امن وحماية المعلومات

فريق V12: THORChain أصلح ثغرة حرجة بصمت، ثم أخبر الباحثين أن المكافأة “أُحيلت للتقاعد الدائم”

صورة فيلسوف البيتكوين فيلسوف البيتكوينمنذ 39 ثانيةآخر تحديث: 2 يونيو، 2026
4 دقائق
فريق V12: THORChain أصلح ثغرة حرجة بصمت، ثم أخبر الباحثين أن المكافأة "أُحيلت للتقاعد الدائم"

أعلنت شركة أمنية ناشئة أنها تعتزم نشر كود استغلال الثغرات الأمنية غير المُعالجة في بروتوكول THORChain خلال الأيام القادمة، وذلك بعد أن قام البروتوكول cross-chain بإصلاح ثغرة حرجة سابقة كانت الشركة قد أبلغت عنها دون أن تحصل على أي إشادة أو مكافأة مالية.

شركة V12 تكتشف ثغرة “التزوير”

قالت شركة V12، التي تُطور أداة تدقيق كود آلية ونشرت مؤخراً ثغرات في نواة لينكس، في منشور على منصة X أنها أبلغت THORChain عن ثغرة “حرجة تؤدي إلى فقدان الأموال”، وأن البروتوكول “قام بإصلاحها بصمت”، وأن ممثلاً عن THORChain أخبر الشركة أن برنامج المكافآت الخاص بهم “متقاعد نهائياً”. وأضافت V12 أنها تحتفظ بثغرات إضافية من نوع “تعطيل سلسلة THORChain” (chain halt) تخطط للكشف عنها علناً، وقد نشرت مستودعاً يحتوي على كود إثبات المفهوم (PoC).

حادثة مايو 2024: خسارة 10.7 مليون دولار

يأتي هذا الإفصاح بعد حوالي ثلاثة أسابيع من فقدان بروتوكول THORChain، الذي تبلغ قيمته الإجمالية المحجوزة حوالي 30 مليون دولار، ما يقدر بـ 10.7 مليون دولار من أحد خزائنه الستة “Asgard” في 15 مايو. أرجع باحثون أمنيون، منهم Blockaid والمحقق على السلسلة ZachXBT، هذا الاختراق إلى ثغرة “تزوير المُقترِح” (proposer-forgery) في نظام الإثبات Bifrost الخاص بـ THORChain – وهو نفس النوع من الخلل الذي كان من المفترض أن يُصلحه تحديث كود بتاريخ 6 مايو.

ذلك التحديث، الذي كان عنوانه “توقيع غلاف ObservedTx كامل لمنع تزوير المُقترِح”، لم يتم نشره أبداً؛ حيث قال الباحثون إنه فشل في اجتياز اختبارات البروتوكول الآلية وعملية النشر قبل الهجوم. انخفض سعر عملة RUNE بنسبة تصل إلى 15% في يوم الاختراق، ويتم تداولها حالياً بالقرب من 0.49 دولار، بانخفاض يبلغ حوالي 87% خلال العام الماضي، وفقاً لبيانات من DefiLlama وCoinGecko.

تعرضت THORChain للاختراق عدة مرات منذ عام 2021، كما تم استخدامها في غسل الجزء الأكبر من الأموال المسروقة في اختراق Bybit البالغ 1.4 مليار دولار.

ماذا وجدت V12 بالضبط؟

وفقاً للقطات شاشة للرسائل التي نشرتها V12، فإن الشركة تواصلت مع THORChain في 28 إبريل للإبلاغ “بشكل مسؤول” عن ثغرة وصفوها بأنها “حرجة على الأرجح”، وأرفقوا معها ملف تحديث، وكود إثبات مفهوم، وتقرير مفصّل.

