عنوان المقال: كيف اكتشف هاكرز أخلاقيون بمساعدة خادم قيمته 3000 دولار ثغرة قد تعرض 70 مليار دولار من العملات الرقمية للخطر

خادم بقيمة 3 آلاف دولار فقط كان كافياً لمختص أمن بلوكتشين ليحاكي هجومًا كان من الممكن أن يعرض بنية تحتية للعملات الرقمية بقيمة 70 مليار دولار للخطر.
في قلب هذا الكشف كانت ثغرة في سلسلة “أبتوس” (Aptos)، وهي سلسلة من الطبقة الأولى مبنية على لغة “موف” (Move) التي تستخدمها كل من أبتوس وسوي (Sui)، وهي لغة مستمدة من مشروع “دييم” (Diem) المتوقف لفيسبوك.
في أواخر فبراير، أبلغ باحثون من شركة الأمن “هيكسينس” (Hexens) فريق تطوير أبتوس عن ثغرة خطيرة في الآلة الافتراضية لـ”موف”، وهي بيئة تنفيذ العقود الذكية على السلسلة. ووصف الباحثون الثغرة بأنها “خطأ في التخزين المؤقت القديم” يؤدي إلى “خطأ في الخلط بين الأنواع”، وهي حالة يمكن فيها خداع البرنامج للتعامل مع نوع من الموارد على السلسلة على أنه نوع آخر.
قام فريق أبتوس بإصلاح الثغرة فور الإبلاغ عنها، ولم يتم فقدان أي أموال.
وقال متحدث باسم أبتوس: “تم إبلاغ مختبرات أبتوس بمشكلة محتملة عبر برنامج مكافآت اكتشاف الأخطاء في 25 فبراير، وكانت قيد الفحص الداخلي في ذلك الوقت. تم تطوير الإصلاح واختباره ونشره على الشبكة الرئيسية في غضون ساعات من الاكتشاف. لم يتأثر أي مستخدم أو أموال في أي وقت.”
وأضاف المتحدث أن تحليلهم خلص إلى أن “الثغرة كانت صعبة جدًا للاستغلال في الظروف الحقيقية”.
لكن تفاصيل ما وجده الباحثون تقدم نظرة صادمة عن مدى قرب النظام البيئي من حدث قد يغير الصناعة بأكملها.
كيف تعمل الثغرة؟
حساسية هذا النوع من الثغرات تعود إلى كيفية تعامل لغة “موف” مع الصلاحيات. فإذن البروتوكولات في موف، بما في ذلك صلاحية سك عملة مستقرة، أو التحكم في جسر، أو إدارة سوق إقراض، تُخزَّن عادة كمورد مباشر على السلسلة. وإذا تم اختراق هذه الموارد، فإن الضرر لا يتوقف عند بروتوكول واحد، بل يمتد لكل ما يثق به.
قدم باحثو هيكسينس تشبيهًا عمليًا: هذه الثغرة تشبه تقريبًا ثغرة في سلسلة من نمط إيثريوم تسمح لكود يتحكم به المهاجم بالكتابة في مساحة تخزين عقود أخرى، متجاوزًا ضمانات النظام التي صممت لغة موف خصيصًا لحمايتها.
تأكيد الخبراء
قام موديت جوبتا، المدير التقني لشبكة “بوليغون” (Polygon)، بمراجعة المواد التجريبية بشكل مستقل، وقال إن الاستغلال كان صحيحًا: “لقد عمل كما ورد، وكان الاستغلال منطقيًا. تطلب الأمر توفر بعض الشروط، ويبدو أنها كانت متوفرة على الشبكة الرئيسية.”
تم إخطار الجهة المطورة بعد ساعات من فتح غرفة الطوارئ، وتم تحذير أربعة مشاريع رئيسية متأثرة بعد ظهر ذلك اليوم، حيث تلقى كل منها مادة تجريبية قابلة للتشغيل محليًا وتحليلًا لأنماط الصلاحيات ذات الصلة.
تم نشر طلب سحب عام يعكس الإصلاح في 27 فبراير. وأكدت أبتوس أنه تم نشر إصلاح خاص للمُدقِّقين قبل الالتزام العام.
ماذا يعني هذا؟
تقول هيكسينس إنها لم تتلقَ ردًا تقنيًا أو حججًا قائمة على أدلة تنازع التأثيرات التي أظهروها. وتدعي الشركة أن القلق الرئيسي الذي نُقل إليهم يتعلق بالجوانب الاحتمالية للاستغلال، وهو بالضبط ما صُمم عمل فريق المعايرة لمعالجته.
على الرغم من عدم سرقة أي أموال، أظهرت المحاكاة أنه في حالة اختراق على مستوى السلسلة، فإن حدود السرعة، وتجميد الجهات المصدرة، وضوابط الجسور، ومراقبة البورصات، وإصلاحات المُدقِّقين ليست ضمانات ثانوية. بل يمكن أن تصبح الحد الفاصل بين ثغرة محصورة واستغلال يطال السوق بأكمله.
الأسئلة الشائعة (FAQ)
- ما هي الثغرة التي تم اكتشافها في شبكة أبتوس؟
تم اكتشاف ثغرة خطيرة من نوع “الخلط بين الأنواع” في الآلة الافتراضية للغة موف، يمكن أن تسمح للمهاجم بالتحكم في موارد على السلسلة مثل صلاحيات سك العملات المستقرة أو إدارة الجسور. تم إصلاحها بسرعة ولم تُفقد أي أموال. - هل كانت الثغرة سهلة الاستغلال؟
يقول فريق أبتوس إن استغلالها صعب جدًا في الظروف الحقيقية، بينما يؤكد باحثو هيكسينس أن محاكاتهم أثبتت إمكانية الاستغلال إذا توفرت الشروط المناسبة، وقد أكد خبراء آخرون صحة نهجهم. - ما هي الدروس المستفادة من هذه الحادثة؟
تظهر الحادثة أن أمان السلاسل يعتمد على عدة طبقات، وأن حتى أنظمة الأمان القوية يمكن اختراقها. كما تؤكد أهمية برامج مكافآت اكتشاف الأخطاء وفرق الاستجابة السريعة للحفاظ على سلامة الأصول الرقمية.












