وصف عام
في مطلع صيف 2023، بدأ كثير من مستخدمي بلوكتشين Tron في تلقّي مبالغ ضئيلة من عناوين مجهولة، وبدأت حصّة هذه المعاملات في الشبكة تبلغ قيمة ملموسة. وكانت أصول TRX وUSDT الأكثر شيوعًا لمثل هذه الإرساليات. ولم يكن لهذا النوع من الهجوم اسم خاص به لكنه سُمّي “هجمات الغبار” بسبب التشابه مع نوع مماثل من “هجوم الغبار” في شبكة BTC من حيث العوامل الخارجية. وحاليًا، الاسم العملي لهذا الهجوم لدى فريقنا هو “هجوم القشرة”، وتُسمّى المدفوعات الضئيلة “قشرة”.
ماذا تعني “هجمات القشرة”؟
يرسل المهاجم معاملات متعدّدة إلى عناوين أجرت أو تلقّت معاملات مؤخّرًا. ثم ينتظر الحالة التي ينسخ فيها متلقّي “القشرة” عنوان المهاجم خطأً بدلًا من المستلم المقصود ويرسل إليه الأصول.
وقد حدّدنا 6 أجيال من هذا الهجوم. وتجاوزت فعالية أكثر الشبكات المهاجِمة تطوّرًا 3800%.
وبلغ إجمالي عدد العناوين التي أرسلت رمز TRX ضمن هذا الهجوم > 683 434 052 معاملة، ورمز USDT > 85 304 707 معاملة.
مكافحة هذا النوع من الهجوم ممكنة! والأساليب والتقنيات المحدّدة موصوفة في قسم البحث.
آلية تنفيذ “هجمات القشرة”
خلال المرحلة القصيرة من التطوّر النشط لهذا النوع من الهجوم (بدءًا من صيف 2023)، قطع شوطًا طويلًا من قائمة إرسال بدائية إلى نظام مدروس بأساليب مثيرة للاهتمام في تحليل الأهداف. وحتى الآن، يمكن تمييز عدة أجيال من “هجمات القشرة”.
خلال المرحلة القصيرة من التطوّر النشط لهذا النوع من الهجوم (بدءًا من صيف 2023)، قطع شوطًا طويلًا من قائمة إرسال بدائية إلى نظام مدروس بأساليب مثيرة للاهتمام في تحليل الأهداف. وحتى الآن، يمكن تمييز عدة أجيال من “هجمات القشرة”. الجيل الأول
الجيل الأول
- تذهب قائمة الإرسال بشكل عشوائي إلى جميع العناوين التي أجرت معاملات مؤخّرًا باستخدام رموز TRX.
تذهب قائمة الإرسال بشكل عشوائي إلى جميع العناوين التي أجرت معاملات مؤخّرًا. ويُستخدم TRX للإرسال (بسبب إمكانية إرساله دون إنفاق Energy، فقط على حساب Bandwidth (ستُناقَش الربحية بتفصيل أكبر في القسم المقابل)).
كفاءة منخفضة للمخطّط.
مثال على أحد عناوين المهاجم: TGuuuq9asKwhGR2Zq21vQ1Nk4yFiTc8G3J

- الإرسال يجري بطريقة عشوائية باستخدام رموز USDT.
لا يزال الإرسال يجري بطريقة عشوائية، لكن باستخدام رموز USDT. وهناك فرق صغير فقط في قيمة الأصول المحوَّلة (تبقى 0.01$ أو أقل) وترتفع تكلفة هذا الإرسال بسبب الـ Energy المستهلَكة لإجراء معاملة بأي رموز (معاملات TRX تستخدم فقط Bandwidth المتجدّد يوميًا، بينما تحويل أي رموز يستهلك Bandwidth وEnergy في آنٍ واحد. ويُحصَل على الأخير إما بتجميد TRX أو بحرقه).
مثال على أحد عناوين المهاجم: TEdi3CGdKewc1ZRen3SWkGf3YecoVT457j

الجيل الثالث
- الإرسال يجري بطريقة عشوائية باستخدام رموز USDT مع إضافة تصفية أهداف الهجوم.
وهو تطوير للجيل الثاني، لكن أُضيفت بعض طرق تصفية أهداف الهجوم.
وتشمل هذه المرشّحات:
الرصيد على العنوان؛
تواتر معاملات الهدف،
وقت المعاملة، إلخ.
ويشكّل كل مطوّر للشبكة المهاجِمة هذه القيود وفق تقديره. وفي هذه المرحلة، يزداد تعقيد مخطّط العمل بإدخال خوارزميات التحليل وسيتطلّب إرسال طلبات أكثر إلى عقد الشبكة، ما قد يتيح بدوره قدرات تقنية لتحليل المهاجمين.
الجيل الرابع
- يختار عناوين ذات نهاية مشابهة للطرف المقابل للعنوان المهاجَم.
