بروتوكول المراهنة "DeFi 3.0" المُدار بالذكاء الاصطناعي، والذي يُطلق عليه اسم "DeFi 3.0"، تعرّض بروتوكول الذهب الجديد، المُصمّم "بهدف الاستدامة"، للاختراق بعد ساعات من إطلاقه. وقع الاختراق في 18 سبتمبر 2025. استغلّ المُخترق ثغرتين في تصميم NGP. تُبيّن هذه الحالة كيف يُمكن للإهمال في تصميم البروتوكول أن يُدمّر أي مشروع منذ البداية.
ملخص
- تمت سرقة ما يقرب من 2 مليون دولار من العملات المشفرة من منصة New Gold Protocol التي تم إطلاقها مؤخرًا عبر هجوم قرض سريع.
- أُرسِلت الأموال المسروقة إلى تورنادو كاش. لم يتم تحديد هوية المخترق.
- فريق العمل وراء بروتوكول الذهب الجديد يلتزم الصمت.
- أدت أكبر هجمات القروض السريعة إلى خسائر تجاوزت 100 مليون دولار.
ما هو بروتوكول الذهب الجديد؟
بروتوكول الذهب الجديد هو بروتوكول تخزين مبني على blockchain BNB وتم إطلاقه في 18 سبتمبر.
إحدىالمشكلات التي يهدف بروتوكول الذهب الجديد إلى حلها هي "غياب قواعد التسعير". ووفقًا للورقة البيضاء، فإن العديد من بروتوكولات التمويل اللامركزي "تفتقر إلى آليات موحدة لتسعير السلوك، مما يؤدي إلى تقلبات واضطرابات".
كان الهدف من بروتوكول الذهب الجديد، "الجيل القادم من التمويل اللامركزي 3.0"، التفوق على المنافسين الذين لا يملكون أرباحًا جوهرية والذين تتسم نماذج حوكمتهم بعدم الكفاءة. وقد رأى فريق NGP سبيلًا لتحقيق الشفافية والإنصاف والاستدامة من خلال تحسين الذكاء الاصطناعي.
كان بروتوكول الذهب الجديد يسعى جاهدًا لإنشاء منصة إيداع شاملة ببيئة شفافة وآلية، مدعومة بعقود ذكية. وبسبب عمليات حرق الرموز، روّجت NGP لعملتها الأصلية على أنها انكماشية. ووعدت بتوزيعات عائد حقيقي بدلًا من الحوافز التضخمية والمضاربية. وأشار تقرير NGP إلى أن الشفافية تضمن المساءلة. ومع ذلك، اتضح أن هذا لم يكن كافيًا.
كيف تم اختراق NGP؟
وقع الاختراق بعد وقت قصير من إطلاق رمز NGP. كان عدد رموز NGP المتاحة للشراء محدودًا لمنع هجمات تضخم الأسعار، لكن المخترق وجد طريقة لتجاوز ذلك.
وفقًا لمحللين من شركة هاكن لأمن البلوك تشين، جمع المخترق قبل ست ساعات من الهجوم عددًا كبيرًا من الأصول عبر قروض سريعة باستخدام حسابات مختلفة. تُعدّ القروض السريعة ميزة شائعة على منصات التمويل اللامركزي (DeFi)، حيث تتيح اقتراض أصول العملات المشفرة بسرعة دون الحاجة إلى ضمانات. قد تُستخدم الأموال المقترضة في تداول المراجحة، أو سرقة الأموال من بروتوكول، أو التلاعب بالأسعار. وكما يشير هاكن، قد تصل الأضرار الناجمة عن هجمات القروض السريعة إلى ملايين الدولارات.
استخدم المهاجم أسلوب التلاعب بالعرافة. حدد البروتوكول سعر رمز NGP بمسح احتياطياته في مجمع سيولة البورصة اللامركزية، مما سمح للمهاجم بالتلاعب بالسعر. بدأ المهاجم بمبادلة BUSD بـ NGP على منصة PancakePair، مما أدى إلى ارتفاع سعر NGP بسرعة.
احتوى بروتوكول الذهب الجديد على حدين: حد للشراء وحد لفترة تهدئة للمشترين. تم تجاوز كليهما باستخدام المهاجم عنوان "dEaD" كمستلم.
كانت الخطوة التالية هي استنزاف جميع رموز BUSD تقريبًا من البروتوكول عبر بيع NGP. ولم يبق لبروتوكول الذهب الجديد أي رصيد يُذكر. ثم ربح المهاجم ما قيمته 1.9 مليون دولار من العملات المشفرة، ثم حوّل الأموال فورًا إلى عملة ETH قائمة على BNB.
وفقًا لفريق هاكن، شملت الإجراءات التالية إيداع أموال مسروقة في تورنادو كاش عبر إيثريوم متصل بجسر مع أكروس. أدى هذا الإجراء إلى ارتفاع سعر NGP، مع ترك مبلغ ضئيل من الأموال في البروتوكول. وسرعان ما انخفض سعر رمز NGP بنسبة 88%.
للأسف، على الرغم من الخطط الطموحة لإعادة هيكلة قطاع التمويل اللامركزي (DeFi) وبناء منتج مستدام، أهمل بروتوكول الذهب الجديد أمنه الخاص وتعرض لأضرار جسيمة. لم تُعلّق الشركة على المسألة. وجاء في آخر تغريدة لها: "الاستقرار يلتقي بالنمو". نُشرت قبل ساعات من الهجوم، وتبدو الآن وكأنها مزحة لاذعة.
هجمات القروض السريعة الأخرى
بمجرد تقديم القروض السريعة، سرعان ما أصبحت هجمات القروض السريعة واحدة من التكتيكات التي يستخدمها المجرمون.
وقع أكبر هجوم في مارس 2023. تمكن المخترق من سرقة حوالي 197 مليون دولار أمريكي من عملات بيتكوين وإيثريوم ملفوفة، بالإضافة إلى أصول أخرى من بروتوكول أويلر فاينانس. استغل المخترق خطأً في معدل حساب المنصة. أُرسلت الأموال إلى عنوان استخدمه سابقًا قراصنة جمهورية كوريا الديمقراطية الشعبية سيئو السمعة، مجموعة لازاروس. وما جعل هذه القضية جديرة بالملاحظة بشكل خاص هو أن المخترق أعاد جميع الأموال طواعيةً واعتذر.
من الأمثلة البارزة الأخرى قرصنة شركة Cream Finance (التي سُرق منها 130 مليون دولار عام 2021) وشبكة Polter ( التي سُرق منها 12 مليون دولار عام 2024). كان قرضٌ سريع جزءًا من المخطط المُستخدم عام 2025 لسرقة 223 مليون دولار من العملات المشفرة من بروتوكول Cetus المُعتمد على Sui.
