استنزاف المحافظ: كيف يوقع استغلال الموافقات مستخدمي التمويل اللامركزي في فخاخ متكررة

استنزاف المحافظ: كيف يوقع استغلال الموافقات مستخدمي التمويل اللامركزي في فخاخ متكررة – اكتشف آليات ومخاطر وتأثير هذه الهجمات في العالم الحقيقي في عام 2025.

• يُمثل إساءة استخدام موافقات التمويل اللامركزي تهديدًا متزايدًا يستنزف الأموال من المحافظ غير المدركة.
• يشرح المقال سبب استمرار هذه الهجمات على الرغم من ترقيات الأمان.
• تعلم كيفية اكتشاف المؤشرات التحذيرية وحماية محفظتك مع فهم المشهد الأوسع لـ RWA.

في عام 2025، تطور نظام التمويل اللامركزي إلى شبكة معقدة من البروتوكولات التي تعد بعوائد عالية ولكنها تُعرّض المستخدمين أيضًا لاستغلالات معقدة. أحد التهديدات المستمرة هو ما يُسمى بهجوم “استنزاف المحفظة”، حيث يستغل المخربون آليات موافقة رموز ERC-20 لاستنزاف الأموال من حامليها غير المدركين. حتى مع قيام المطورين بإصلاح العقود الذكية وتشديد المدققين لمراجعات الأكواد، تستمر أشكال جديدة من الاستغلال في الظهور. بالنسبة لمستثمري التجزئة في العملات المشفرة الذين يعتمدون على زراعة العائد الآلي أو توفير السيولة، يُعد فهم آلية عمل هذه الهجمات أمرًا بالغ الأهمية. فهذا مهم لأن معاملة واحدة خاطئة الموافقة قد تمحو أرباحًا طائلة خلال أشهر في ثوانٍ. ستوضح هذه المقالة الآليات الأساسية وراء إساءة استخدام الموافقات، وتوضح سبب استمرار فعاليتها، وتستكشف تأثيرها على كل من مستخدمي التمويل اللامركزي (DeFi) ومجال ترميز الأصول الحقيقية (RWA) الأوسع. سنتناول أيضًا كيفية معالجة منصات مثل Eden RWA لهذه المخاطر مع إتاحة الوصول إلى استثمارات العقارات الفاخرة للجميع. استنزاف المحافظ: كيف توقع ثغرات الموافقة مستخدمي التمويل اللامركزي في الفخ بشكل متكرر – فهم ناقل الهجوم. قدم معيار ERC-20 دالة approve() التي تسمح لحامل الرمز بتفويض حقوق الإنفاق إلى عنوان آخر. في حين أن هذه الآلية تدعم العديد من التفاعلات المشروعة عبر البروتوكولات، فإنها تخلق أيضًا فرصة سانحة للمهاجمين. يمكن للعقد الخبيث استدعاء transferFrom() لنقل الرموز نيابة عن حاملها دون الحاجة إلى التحكم المباشر في المفتاح الخاص.

سير العمل النموذجي للمهاجم هو:

• يتفاعل المستخدم مع تطبيق DeFi الذي يمنح الموافقة على عقد ذكي، عن علم أو بغير علم.
• يخزن العقد المبلغ المسموح به ولكنه لا يستخدمه أبدًا في معاملة مشروعة.
• بعد انتهاء تفاعل المستخدم، يقوم المهاجم بتشغيل وظيفة تستنزف الرصيد المعتمد.

يستغل هذا النمط مقايضة تصميم أساسية: الراحة مقابل الأمان. تم تصميم معيار ERC-20 للبساطة؛ لا يدعم النظام بشكل أصلي الموافقات الدقيقة أو المحددة زمنيًا، مما يُتيح المجال لإساءة الاستخدام.

الخلفية والسياق

ظهرت ظاهرة إساءة استخدام الموافقات في عام ٢٠٢٣ مع تزايد ترابط بروتوكولات التمويل اللامركزي. تطلبت الخزائن عالية العائد وصانعو السوق الآليون (AMMs) بشكل متزايد من المستخدمين منح تصاريح واسعة لعقود الجهات الخارجية. في كثير من الحالات، كانت هذه الموافقات مُحددة لمدة معاملة واحدة أو تُترك مفتوحة بشكل دائم.

