تعرضت المنصة الإيرانية لعملية هجوم كبيرة، حيث تم حرق أصول بقيمة تقارب المئة مليون دولار.

في 18 يونيو 2025، كشف أحد المحللين المعروفين في التحليل على السلسلة عن حادثة يُشتبه في تعرض أكبر منصة تشفير في إيران لعملية اختراق. تتعلق هذه الحادثة بتحويلات غير طبيعية لمبالغ كبيرة من الأصول على عدة سلاسل عامة.

أكدت شركة أمنية أخرى أن الحادث أثر على الأصول على شبكة TRON وEVM وBTC، والتقديرات الأولية للخسائر تبلغ حوالي 8,170,000 دولار أمريكي.

أصدرت المنصة المتأثرة إعلانًا يؤكد أن بعض البنية التحتية والمحافظ الساخنة قد تعرضت بالفعل للوصول غير المصرح به، لكنها أكدت أن أمان أموال المستخدمين لم يتأثر.

من الجدير بالذكر أن المهاجمين لم يقوموا فقط بتحويل الأموال، بل قاموا أيضًا بنقل كميات كبيرة من الأصول إلى عنوان تدمير مخصص، حيث بلغت قيمة الأصول "المحترقة" ما يقرب من 100 مليون دولار.

خط زمني للأحداث

18 يونيو

• كشف محلل في أحد الشبكات عن أن منصة تداول العملات الرقمية الإيرانية قد تعرضت لهجوم قرصنة، حيث حدثت العديد من المعاملات المشبوهة في شبكة TRON.
• أكدت الشركة الأمنية أن الهجوم شمل عدة سلاسل، والتقديرات الأولية للخسائر تبلغ حوالي 8,170,000 دولار.
• المنصة المتأثرة أفادت بأنها اكتشفت أن بعض البنية التحتية والمحافظ الساخنة تعرضت للوصول غير القانوني، وقد قامت على الفور بقطع الواجهات الخارجية وبدء التحقيق.
• مجموعة قراصنة تدعي أنها "العصفور المفترس" أعلنت مسؤوليتها عن هذا الهجوم، وادعت أنها ستنشر شفرة المصدر وبيانات المنصة الداخلية خلال 24 ساعة.

19 يونيو

• المنصة المتأثرة أصدرت البيان الرابع، مؤكدة أنها قد أغلقت تمامًا مسارات الوصول الخارجي إلى الخادم، وأن تحويلات المحفظة الساخنة هي "خطوة استباقية قامت بها الفريق الأمني لضمان الأموال".
• تم تأكيد رسمياً أن الأصول المسروقة قد تم تحويلها إلى بعض المحافظ التي تتكون من أحرف عشوائية والتي تم استخدامها لتدمير أصول المستخدمين، بإجمالي حوالي 100 مليون دولار.
• ادعت منظمة Predatory Sparrow أنها أحرقت أصولًا مشفرة بقيمة حوالي 90 مليون دولار، ووصفتها بأنها "أداة لتجنب العقوبات".
• كشفت منظمة Predatory Sparrow عن كود المصدر للمنصة المتأثرة.

تحليل المصدر

استنادًا إلى معلومات الشيفرة المصدرية التي نشرها المهاجم، فإن النظام الأساسي لهذه المنصة التجارية مكتوب أساسًا بلغة Python، ويستخدم K8s للنشر والإدارة. بناءً على المعلومات المعروفة، يمكن الافتراض أن المهاجم قد تجاوز حدود العمليات، مما سمح له بالدخول إلى الشبكة الداخلية.

تحليل أسلوب الهجوم

استخدم المهاجمون العديد من "عناوين الحرق" التي تبدو شرعية ولكنها في الحقيقة غير قابلة للتحكم لاستقبال الأصول. تتوافق معظم هذه العناوين مع قواعد التحقق من تنسيق العناوين على السلسلة، مما يمكنها من استلام الأصول بنجاح، ولكن بمجرد تحويل الأموال إليها، فإن ذلك يعني تدميرها بشكل دائم. في الوقت نفسه، تحتوي هذه العناوين أيضًا على كلمات عاطفية واستفزازية، مما يدل على نية هجوم واضحة.

تحليل خسارة الأصول

وفقًا لإحصاءات أداة التحليل على بعض الشبكات، فإن خسائر المنصة المتأثرة تشمل عدة شبكات بلوكتشين:

• TRON: تم نقل كميات كبيرة من USDT و TRX
• سلسلة EVM (BSC، Ethereum، Arbitrum، Polygon، Avalanche): العملات الرئيسية والعديد من الرموز مثل UNI، LINK، SHIB
• بيتكوين：حوالي 18.4716 BTC
• Dogecoin: حوالي 39,409,954.5439 DOGE
• سولانا: SOL، WIF ورموز مثل RENDER
• سلاسل أخرى: بما في ذلك TON و Harmony و Ripple وغيرها

نصائح الأمان

تذكّر هذه الحادثة الصناعة مرة أخرى: الأمان هو كلّ متكامل، ويجب على المنصة تعزيز الحماية الأمنية بشكل أكبر. بالنسبة للمنصات التي تستخدم محافظ ساخنة في العمليات اليومية، يُنصح بـ:

1. عزل صارم لصلاحيات ومحاور الوصول والمحفظة الساخنة والباردة، وتدقيق دوري لصلاحيات استدعاء المحفظة الساخنة.
2. استخدام نظام مراقبة مباشر على السلسلة للحصول على معلومات شاملة عن التهديدات ورصد أمني ديناميكي في الوقت المناسب.
3. بالتعاون مع نظام مكافحة غسل الأموال على السلسلة، اكتشاف اتجاهات الأموال غير الطبيعية في الوقت المناسب.
4. تعزيز آلية الاستجابة الطارئة، لضمان القدرة على الاستجابة بشكل فعال خلال نافذة الذهب بعد حدوث الهجوم.

لا تزال التحقيقات جارية بعد الحدث، وسيواصل فريق الأمان المتابعة وتقديم التحديثات في الوقت المناسب.