هذه الخوارزمية لعمل شبكة المهاجم تزيد بالفعل فعالية الهجوم بشكل كبير، لكنها تتطلّب مستوى أعلى من تنفيذ وحدات الشبكة المهاجِمة. ويختار هذا الجيل من الهجوم عناوين ذات نهاية مشابهة للطرف المقابل للعنوان المهاجَم.
وباستخدام آلية مطابقة نهاية عنوان الكريبتو، يولّد عنوانًا يحمل أقصى تشابه في الأحرف الأخيرة. وهذا يزيد بشكل كبير من فرصة نجاح الهجوم. ويمكن أن يجمع هذا الهجوم أساليب تحليل مختلفة متاحة في الجيل الثالث.
وفي الوقت نفسه، فإن اختيار العنوان المهاجَم وتوليد عنوان المهاجم، المشابه لعنوان الطرف المقابل للهدف، يجعل من الضروري تزويد عناوين المهاجم بالأصول والموارد بسرعة لإتمام المعاملة. وهذا يجعل آلية تزويد شبكة الطاقة المهاجِمة من التجميد قليلة الجدوى. وتدفع معظم الشبكات المهاجِمة في هذا الجيل عمولات إجراء المعاملات بحرق TRX.
الجيل الخامس
- تحليل اختيار الهدف؛ توليد عناوين مشابهة للطرف المقابل؛ تحويل عدد أصول مشابه لما أرسله الطرف المقابل.
هذه الخوارزمية لعمل شبكة المهاجم تزيد بالفعل فعالية الهجوم بشكل كبير، لكنها تتطلّب مستوى أعلى من تنفيذ وحدات الشبكة المهاجِمة. ويختار هذا الجيل من الهجوم عناوين ذات نهاية مشابهة للطرف المقابل للعنوان المهاجَم.
وباستخدام آلية مطابقة نهاية عنوان الكريبتو، يولّد عنوانًا يحمل أقصى تشابه في الأحرف الأخيرة. وهذا يزيد بشكل كبير من فرصة نجاح الهجوم. ويمكن أن يجمع هذا الهجوم أساليب تحليل مختلفة متاحة في الجيل الثالث.
وفي الوقت نفسه، فإن اختيار العنوان المهاجَم وتوليد عنوان المهاجم، المشابه لعنوان الطرف المقابل للهدف، يجعل من الضروري تزويد عناوين المهاجم بالأصول والموارد بسرعة لإتمام المعاملة. وهذا يجعل آلية تزويد شبكة الطاقة المهاجِمة من التجميد قليلة الجدوى. وتدفع معظم الشبكات المهاجِمة في هذا الجيل عمولات إجراء المعاملات بحرق TRX.
الجيل الخامس
- تحليل اختيار الهدف؛ توليد عناوين مشابهة للطرف المقابل؛ تحويل عدد أصول مشابه لما أرسله الطرف المقابل.
وهو الأكثر فعالية بفضل الجمع بين عدة آليات:
تحليل اختيار الهدف؛
توليد عناوين مشابهة للطرف المقابل
تحويل عدد أصول مشابه لما أرسله الطرف المقابل كدفعة اختبارية.
ويتميّز هذا الجيل بأكثر الهجمات انتقائيةً مع محاولة تكرار دفعة اختبارية بين العناوين. وخلال التحليل، حدّدنا حالات إرسال مبالغ مكرّرة حتى 2 USDT، بشروط عدّة، مثل: غياب معاملات سابقة بين الطرفين + وجود مبلغ كبير على رصيد الهدف + إرسال دفعة اختبارية لا تتجاوز 2 USDT.
المزايا:
فعالية عالية للغاية للهجوم.
الجيل السادس
- إضافة عنوان المهاجم إلى قائمة الأشخاص الذين "أرسلت" إليهم الضحية أصولًا سابقًا.
منذ منتصف نوفمبر 2023، وقعت هجمات يُرسَل فيها 0 USDT من عنوان الضحية إلى عنوان المهاجم. وهذا النوع من الهجوم ممكن بسبب غياب أي قيود على إرسال 0 أصول من أي عنوان على شبكة Tron، حتى في غياب المفاتيح الخاصة من عنوان الإرسال.
ويختلف منطق هذا الهجوم في أن المهاجم يُدرج عنوانه، لا في قائمة المرسِلين إلى عنوان الضحية بل في قائمة الأشخاص الذين أرسلت إليهم الضحية أصولًا سابقًا. وهذه السمة تجعل الهجوم أقل وضوحًا وأكثر فعالية للمهاجمين. ويمكن دمجه مع آليات توليد عناوين كريبتو مشابهة للأطراف المقابلة المهاجَمة، ما يزيد فعالية الهجوم بشكل كبير.
اقتصاد “هجمات القشرة”
تُعرَّف ربحية الهجوم بأنها الفرق بين تكاليف تشغيل الشبكة والعائدات إلى عناوين المهاجم من أصول الضحايا.
- تتكوّن تكاليف تشغيل الشبكة من المكوّنات التالية:
- تطوير وحدات الشبكة المهاجِمة؛
- تفعيل كل عنوان من عناوين الشبكة المهاجِمة؛
- تكاليف معاملات تحويل الأصول إلى عناوين المهاجم للهجمات وإرسال “القشرة”؛
- التكاليف المرتبطة بالحصول على بيانات نشاط شبكة Tron (مزوّدو بيانات خارجيون أو تشغيل وصيانة عقدة خاصة بك).