بدأت الهيئات التنظيمية، مثل هيئة الأوراق المالية والبورصات الأمريكية (SEC) وهيئة مكافحة غسل الأموال في ماليزيا (MiCA)، في التدقيق في منصات التمويل اللامركزي التي تُسهّل حركة الرموز الكبيرة دون ضمانات كافية بشأن معرفة العميل (KYC)/مكافحة غسل الأموال (AML). بينما تركز هذه الهيئات التنظيمية على الجرائم المالية، فإن إشرافها يجبر مطوري البروتوكول أيضًا على اعتماد أنماط موافقة أكثر صرامة، مثل استخدام ملحقات permit() (EIP‑2612) أو المخصصات قصيرة الأجل.

يشمل اللاعبون الرئيسيون في هذا المجال ما يلي:

• مجمعات العائد – على سبيل المثال، Yearn Finance وHarvest Finance، والتي غالبًا ما تتطلب من المستخدمين الموافقة على مبالغ كبيرة من الرموز للتركيب.
• مجموعات السيولة – يسمح Uniswap v3 وCurve بمبادلات متعددة الرموز والتي قد تحدد عن غير قصد مخصصات واسعة.
• منصات RWA – أدوات الترميز مثل نظام MakerDAO’s CDP أو Eden RWA الناشئة، والتي تربط الأصول الملموسة بالرموز الموجودة على السلسلة.

كيف تعمل: إساءة استخدام الموافقة يكمن جوهر هجوم استنزاف المحفظة في الفصل بين الإذن (الموافقة) والتنفيذ (النقل). فيما يلي تفصيل خطوة بخطوة:

1. منح بدل: يستدعي المستخدم approve(spender, amount) في عقد رمز، مما يمنح المنفق حقوقًا غير محدودة لنقل رموز amount إلى ما يصل إلى

.

2. تخزين البدل: يسجل عنوان المنفق هذا البدل في حالته الداخلية ولكنه لا يجوز له استخدامه فورًا.
3. تشغيل الاستنزاف: لاحقًا، ينفذ المهاجم وظيفة تستدعي transferFrom(user, attacker, amount)، مما يؤدي إلى نقل الرموز دون مزيد من تفاعل المستخدم.
إعادة التعيين أو إعادة المنح: قد يعيد المهاجم تعيين البدل إلى الصفر ويعيد الموافقة بعنوان ضار جديد، مما يؤدي إلى تكرار الدورة.

لأن يتحقق transferFrom() فقط من وجود رصيد كافٍ لدى المُنفق، ولا يتحقق مما إذا كان المستخدم هو من بدأ المعاملة. هذه الثغرة هي جوهر استنزاف المحفظة.

تأثير السوق وحالات الاستخدام

لهجمات استنزاف المحفظة عواقب وخيمة على كل من المستخدمين الأفراد والمشاركين المؤسسيين:

• يمكن للمستثمرين الأفراد أن يخسروا أجزاءً كبيرة من محافظهم الاستثمارية في دقائق، مما يُضعف الثقة في بروتوكولات التمويل اللامركزي.
• يواجه مطورو البروتوكولات ضررًا بسمعتهم وتدقيقًا تنظيميًا محتملًا إذا فشلوا في حماية المستخدمين.
• في سياق الأصول المرهونة (RWA)، تصبح الأصول الحقيقية المُرمزة، مثل أسهم العقارات الجزئية، أكثر جاذبية عند اقترانها بضوابط موافقة صارمة. يبحث المستثمرون عن منصات تقلل من مخاطر العقود الذكية مع تقديم تدفقات العائد.

يقارن الجدول البسيط أدناه بين إدارة الأصول التقليدية على السلسلة وأساليب التوكن الحديثة التي تتضمن موافقات محدودة الوقت أو خاصة بالمعاملات:

المخاطر والتنظيم والتحديات

على الرغم من الحلول التقنية، لا تزال هناك العديد من عوامل الخطر:

• أخطاء العقود الذكية: حتى الكود الذي تم تدقيقه جيدًا يمكن أن يحتوي على حالات حافة غير متوقعة يستغلها المهاجمون.
• الحضانة والملكية القانونية: قد لا تعكس الأصول المميزة ملكية الملكية الأساسية بشكل كامل، مما يؤدي إلى النزاعات.
• قيود السيولة: غالبًا ما يكون لرموز الأصول في العالم الحقيقي عمق سوق ثانوي أقل مقارنةً بأصول العملات المشفرة الأصلية.
• فجوات معرفة العميل/مكافحة غسل الأموال: لا تزال العديد من بروتوكولات التمويل اللامركزي تسمح بالمشاركة مجهولة الهوية، مما يُعقّد الامتثال التنظيمي.

