנון זה עומד בבסיס אינטראקציות לגיטימיות רבות בין פרוטוקולים, הוא גם יוצר חלון הזדמנויות עבור תוקפים. חוזה זדוני יכול לקרוא ל-transferFrom() כדי להעביר אסימונים מטעם המחזיק מבלי להזדקק לשליטה ישירה במפתח הפרטי.

תהליך העבודה האופייני עבור תוקף הוא:

  • משתמש מקיים אינטראקציה עם אפליקציית DeFi אשר, ביודעין או שלא ביודעין, מעניקה אישור לחוזה חכם.
  • החוזה מאחסן את ההקצבה אך לעולם אינו משתמש בה בפועל בעסקה לגיטימית.
  • לאחר סיום האינטראקציה של המשתמש, התוקף מפעיל פונקציה שמנקזת את היתרה שאושרה.

תבנית זו מנצלת פשרה עיצובית בסיסית: נוחות לעומת אבטחה. תקן ERC-20 תוכנן לפשטות; הוא אינו תומך באופן טבעי באישורים מפורטים או מוגבלי זמן, מה שמותיר מקום לניצול לרעה.

רקע והקשר

תופעת ניצול לרעה של אישורים צצה בשנת 2023 כאשר פרוטוקולי DeFi הפכו מקושרים יותר. כספות בעלות תשואה גבוהה ועושי שוק אוטומטיים (AMM) דרשו יותר ויותר מהמשתמשים להעניק היתרים רחבים לחוזים עם צד שלישי. במקרים רבים, אישורים אלה נקבעו למשך עסקה בודדת או נותרו פתוחים לצמיתות.

גופים רגולטוריים כמו ה-SEC ו-MiCA החלו לבחון פלטפורמות DeFi המאפשרות תנועות גדולות של אסימונים ללא אמצעי הגנה נאותים של KYC/AML. בעוד שרגולטורים אלה מתמקדים בפשעים פיננסיים, הפיקוח שלהם גם מאלץ מפתחי פרוטוקולים לאמץ דפוסי אישור מחמירים יותר, כמו שימוש בהרחבות permit() (EIP‑2612) או בהטבות קצרות מועד.

שחקנים מרכזיים בתחום כוללים:

  • אגרגטורי תשואה – למשל, Yearn Finance, Harvest Finance, שלעתים קרובות דורשים ממשתמשים לאשר סכומי אסימונים גדולים לצורך ריבית דריבית.
  • מאגרי נזילות – Uniswap v3 ו-Curve מאפשרים החלפות מרובות אסימונים שעלולות לקבוע בטעות הטבות רחבות.
  • פלטפורמות RWA – טוקנייזרים כמו מערכת CDP של MakerDAO או Eden RWA המתפתחת, המגשרים בין נכסים מוחשיים לאסימונים בשרשרת.

כיצד זה עובד: מנגנון ניצול לרעה של אישור

ליבת מתקפת ניקוז ארנקים טמונה בהפרדה בין הרשאה (אישור) לביצוע (העברה). להלן פירוט שלב אחר שלב:

  1. מתן קצבה: משתמש קורא לפונקציה approve(spender, amount) בחוזה אסימון, ומעניק למוציא זכויות בלתי מוגבלות להעביר עד amount אסימונים.
  2. אחסון הקצבה: כתובת המוציא רושמת קצבה זו במצבה הפנימי אך עשויה לא להשתמש בה באופן מיידי.
  3. הפעלת הניקוז: בהמשך, התוקף מבצע פונקציה הקוראת ל-transferFrom(user, attacker, amount), ומזיזה אסימונים ללא התערבות נוספת של המשתמש.
    4. איפוס או מתן מחדש: התוקף עשוי לאפס את הקצבה ולאשר מחדש עם כתובת זדונית חדשה, תוך חזרה על המחזור.

מכיוון ש-transferFrom() בודק רק שלמוציא יש מספיק קצבה, הוא אינו מאמת האם העסקה יוזמה על ידי המשתמש. פרצה זו היא לב ליבת ניקוז הארנקים.

השפעת שוק ומקרי שימוש

למתקפות ניקוז ארנקים יש השלכות מרחיקות לכת הן עבור משתמשים פרטיים והן עבור משתתפים מוסדיים:

  • משקיעים קמעונאיים עלולים לאבד חלקים משמעותיים מתיקי ההשקעות שלהם תוך דקות, ולשחוק את האמון בפרוטוקולי DeFi.
  • מפתחי פרוטוקולים מתמודדים עם נזק תדמיתי ובדיקה רגולטורית פוטנציאלית אם לא יצליחו להגן על המשתמשים.
  • בהקשר של RWA, נכסים אמיתיים מסוג טוקני כמו מניות נכסים חלקיות הופכים לאטרקטיביים יותר כאשר הם משולבים עם בקרות אישור חזקות. משקיעים מחפשים פלטפורמות שממזערות את הסיכון של חוזים חכמים תוך הצעת זרמי תשואה.