في تلك الرسائل، وصفت V12 خللاً يمكن لمدقق واحد خبيث، يعمل كمُقترِح كتلة (block proposer) لـ CometBFT، من “تجاوز جميع متطلبات التأكيد” عن طريق تزوير بيانات الإنهاء (finality data) غير الموقعة على معاملات تم الإ attest بها بشكل صحيح، مما يتسبب في قيام THORChain بإصدار أموال خارجة قبل تأكيد الإيداع المصدر. وقالت الشركة إن المشكلة أثرت على كل سلسلة خارجية متصلة بـ THORChain، وكان من الممكن استغلالها من قبل أي مدقق نشط أثناء دورة التناوب الطبيعية له.

عندما تتبعت V12 موضوع المكافأة، ردّ أحد ممثلي THORChain قائلاً إنهم “غير مدركين لوجود أي برنامج مكافآت Bug Bounty قيد التشغيل حالياً من قبل THORChain”، وأضاف أن الفريق أوقف البرنامج “منذ زمن بعيد”، حسب لقطات الشاشة. ثم سألت V12 عما إذا لم تكن هناك مكافأة حتى للثغرات الحرجة.

هوية الشخص الذي تواصل مع V12 كانت مخفية في الصور. تعتمد رواية V12 على رسائل نشرتها الشركة بنفسها، وتقدم جانباً واحداً من المحادثة؛ ولم تؤكد THORChain صحة هذه الرسائل أو وجود الثغرة المُبلغ عنها.

تحديث لم يُنشر أبداً

وفقاً لسجل تحديثات THORNode، قام مطورو THORChain بكتابة إصلاح لثغرة “تزوير المُقترِح” في 6 مايو، أي قبل تسعة أيام من الاختراق الفعلي في 15 مايو. وجد تحليل Blockaid للهجوم أن توقيعات المدققين لم تكن تغطي حقل “الدخول أو الخروج” (inbound-or-outbound) في المعاملة، مما سمح للمُقترِح بتحويل ملاحظة دخول حقيقية إلى دفعة خروج (outbound) لعناوين يتحكم بها المهاجم. قال الباحثون إن تحديث 6 مايو كان يعالج هذا السلوك بالضبط، لكنه فشل في عملية التكامل المستمر (CI) للبروتوكول ولم يتم نشره للمدققين في الوقت المناسب.

الثغرة التي تدّعي V12 أنها أبلغت عنها في 28 إبريل موصوفة بنفس الطريقة تقريباً لكل من التحديث والخلل الذي ألقى الباحثون باللوم عليه في الاختراق.

لم تنشر THORChain تحليلاً كاملاً لما بعد الحادثة (post-mortem) أو تؤكد أن الثغرة المُبلغ عنها هي نفس الثغرة المُستغلّة، كما أن V12 لم تدّعِ صراحةً في منشورها أن مهاجم 15 مايو استخدم نتائج أبحاثها. وقد صرّح Blockaid وZachXBT بأنهما يعتقدان أن مهاجم 15 مايو هو نفس الجهة التي تقف وراء هجوم مارس 2025 على 1inch Fusion V1.

مع ذلك، تمكنت دفاعات THORChain الآلية من احتواء حادث 15 مايو: قام مشغلو العقد (node operators) بإيقاف الشبكة بالكامل، وتجميد التداول والتوقيع وتغيير المدققين لمدة 13 ساعة تقريباً، وأكد الفريق أن معاملات المستخدمين الفرديين لم تتأثر. كشف البروتوكول عن الخسارة عبر Discord وX، كما غطته تقارير The Defiant حول اختراق خزينة Asgard.

الرابط بين تقرير V12 واختراق 15 مايو، رغم اتساقه عبر وصف الشركة وسجل التحديثات وتحليلات الطرف الثالث، لم يتم تأكيده من قبل THORChain أو التصريح به بشكل قاطع من قبل V12.