تُشدّد الجهات التنظيمية القواعد المتعلقة بالأوراق المالية الرمزية والتحويلات عبر الحدود. يُقدّم قانون أسواق الأصول المشفرة (MiCA) في الاتحاد الأوروبي متطلبات ترخيص لمديري الأصول، مما قد يؤثر على قدرة منصات RWA على العمل عالميًا دون الحاجة إلى طبقات امتثال إضافية.

التوقعات والسيناريوهات لعام ٢٠٢٥ فصاعدًا

سيناريو إيجابي: إذا اعتمدت البروتوكولات آليات موافقة موحدة ومحددة زمنيًا، وفرضتها عبر ترقيات البروتوكول، فقد ينخفض ​​معدل استنزاف المحفظة بشكل كبير. إلى جانب تزايد اعتماد المؤسسات لرمزية الأصول المرجحة بالأوزان (RWA)، سيعزز هذا الثقة في التمويل اللامركزي (DeFi).

سيناريو هبوطي: قد يؤدي استنزاف كبير وواسع النطاق، يُبدد جزءًا كبيرًا من السيولة لدى أحد كبار صانعي العملات الرقمية (AMM)، إلى سلسلة من فقدان الثقة، مما يؤدي إلى عمليات خروج سريعة وفرض قيود تنظيمية. قد يُعيق هذا نمو الأصول الحقيقية المُرمزة حتى يتم وضع أطر امتثال جديدة.

الحالة الأساسية: خلال الـ 12-24 شهرًا القادمة، نتوقع تحسينات تدريجية في معالجة الموافقات – مثل التخلف عن استخدام permit() أو تطبيق مخصصات “لمرة واحدة” – بينما تُوضح الجهات التنظيمية تدريجيًا وضع الأصول الحقيقية المُرمزة. يجب على المستثمرين الأفراد أن يظلوا يقظين ولكن لا يزال بإمكانهم الاستفادة من المحافظ المتنوعة التي تشمل كل من العملات المشفرة الأصلية ورموز RWA المعتمدة.

Eden RWA: مثال ملموس على الرمز المميز الآمن

Eden RWA هي منصة استثمارية تربط العقارات الفاخرة في منطقة البحر الكاريبي الفرنسية بسلسلة Ethereum من خلال أسهم العقارات المميزة. يتم تمثيل كل ملكية جزئية بواسطة رمز ERC-20 فريد (على سبيل المثال، STB-VILLA-01) صادر عن شركة ذات غرض خاص (SPV) منظمة كـ SCI أو SAS.

يتبع سير عمل المنصة الخطوات التالية:

• إصدار الرمز: بعد التحقق القانوني، تصدر الشركة ذات الغرض الخاص رموز ERC-20 التي تمثل الملكية غير المباشرة لفيلا في سان بارتيليمي أو سان مارتن أو جوادلوب أو مارتينيك.
• توزيع دخل الإيجار: يتم تحصيل عائدات الإيجار ودفعها تلقائيًا لحاملي الرموز كعملات مستقرة USDC مباشرة إلى محافظ Ethereum الخاصة بهم من خلال عقود ذكية مدققة.
إقامات تجريبية ربع سنوية: يختار نظام حوكمة DAO-light حامل الرمز لمدة أسبوع مجاني في أحد الخصائص، مما يضيف قيمةً تجريبية.
• الحوكمة والشفافية: يصوت حاملو الرموز على القرارات الرئيسية، مثل التجديدات أو فعاليات البيع. تستخدم المنصة نموذجًا ثنائيًا للرموز: رمز فائدة ($EDEN) لحوافز المنصة، ورموز ERC-20 خاصة بالعقارات لملكية الأصول.