טבלה פשוטה להלן משווה ניהול נכסים מסורתי ברשת עם גישות מודרניות של טוקניזציה המשלבות אישורים מוגבלים בזמן או ספציפיים לעסקה:

תכונה אינטראקציה מסורתית עם ERC-20 RWA עם טוקניזציה (למשל, Eden RWA)
היקף אישור בלתי מוגבל, לעתים קרובות קבוע קצר מועד, לכל עסקה או לכל כספת
סיכון לניקוז גבוה אם נעשה שימוש לרעה באישור נמוך עקב בקרות מפורטות ושבילי ביקורת
שקיפות מוגבל (יומני רישום ברשת בלבד) בעלות מלאה בשרשרת בתוספת רישומי נכסים מחוץ לשרשרת
מנגנון תשואה כריית נזילות, מאגרי סטייקינג הכנסות משכירות Stablecoin באמצעות חוזים חכמים

סיכונים, רגולציה ואתגרים

למרות פתרונות טכניים, מספר גורמי סיכון עדיין קיימים:

  • באגים בחוזים חכמים: אפילו קוד שנבדק היטב יכול להכיל מקרי קצה בלתי צפויים שתוקפים מנצלים.
  • משמורת ובעלות חוקית: ייתכן שנכסים שעברו ביקורת אסימונית לא ישקפו במלואם את בעלות הנכס הבסיסית, מה שמוביל לסכסוכים.
  • אילוצי נזילות: לאסימוני נכסים בעולם האמיתי יש לעתים קרובות עומק שוק משני נמוך יותר בהשוואה לנכסי קריפטו מקוריים.
  • פערים ב-KYC/AML: פרוטוקולי DeFi רבים עדיין מאפשרים השתתפות אנונימית, מסבך את הציות לרגולציה.

רגולטורים מחמירים את הכללים סביב ניירות ערך אסימונטים והעברות חוצות גבולות. MiCA (שווקים בנכסי קריפטו) באיחוד האירופי מציג דרישות רישוי למנהלי נכסים שעלולות להשפיע על יכולתן של פלטפורמות RWA לפעול ברחבי העולם ללא שכבות תאימות נוספות.

תחזית ותרחישים לשנת 2025+

תרחיש שורי: אם פרוטוקולים יאמצו מנגנוני אישור סטנדרטיים ומוגבלי זמן ויאכפו אותם באמצעות שדרוגי פרוטוקול, תדירות ניקוז הארנקים עלולה לרדת באופן דרמטי. בשילוב עם אימוץ מוסדי מוגבר של אסימוני RWA, הדבר יעלה את האמון ב-DeFi.

תרחיש דובי: ניקוז משמעותי ובולט שמחסל חלק גדול מהנזילות ב-AMM מוביל עלול לגרום לשרשרת של אובדן אמון, מה שיוביל ליציאות מהירות ולדיכויים רגולטוריים. דבר זה עלול לעכב את הצמיחה של נכסים אמיתיים שעברו טוקניזציה עד שייקבעו מסגרות תאימות חדשות.

תרחיש בסיסי: במהלך 12-24 החודשים הקרובים, אנו צופים שיפורים הדרגתיים בטיפול באישורים – כגון ברירת מחדל ל-permit() או יישום הרשאות “חד-פעמיות” – בעוד הרגולטורים מבהירים בהדרגה את הסטטוס של נכסים אמיתיים שעברו טוקניזציה. משקיעים קמעונאיים צריכים להישאר ערניים אך עדיין יכולים ליהנות מתיקי השקעות מגוונים הכוללים גם אסימוני קריפטו מקוריים וגם אסימוני RWA מאומתים.

Eden RWA: דוגמה קונקרטית לטוקניזציה מאובטחת

Eden RWA היא פלטפורמת השקעות המגשרת בין נדל”ן יוקרה בקריביים הצרפתיים לבלוקצ’יין של את’ריום באמצעות מניות נכסים שעברו טוקניזציה. כל בעלות חלקית מיוצגת על ידי אסימון ERC-20 ייחודי (למשל, STB-VILLA-01) שהונפק באמצעות גוף ייעודי (SPV) המובנה כ-SCI או SAS.

תהליך העבודה של הפלטפורמה עוקב אחר השלבים הבאים:

  • הנפקת אסימון: לאחר אימות משפטי, ה-SPV מנפיק אסימוני ERC-20 המייצגים בעלות עקיפה על וילה בסן-ברתלמי, סן-מרטין, גוואדלופ או מרטיניק.
  • חלוקת הכנסות משכירות: תמורה משכירות נגבית ומשולמת אוטומטית לבעלי האסימונים כמטבעות יציבים של USDC ישירות לארנקי Ethereum שלהם באמצעות חוזים חכמים מבוקרים.
    • שהייה חווייתית רבעונית: מערכת ממשל DAO-light בוחרת בעל אסימון לשבוע חינם באחד הנכסים, ומוסיפה שכבת ערך חווייתית.
  • ממשל ו שקיפות: מחזיקי אסימונים מצביעים על החלטות מרכזיות כמו שיפוצים או אירועי מכירה. הפלטפורמה משתמשת במודל כפול של אסימונים: אסימון שירות ($EDEN) לתמריצי פלטפורמה ואסימוני ERC-20 ספציפיים לנכס לבעלות על נכסים.