برنامج مكافآت في تراجع

أطلقت THORChain برنامج مكافآت بقيمة 500,000 دولار على منصة Immunefi في عام 2021 بعد سلسلة من الاختراقات. لاحقاً، تركت المنصة وسط جدل، وانتقلت إلى برنامج تستضيفه بنفسها، والذي يقول الباحثون إنه توقف في مارس 2026، أي قبل شهرين من اختراق مايو. في نوفمبر 2024، اتهم الباحث Luke Parker البروتوكول علناً بسحب برنامجه على Immunefi بعد أن حكمت المنصة بأنه يستحق حوالي 270,000 دولار مقابل ثغرة حرجة قدمها.

لا تزال وثائق THORChain الرسمية تشير إلى وجود مكافأة للثغرات الحرجة التي تم التحقق منها في صفحات إجراءات الطوارئ والأمان، وهو ما يتعارض الآن مع رواية الفريق وتحول البروتوكول الواضح بعيداً عن الإفصاح المدفوع.

كما أن الكشف العلني عن كود استغلال فعال ضد بروتوكول حي لا يزال يحتفظ بسيولة المستخدمين، يثير انتقادات في الأوساط الأمنية، بغض النظر عن الخلاف حول المكافآت، لأنه يمكن أن يسلح المهاجمين قبل نشر الإصلاحات. اعترفت V12 في منشورها أنها تتوقع وجود المزيد من المشكلات الحرجة في قاعدة الكود، وقالت إن جودة الكود “ليست جيدة بصراحة” من وجهة نظرها.

الخطوات القادمة

قالت V12 إنها ستنشر ثغرات الحرمان من الخدمة (DoS) الإضافية في THORChain خلال الأيام القادمة. لم تصدر THORChain تقريراً بعد الحادثة حول اختراق 15 مايو أو ترد علناً على مزاعم V12.

أسئلة شائعة (FAQ)

  • س: ما هي الثغرة التي أبلغت عنها شركة V12 لبروتوكول THORChain؟
    ج: أبلغت V12 عن ثغرة حرجة تسمح لمدقق خبيث واحد (عندما يكون مقترحاً للكتلة) بتجاوز جميع تأكيدات المعاملات وتزوير بيانات الإنهاء، مما قد يؤدي إلى إرسال أموال خارجية من البروتوكول قبل تأكيد الإيداع الأصلي. شبّهها الخبراء بثغرة “تزوير المُقترِح” التي تم استغلالها في هجوم مايو.
  • س: لماذا نشرت V12 كود الاستغلال علناً بدلاً من انتظار إصلاح الثغرة؟
    ج: قالت V12 إنها أبلغت THORChain عن الثغرة في 28 إبريل بطريقة مسؤولة، لكن البروتوكول قام بإصلاحها بصمت دون إعطائهم أي مكافأة أو إشادة، وأخبرهم أن برنامج المكافآت متوقف. لهذا السبب، قررت الشركة نشر كود الاستغلال وغيره من الثغرات لفضح ما تعتبره تقصيراً من البروتوكول في التعامل مع الباحثين الأمنيين.
  • س: هل كانت هذه الثغرة نفسها هي التي تسببت في خسارة 10.7 مليون دولار في مايو؟
    ج: وصف كل من V12 وتحديث 6 مايو (الذي لم يُنشر) والتحليلات المستقلة الثغرة بنفس الطريقة تقريباً. لكن THORChain لم تؤكد رسمياً أن الثغرة المُبلغ عنها هي نفسها المُستغلة، و V12 نفسها لم تدّعِ ذلك صراحةً. يعتقد المحققون أن الهجوم استغل نفس الخلل الذي كان من المفترض أن يصلحه التحديث الفاشل.
صورة فيلسوف البيتكوين فيلسوف البيتكوينمنذ 39 ثانيةآخر تحديث: 2 يونيو، 2026
4 دقائق
صورة فيلسوف البيتكوين

فيلسوف البيتكوين

مفكر واستراتيجي في العملات الرقمية، يقدم تحليلات عميقة ونصائح فلسفية حول أسواق البيتكوين والتشفير.
زر الذهاب إلى الأعلى