تخفف بنية Eden RWA من إساءة استخدام الموافقات من خلال تقييد تفاعلات العقود الذكية على الموافقات قصيرة الأجل والمحددة الغرض. علاوة على ذلك، فإن مسار التدقيق الشفاف لمدفوعات الإيجار وقرارات الحوكمة يقلل من خطر تمكن الفاعل الخبيث من سحب الأموال دون اكتشافه.

يمكن للقراء المهتمين معرفة المزيد عن عروض البيع المسبق لـ Eden RWA واستكشاف المشاركة المحتملة من خلال الروابط التالية:

استكشف البيع المسبق لـ Eden RWA | اكتشف تفاصيل البيع المسبق

النقاط العملية

• راجع دائمًا سياسة الموافقة على البروتوكول قبل التفاعل؛ ابحث عن الموافقات المحددة زمنيًا أو للاستخدام مرة واحدة. استخدم محافظ تتيح لك رؤية المخصصات المعلقة وإلغائها بشكل استباقي. فضل المنصات ذات العقود الذكية المدققة وآليات حوكمة شفافة. فكر في التنويع في الأصول الرمزية في العالم الحقيقي التي توفر تدفقات عائد مستقرة من خلال SPVs المنظمة. ابقَ على اطلاع دائم بالتطورات التنظيمية، وخاصة إرشادات MiCA وSEC بشأن رموز الأصول المشفرة. قبل الاستثمار في منصة RWA، تحقق من الوضع القانوني للملكية الأساسية وسلسلة ملكيتها. راقب تعليقات المجتمع – يمكن أن تكون قوة التصويت بمثابة وكيل لجودة الحوكمة. ما هي موافقة ERC-20؟ تمنح مكالمة approve() ERC-20 عنوانًا آخر الحق في نقل ما يصل إلى عدد محدد من الرموز نيابة عن حامل الرمز.
  

  كيف يمكنني حماية محفظتي من هجمات الاستنزاف؟

  استخدم الموافقات قصيرة الأجل، وقم بإلغاء المخصصات غير المستخدمة عبر أدوات مثل Etherscan أو MetaMask، وتفاعل فقط مع العقود التي تم تدقيقها.

  هل تقضي منصات RWA على مخاطر الموافقة؟

  إنها تقلل من المخاطر من خلال استخدام الموافقات الدقيقة والمحددة للمعاملات ومسارات التدقيق الصارمة، ولكن لا يوجد نظام محصن تمامًا.

  هل تخضع Eden RWA للتنظيم؟

  تعمل Eden RWA من خلال SPVs القانونية (SCI / SAS) في فرنسا وتتبع لوائح العقارات المحلية. مع ذلك، ينبغي على المستخدمين إجراء العناية الواجبة بشأن حالة امتثال المنصة. هل يمكنني بيع توكنات Eden RWA الخاصة بي قبل أي حدث سيولة؟ تعتمد سيولة التوكنات على تطور السوق الثانوية للمنصة؛ حاليًا، يقتصر التداول على السوق الداخلية حتى الحصول على موافقات تنظيمية إضافية. الخلاصة: يُبرز التهديد المتكرر باستنزاف المحفظة أهمية وجود ضوابط موافقة قوية داخل أنظمة التمويل اللامركزي. بينما يواصل مطورو البروتوكولات الابتكار من خلال أذونات محدودة زمنيًا وممارسات تدقيق أكثر صرامة، يجب على المستخدمين أن يكونوا استباقيين في مراقبة المخصصات والتعامل فقط مع المنصات المعتمدة. بالتوازي مع ذلك، تُظهر الأصول الرقمية الرمزية، مثل تلك التي تقدمها Eden RWA، كيف يُمكن للجمع بين الشفافية على السلسلة والهياكل القانونية المنظمة أن يوفر سبلًا أكثر أمانًا لتوليد العائدات. مع نضج التمويل اللامركزي، سيؤثر التوازن بين الراحة والأمان على تجربة المستخدم والنتائج التنظيمية. المستثمرون الذين يفهمون هذه الديناميكيات، والذين يتبنون ممارسات منضبطة للحد من المخاطر، سيكونون في وضع أفضل للتعامل مع المشهد المتطور للتمويل الرقمي.

  إخلاء المسؤولية

  هذه المقالة لأغراض إعلامية فقط، ولا تُشكل نصيحة استثمارية أو قانونية أو ضريبية. احرص دائمًا على إجراء بحثك الخاص قبل اتخاذ قراراتك المالية.