تم استغلال جسر توكنات أليفيوم (Alephium) في هجوم أسفر عن خسائر تقدر بحوالي 815 ألف دولار، بعد أن تمكن المهاجم من السيطرة على ثلاثة من مفاتيح الحماية الأربعة (Guardian Keys) التي تؤمّن البروتوكول العابر للسلاسل، وفقًا لشركة الأمن السيبراني بلوك إيد (Blockaid). هذه الحادثة هي الأحدث في سلسلة هجمات تستهدف البنية التحتية للجسور العابرة للسلاسل في نظام التمويل اللامركزي (DeFi).
كيف حدث الاختراق؟
أفادت بلوك إيد أن المهاجم تمكن من السيطرة على ثلاثة من أصل أربعة مفاتيح حماية مسؤولة عن توقيع رسائل التحقق على الجسر. هذا مكّنه من توقيع رسالة مزيفة للتحقق من صحة الأصول (VAA)، والتي استُخدمت بعد ذلك لتفويض نقل غير مصرح به للأصول من مجمعات السيولة في الجسر. إجمالي الخسائر بلغ حوالي 815 ألف دولار، لكن لم يُكشف بعد عن التفاصيل الدقيقة للرموز المسروقة.
مفاتيح الحماية (Guardian Keys) هي آلية أمنية شائعة في الجسور العابرة للسلاسل، وتتطلب عددًا معينًا من التوقيعات من مدققين موثوقين قبل الموافقة على المعاملات. في هذه الحالة، كان الحد الأدنى المطلوب هو ثلاثة من أربعة مفاتيح، مما يعني أن اختراق مفتاح واحد لم يكن كافيًا – لكن المهاجم تمكن من اختراق ثلاثة مفاتيح منفصلة، متجاوزًا طبقة الأمان المخطط لها في البروتوكول.
تأثير الحادثة على أمان الجسور العابرة للسلاسل
تسلط حادثة أليفيوم الضوء على ثغرة مستمرة في بنية الجسور متعددة التوقيع: خطر اختراق المفاتيح في وقت واحد. بينما تهدف التوقيعات ذات الحد الأدنى (Threshold Signatures) إلى توزيع الثقة، فإن تركيز المفاتيح ضمن مجموعة صغيرة من المدققين يمكن أن يخلق نقطة فشل واحدة إذا تم اختراق عدة مدققين من خلال هجمات مشابهة.
أشارت بلوك إيد إلى أن الهجوم يبدو أنه تم التخطيط له بعناية، مستهدفًا البنية التحتية لإدارة المفاتيح بدلاً من استغلال خلل في العقود الذكية. هذا الفرق مهم لأنه يحول التركيز من مراجعة الأكواد إلى الأمان التشغيلي وممارسات إدارة المفاتيح.
رد فعل السوق والمجتمع
بعد الكشف عن الحادثة، أكد فريق أليفيوم أنهم يحققون في الأمر ويعملون مع شركات أمنية لتتبع الأموال المسروقة. تم إيقاف الجسر مؤقتًا لمنع المزيد من الخسائر. شهد سعر رمز أليفيوم الأصلي (ALPH) انخفاضًا معتدلًا في الساعات التي تلت الخبر، مما يعكس مخاوف السوق الأوسع حول أمان الجسور العابرة للسلاسل.
بالنسبة للمستخدمين الذين لديهم أصول عبر الجسر من أو إلى أليفيوم، يبدو أن الخطر المباشر يقتصر على عقد الجسر نفسه. لكن الحادثة تذكير بأن الجسور العابرة للسلاسل لا تزال واحدة من أكثر الأسطح استهدافًا للهجمات في عالم التمويل اللامركزي (DeFi)، حيث تجاوز إجمالي الخسائر الناتجة عن اختراقات الجسور 2 مليار دولار منذ عام 2021 وفقًا لبيانات الصناعة.
الخلاصة
يؤكد اختراق جسر أليفيوم بقيمة 815 ألف دولار على التحديات المستمرة في تأمين البنية التحتية العابرة للسلاسل. بينما تعتبر الخسارة المطلقة متواضعة نسبيًا مقارنة باختراقات DeFi الأكبر، فإن الطريقة – اختراق عدة مفاتيح حماية – تثير أسئلة جوهرية حول إدارة المفاتيح وأمان المدققين في بنية الجسور. سيراقب المستخدمون والمطورون عن كثب لمعرفة إجراءات المعالجة التي سينفذها فريق أليفيوم، وما إذا كانت الصناعة ستتجه نحو نماذج توزيع مفاتيح أكثر قوة.
الأسئلة الشائعة
- س1: ما هو مفتاح الحماية (Guardian Key) في جسر الرموز؟
مفتاح الحماية هو مفتاح تشفير يحمله مدقق أو جهة موثوقة، ويجب عليه التوقيع على المعاملات قبل تنفيذها على الجسر. عادةً ما يتطلب تفويض التحويل عددًا محددًا من توقيعات مفاتيح الحماية، مما يضيف طبقة أمان ضد نقاط الفشل الفردية. - س2: كيف تمكن المهاجم من اختراق ثلاثة مفاتيح حماية؟
لم تكشف بلوك إيد عن الطريقة الدقيقة، لكن طرق الهجوم الشائعة تشمل التصيد الاحتيالي، والهندسة الاجتماعية، واستغلال ممارسات تخزين المفاتيح الضعيفة، أو اختراق البنية التحتية التي تُخزّن بها المفاتيح. التحقيق لا يزال جاريًا. - س3: ماذا يجب أن يفعل مستخدمو أليفيوم الآن؟
يجب على المستخدمين الذين لديهم أصول على جسر أليفيوم متابعة الإعلانات الرسمية من فريق أليفيوم. تم إيقاف الجسر، مما يمنع أي عمليات سحب أو إيداع إضافية. يجب على المستخدمين عدم التفاعل مع عقد الجسر حتى يُعلن أنه آمن. لا حاجة لاتخاذ أي إجراء للأصول الموجودة مباشرة على شبكة أليفيوم الرئيسية.
