تعرض بروتوكول الخصوصية HermesVault، المبني على منصة Algorand، لإغلاق دائم لعملياته بعد اختراق أمني أدى إلى سرقة حوالي 261,000 رمز $ALGO، بقيمة تقارب 29,466 دولارًا وقت الحادثة. وأكد المهندس الرئيسي للبروتوكول جوليو بيزيني الخبر في منشور على منصة X، موضحًا الطبيعة الفنية للاختراق.
ثغرة فنية في التحقق من السحب
وفقًا لبيزيني، فإن دائرة إثبات المعرفة الصفرية (zk) الأساسية في آلية الخصوصية الخاصة بـ HermesVault بقيت آمنة. لكن الثغرة وُجدت في منطق الدفاع الخاص بإعادة تعيين المفتاح في سكريبت التحقق من السحب. سمح هذا العيب للمخترق بتجاوز عملية التحقق من zk بالكامل وسحب الأموال دون إذن مناسب.
أشار بيزيني إلى أنه تم إصلاح الثغرة منذ ذلك الحين، وتم إرجاع جزء كبير من الأموال المسروقة وقدره 230,000 $ALGO إلى المشروع. أما الـ 30,000 $ALGO المتبقية فلا تزال مفقودة، لكن الفريق بدأ عملية استرداد للمستخدمين المتضررين.
عملية الاسترداد للضحايا
يحق للضحايا الذين فقدوا أموالًا في سرقة الـ 30,000 $ALGO المتبقية الحصول على استرداد كامل. للمطالبة بالتعويض، يجب على المستخدمين إثبات ملكية عنوانهم المتضرر وتقديم ملاحظة سرية مرتبطة بمعاملتهم. لم يحدد الفريق موعدًا نهائيًا محددًا لمطالبات الاسترداد، لكنه حث المستخدمين على التصرف بسرعة.
تأثيرات على بروتوكولات الخصوصية
تسلط حادثة HermesVault الضوء على تعقيد تأمين بروتوكولات التمويل اللامركزي التي تركز على الخصوصية. رغم أن إثباتات المعرفة الصفرية تُعتبر قوية على نطاق واسع، إلا أن أخطاء التنفيذ في المنطق المحيط بها – مثل سكريبتات السحب – يمكن أن تكشف ثغرات خطيرة. هذه الحالة تذكير بأن الأنظمة القائمة على zk والتي خضعت للتدقيق لا تزال تحتاج إلى مراجعات أمنية شاملة لجميع المكونات المساعدة.
بالنسبة لمنظومة Algorand، قد يثير إغلاق بروتوكول خصوصية بارز تساؤلات حول جدوى حلول الخصوصية طويلة الأمد على الشبكة، خاصة مع اشتداد الرقابة التنظيمية على المعاملات المجهولة عالميًا.
الخلاصة
إغلاق HermesVault بعد اختراق بقيمة 29 ألف دولار من $ALGO يبرز التحديات الأمنية المستمرة في التمويل اللامركزي. رغم أن الفريق تصرف بسرعة لسد الثغرة وبدء عمليات الاسترداد، إلا أن الحادثة أنهت عمليات البروتوكول بشكل دائم. يُنصح المستخدمون الذين لديهم أموال متضررة باتباع عملية الاسترداد الرسمية لاستعادة أصولهم.
- س1: ما سبب اختراق HermesVault؟
الاختراق استغل ثغرة في منطق الدفاع عن إعادة تعيين المفتاح في سكريبت التحقق من السحب، وليس في دائرة إثبات المعرفة الصفرية نفسها. هذا سمح للمخترق بتجاوز التحقق من zk وسحب الأموال. - س2: كم سُرق وكم تم استرداده؟
سُرق حوالي 261,000 $ALGO (بقيمة 29,466 دولارًا). من هذا المبلغ، تم استرداد 230,000 $ALGO، بينما لا يزال 30,000 $ALGO في عداد المفقود. - س3: كيف يمكن للضحايا المطالبة باسترداد الـ $ALGO المتبقية المسروقة؟
يجب على الضحايا إثبات ملكية عنوانهم المتضرر وتقديم ملاحظة سرية مرتبطة بمعاملتهم للحصول على استرداد كامل.
