قامت RetoSwap، وهي بورصة لامركزية رائدة من نظير إلى نظير تركز على الخصوصية لتداول Monero (XMR) مقابل العملات الورقية والعملات المشفرة الأخرى عبر Tor، بتعليق جميع عمليات التداول مؤقتًا بعد اكتشاف ثغرة أمنية جديدة في بروتوكول Haveno الأساسي.
تلقينا اليوم في تمام الساعة 18:02 بالتوقيت العالمي تقريرًا يفيد بأن بروتوكول التجارة Haveno يتم استغلاله بشكل نشط. أوقف الفريق التداول على الفور عن طريق تعيين الحد الأدنى لإصدار العميل إلى 2.0.0 باستخدام ميزة التصفية وحظر عنوان البصل للمستغلين.
– RetoSwap (@RetoSwap) 16 يونيو 2026
تلقى فريق RetoSwap التقرير الأول في حوالي الساعة 18:02 بالتوقيت العالمي (2:02 صباحًا بتوقيت بكين) في 16 يونيو 2026. وقد استجابوا بسرعة من خلال رفع الحد الأدنى لإصدار العميل إلى 2.0.0، وإدراج عنوان المهاجم البصلي (fg2lhfh…2qpad.onion) في القائمة السوداء، وإيقاف التداول. سيظل التداول متوقفًا مؤقتًا حتى يتم تطوير التصحيح الأمني الكامل واختباره وإصداره. وهذا هو الحادث الرئيسي الثاني الذي يتضمن بروتوكول Haveno خلال فترة قصيرة. في منتصف مايو 2026، استغل المهاجمون ثغرة في معالجة رسائل ACK وانتحال شخصية المحكم أثناء إنشاء محفظة متعددة التوقيعات، مما أدى إلى سرقة ما يقرب من 2.7 مليون دولار (حوالي 7000 دولار XMR). اقتصرت الخسائر بشكل أساسي على عمليات تداول العملات المشفرة الكبيرة، ولم يتأثر متداولو العملات الورقية إلى حد كبير.
حدث استغلال May Haveno خلال شهر شهد خسائر كبيرة في قطاع العملات المشفرة. وفقًا لتتبع الصناعة، خسرت مشاريع العملات المشفرة أكثر من 84 مليون دولار عبر 41 حادثًا أمنيًا في مايو 2026 وحده، مما يسلط الضوء على التحديات الأوسع التي تواجه أمن البروتوكول وإدارة المخاطر عبر النظم البيئية اللامركزية.
ويستهدف الاستغلال الأخير في شهر يونيو حل النزاعات وآلية التحكيم القسري. وفقًا لتحديثات المجتمع ومساهمي Haveno، تلقى المهاجم (الذي يعمل كمشتري) عروض الشراء والتحكيم القسري وتمكن من إطلاق XMR بعد تأكيدات Bitcoin (حوالي 30 كتلة) دون إرسال BTC المقابلة. ومن الجدير بالذكر أن هذا الحادث يبدو أنه يتضمن ما يبدو وكأنه عناوين محكم مشروعة في بعض الحالات، ويختلف عن ناقل هجوم مايو.
ويأتي الحادث أيضًا في أعقاب سلسلة من عمليات الاستغلال الأخيرة على مستوى البروتوكول والتي أثرت على منصات التمويل اللامركزية. في وقت سابق من هذا الشهر، عانى بروتوكول Solv من خسارة قدرها 2.7 مليون دولار مرتبطة بثغرة أمنية في العقود الذكية في Bro Vault، مما يؤكد كيف أن نقاط الضعف في طبقة التطبيق وطبقة البروتوكول لا تزال تشكل مخاطر كبيرة على المستخدمين.
أكدت RetoSwap أن البنية التحتية الخاصة بها لم يتم اختراقها. تكمن الثغرة الأمنية بالكامل ضمن بروتوكول Haveno. وتبدو الخسائر في هذه الحادثة الجديدة محدودة حتى الآن، إذ تحرك الفريق سريعا لاحتوائها. صرح وودسر، المطور الرئيسي لشركة Haveno:
حطاب
نصيحة للمستخدمين
قم بإلغاء كافة العروض المفتوحة على الفور
التحقق من بيانات التطبيق الخاصة بك وعمل نسخة احتياطية منها
تجنب أي تداول آخر حتى يتم نشر التصحيح
اتصل بالدعم عبر مجموعة SimpleX الرسمية ("الدردشة مع المسؤول") إذا كانت لديك عمليات تداول متأثرة
RetoSwap هو تطبيق/فرع نشط لبروتوكول Haveno، يقدم تداول P2P Monero غير خاضع للحراسة ومعتمد على Tor مع ضمان 2 من 3 متعدد التوقيعات. نشأت هافينو نفسها باعتبارها فرعًا من Bisq، بهدف توفير خصوصية قوية ولا مركزية. ومع ذلك، فقد كشفت المشكلات المتكررة في التحقق من صحة الرسائل ومعالجة العناوين ومنطق التحكيم عن تحديات في تأمين هذه الأنظمة اللامركزية المعقدة.
يعمل فريقا RetoSwap وHaveno على تصحيح أمني تم التحقق منه. ومن المتوقع أن يتم استئناف التداول فقط بعد اختبار التحديث بدقة وإصداره. يقوم الفريق أيضًا بتقييم خيارات الاسترداد لأي مستخدمين متأثرين ويخطط لإصدار تقرير مفصل بعد الوفاة. تسلط هذه الحوادث المتتالية الضوء على الصعوبات الواقعية في بناء بروتوكولات تداول آمنة من نظير إلى نظير، خاصة بالنسبة لأصول الخصوصية عالية القيمة مثل Monero. في حين أن الرؤية الأساسية للتداول الخاص غير الاحتجازي تظل مهمة وسط الضغوط التنظيمية العالمية، فإن هذه الأحداث تؤكد على الحاجة إلى تدقيق صارم واستجابة مجتمعية سريعة. وسنواصل مراقبة إصدارات التصحيح الرسمية، وتقديرات الخسارة، وأي تفاصيل تعويضات من الفرق.