الربحية على مثال شبكة منفصلة
سيُنظَر في تحليل فعالية الهجوم على الشبكة المهاجِمة، حيث جرى تزويد الأصول من العنوان TTFGc88GU8LXrXNnSPZFeeivSwaBZoJGk1.

أرسل العنوان TTFGc88GU8LXrXNnSPZFeeivSwaBZoJGk1 721,054 TRX و1,750 USDT إلى أكثر من 60,000 عنوان من الشبكة المهاجِمة، بينما دُفعت عمولة قدرها 90,443 TRX. وبلغ إجمالي تكاليف الأصول المشفّرة المستخدمة في إطار هذه الشبكة من العناوين نحو 46,000 دولار. وبإضافة التكاليف المذكورة أدناه، بلغ المقدار التقريبي للأموال المنفَقة على إطلاق الشبكة 50,000 – 55,000 دولار.
ونتيجةً لعمل الشبكة قيد الدراسة، ثُبّت 153 استلامًا لعناوين الشبكة المهاجِمة بعد إجراء المعاملة باتّجاه العنوان المهاجَم من مثل هذا العنوان. وبلغ إجمالي الأموال المستلَمة بهذه الطريقة ما لا يقلّ عن 1,941,484 USDT.
وتجاوزت ربحية الشبكة المدروسة 3800%.
أكثر تدابير المواجهة فعالية
نتيجةً لتحليل “هجمات القشرة”، نرى إمكانية تقليل مخاطر مثل هذا الهجوم بالطرق التالية:
- يمكن لمطوّري تطبيقات محافظ العملات المشفّرة إدخال إمكانية إخفاء المعاملات الأقل من 1$ افتراضيًا، وهذا سيقلّل فعالية هجمات الجيلين الأول والرابع والسادس إلى الصفر تقريبًا.
- التحليل المعمّق وكشف هوية مديري عناوين التجميد التي تزوّد الشبكات المهاجِمة بالطاقة سيجعل هذا النوع من الهجوم (للجيلين الثاني والثالث) أصعب وغير مربح اقتصاديًا.
- تحليل مصادر استلام TRX على شبكات العناوين المهاجِمة سيتيح ممارسة ضغط إضافي على مديري الشبكات المهاجِمة للأجيال الأول والرابع والسادس.
- الحجب التلقائي لأصول Tether USDT على العناوين المهاجِمة عند استلام مبالغ تتجاوز قيمة معيّنة عليها بعد إرسال “القشرة” استنادًا إلى خوارزمية تحليل نشاط تلقائية (طبّق مختصّونا التقنيون مثل هذه الخوارزمية في بضع ساعات) سيؤدّي إلى فقدان الجدوى الاقتصادية لهذا النوع من الهجوم.
- دراسة سجلات الطلبات إلى الخدمات الرئيسية لتوفير معلومات عن المعاملات على شبكة Tron ستتيح لك (إذا لم يستخدم المهاجم عقدته الخاصة) تحديد المديرين المحتملين للشبكات المهاجِمة من جميع الأجيال.
- يُجرى تحديد هوية مؤلّفي الخوارزميات المهاجِمة في مرحلة التصحيح بالبحث عن هجمات مماثلة في شبكة الاختبار. فكثير من الشبكات المهاجِمة تُختبَر على شبكات اختبار Tron للتصحيح والضبط. والحصول على الرموز في شبكة اختبار Tron ممكن فقط عبر المجتمع الرسمي على Discord. ومثال على مثل هذا الهجوم قد يكون هذه المعاملة.
الموارد المعلوماتية المستخدمة
https://tronscan.org/
https://developers.tron.network/docs/resource-model
https://tronstation.io/calculator
أُجريت الدراسة بواسطة:
الأكثر رواجًا
- المقالات يمكن للمستخدم الشرعي أن يُجمَّد USDT الخاص به بسبب أموال ذات تاريخ ملوّث.
- المقالات هل يمكن استرداد العملات المشفّرة المسروقة؟
- الأخبار احتيال رابط الاجتماع المزيّف: كيف تُسرَق العملات المشفّرة
- الأخبار عقوبات HTX: مخاطر على الأصول المشفّرة
- المقالات كيف يسرق القراصنة العملات المشفّرة
- الأخبار Tether رفعت التجميد عن 79 مليون دولار — ونحن نعرف السبب
- المقالات سُرقت عملاتك المشفّرة؟ أول 60 دقيقة تقرّر ما يمكن استرداده.
- الأخبار استرداد الأصول المشفّرة عبر شبكات OTC
- المقالات Tether جمّدت USDT الخاص بك: ما الذي يحدث وماذا تفعل
- المقالات تُخترَق محافظ الكريبتو عبر الأجهزة والتطبيقات والخطأ البشري، لا عبر البلوكتشين.