הארכיטקטורה של Eden RWA מפחיתה ניצול לרעה של אישורים על ידי הגבלת אינטראקציות של חוזים חכמים לאישורים קצרי מועד ומוגדרים למטרה. יתר על כן, נתיב הביקורת השקוף של תשלומי שכירות והחלטות ממשל מפחית את הסיכון שגורם זדוני יוכל לשאוב כספים ללא גילוי.

קוראים המעוניינים יכולים ללמוד עוד על הצעות המכירה המוקדמת של Eden RWA ולחקור השתתפות פוטנציאלית דרך הקישורים הבאים:

גלו את המכירה המוקדמת של Eden RWA | גלה את פרטי המכירה המוקדמת

נקודות מעשיות

  • יש תמיד לבדוק את מדיניות האישור של פרוטוקול לפני אינטראקציה; חפשו אישורים מוגבלי זמן או לשימוש חד פעמי.
  • השתמשו בארנקים המאפשרים לכם לראות הרשאות ממתינות ולבטל אותן באופן יזום.
  • העדיפו פלטפורמות עם חוזים חכמים מבוקרים ומנגנוני ממשל שקופים.
  • שקלו לגוון את ההשקעה בנכסים אמיתיים עם אסימון המציעים זרמי תשואה יציבים באמצעות SPV מוסדרים.
  • הישארו מעודכנים בהתפתחויות רגולטוריות, במיוחד הנחיות MiCA ו-SEC לגבי אסימון נכסי קריפטו.
  • לפני השקעה בפלטפורמת RWA, ודאו את הסטטוס המשפטי של הנכס הבסיסי ואת שרשרת הבעלות שלו.
  • עקבו אחר משוב מהקהילה – כוח הצבעה יכול להיות מדד לאיכות הממשל.

שאלות נפוצות קצרות

מהו אישור ERC‑20?

קריאה approve() של ERC‑20 מעניקה לכתובת אחרת את הזכות להעביר עד כמות מוגדרת של אסימון מטעם בעל האסימון.

כיצד אוכל להגן על הארנק שלי מפני מתקפות ניקוז?

השתמש באישורים קצרי מועד, בטל הרשאות שלא נוצלו באמצעות כלים כמו Etherscan או MetaMask, ופעל רק עם חוזים מבוקרים.

האם פלטפורמות RWA מבטלות סיכוני אישור?

הן מפחיתות את הסיכון על ידי שימוש באישורים מפורטים וספציפיים לעסקה ובמסלולי ביקורת קפדניים, אך אף מערכת אינה חסינה לחלוטין מטעויות.

האם Eden RWA מוסדרת?

Eden RWA פועלת באמצעות SPV חוקיים (SCI/SAS) בצרפת ועוקבת אחר תקנות הנדל”ן המקומיות. עם זאת, על המשתמשים עדיין לבצע בדיקת נאותות על מצב התאימות של הפלטפורמה.

האם אוכל למכור את אסימוני Eden RWA שלי לפני אירוע נזילות?

נזילות האסימונים תלויה בהתפתחות השוק המשני של הפלטפורמה; נכון לעכשיו, המסחר מוגבל לשוק הפנימי עד לקבלת אישורים רגולטוריים נוספים.

סיכום

האיום החוזר ונשנה של ניקוז ארנקים מדגיש את החשיבות של בקרות אישור חזקות במערכות אקולוגיות של DeFi. בעוד שמפתחי פרוטוקולים ממשיכים לחדש עם הרשאות מוגבלות בזמן ושיטות ביקורת מחמירות יותר, על המשתמשים להישאר פרואקטיביים בניטור הרשאות ולעסוק רק בפלטפורמות מאומתות. במקביל, נכסים אמיתיים מסוג טוקני, כמו אלה המוצעים על ידי Eden RWA, מדגימים כיצד שילוב של שקיפות בשרשרת עם מבנים משפטיים מוסדרים יכול לספק דרכים בטוחות יותר לייצור תשואה.

ככל ש-DeFi מתבגר, האיזון בין נוחות לאבטחה יעצב הן את חוויית המשתמש והן את התוצאות הרגולטוריות. משקיעים שמבינים דינמיקה זו – ומאמצים שיטות הפחתת סיכונים ממושמעות – יהיו בעמדה טובה יותר לנווט בנוף המתפתח של מימון דיגיטלי.

הצהרת אחריות

מאמר זה מיועד למטרות מידע בלבד ואינו מהווה ייעוץ השקעה, משפטי או מס. ערכו תמיד מחקר משלכם לפני קבלת החלטות פיננסיות.