رصدت مؤسسة الأمان CertiK في 13 أبريل هجومًا يستغل ثغرة أمنية ضد عقد بوابة ربط/عبور Hyperbridge عبر السلاسل. استخدم المهاجم رسائل مزيفة للتحايل على التحقق من العقد، وتمكن بنجاح من العبث بصلاحية المسؤول لعقد عملة DOT المُربوطة عبر بولكادوت، ثم قام على الفور بإصدار بشكل غير قانوني 1 مليار من DOT المُربوطة وصرفها بالكامل في معاملة واحدة. في النهاية، لم تبلغ الأرباح سوى 108.2 ETH، أي ما يعادل 237 ألف دولار.

آلية الهجوم: كيف يحصل تزوير رسائل عبر السلاسل على السيطرة كمسؤول

（المصدر: CertiK）

Hyperbridge هو بروتوكول بوابة عبور/ربط عبر السلاسل تم نشره على شبكة Ethereum، ويمكّن أصول الشبكات مثل Polkadot من التداول على Ethereum على هيئة رموز مُربوطة. وفقًا لمراقبة CertiK، حدّد المهاجم ثغرة في التحقق من الرسائل داخل العقد. ومن خلال بناء رسائل عبور عبر السلاسل مزيفة لتجاوز فحوصات الشرعية المطلوبة، نجح في الاستيلاء على السيطرة كمسؤول لعقد عملة DOT المُربوطة.

بعد الحصول على صلاحيات المسؤول، نفّذ المهاجم عمليات سكّ/إصدار غير مُصرّح بها، ما أوجد عشوائيًا 1 مليار من DOT المُربوطة، ثم قام فورًا ببيعها بالكامل في معاملة واحدة. تمت العملية برمتها—تزوير الرسائل، والتلاعب بالمسؤول، والسكّ، والتسييل—على السلسلة. وقد أكد مُتتبع المعاملات على السلسلة Lookonchain أن هذه الصفقة لم تسفر في النهاية عن تحقيق نقدي إلا 108.2 ETH.

لماذا لم تُعِد 1 مليار من الرموز سوى 237 ألف دولار: معادلة قاسية لفخ السيولة

أكثر التفاصيل سخرية في هذا الهجوم هي الفجوة الكبيرة بين 1 مليار من الرموز و237 ألف دولار. تُظهر بيانات Lookonchain أن سعر DOT المُربوط قبل قيام المهاجم بالبيع كان حوالي 1.22 دولارًا، وأن مساحة التحكيم/المراجحة القصوى النظرية تتجاوز 1.2 مليار دولار؛ ومع ذلك، فإن الضغط الهائل الناتج عن بيع 1 مليار من الرموز المُربوطة في لحظة واحدة تجاوز عمق السيولة القابل للامتصاص على السلسلة. انهار سعر العملة من 1.22 دولارًا إلى ما يقارب الصفر، وكانت الغالبية العظمى من الرموز المُصدَرة حديثًا أشبه بورق بلا قيمة.

هذه هي حالة نموذجية من «فخ السيولة»: يمكن للمهاجم أن يخلق رموزًا، لكنه لا يستطيع أن يخلق مشترين.

ملخص البيانات الأساسية لهذا الهجوم

العقد المُستهدف: عقد بوابة عبور/ربط عبر السلاسل Hyperbridge على سلسلة Ethereum

أسلوب الهجوم: تزوير رسائل عبر السلاسل، والتلاعب بصلاحية مسؤول عقد عملة DOT المُربوطة

كمية الإصدار غير القانوني: 1 مليار من الرموز، أي 1 مليار من DOT المُربوطة على Ethereum

سعر العملة قبل البيع: حوالي 1.22 دولارًا؛ بعد البيع: قريب من الصفر

ربح المهاجم الفعلي: 108.2 ETH (حوالي 237 ألف دولار)

أعلى تحكيم/مراجحة نظريًا: إذا كانت السيولة كافية، يمكن أن يتجاوز نظريًا 1.2 مليار دولار

نطاق التأثير: DOT المُربوطة عبر Ethereum؛ لا يتعرض السلسلة الأصلية لـ Polkadot للتأثير مباشرة

تمييز مهم: الحدود الأمنية بين الأصول المُربوطة وDOT الأصلي في Polkadot

كان هدف هذا الهجوم هو عقد عملة DOT المُربوطة الذي تم نشره على Ethereum. لم تتعرض آلية الإجماع للسلسلة الرئيسية الأصلية لـ Polkadot و/أو عملة DOT الأصلية للتعرض لهجوم مباشر أو تأثر في هذا الحدث.

تُعد الجسور عبر السلاسل (bridges) منذ فترة طويلة واحدة من أكثر نقاط مخاطر الأمان تركّزًا في منظومة DeFi. عادةً ما يتم نشر العقود الذكية الخاصة بالأصول المُربوطة بشكل مستقل، وقد تختلف معايير تدقيق الأمان وآليات المراقبة عن السلسلة الأصلية، ما يتيح للمهاجم إحداث ضرر عبر استغلال ثغرة في عقد الجسر وحده دون الحاجة إلى المساس بالسلسلة الرئيسية. يحتاج مستخدمو الأصول المُربوطة إلى إدراك واضح أن المخاطر التي يتحملونها لا تأتي فقط من السلسلة الرئيسية الأساسية، بل أيضًا من سلامة العقود الخاصة بالبنية التحتية للجسر نفسها.

الأسئلة الشائعة

ما هو Hyperbridge؟ وما علاقته بـ Polkadot؟

Hyperbridge هو بروتوكول بوابة عبور/ربط عبر السلاسل تم نشره على Ethereum، ويُمكّن أصول شبكات مثل Polkadot من التداول على Ethereum على هيئة رموز مُربوطة، وهو أحد البنى التحتية التي تربط بين أنظمة Polkadot وEthereum البيئية. لكن من حيث البنية التقنية، فهو مستقل عن تشغيل السلسلة الرئيسية الأصلية لـ Polkadot.

قام المهاجم بإصدار 1 مليار من DOT، فلماذا لم يجنِ في النهاية سوى 237 ألف دولار؟

عندما قام المهاجم ببيع 1 مليار من DOT المُربوطة، كانت عمق السيولة على سلسلة Ethereum غير كافٍ تمامًا لاستيعاب أمر بيع بهذا الحجم الهائل. أدت ضغوط البيع إلى هبوط سعر الرمز من 1.22 دولارًا إلى ما يقارب الصفر فورًا، ما أدى إلى عدم قدرة الغالبية العظمى من الرموز المُصدَرة على التحويل إلى سيولة. وفي النهاية، لم يكن بوسع المهاجم سوى بيع نسبة صغيرة جدًا قبل انهيار السوق، محققًا سيولة بنحو 108.2 ETH.

هل أثّر هذا الهجوم على حاملي DOT في السلسلة الأصلية لـ Polkadot؟

وفقًا لتحليل CertiK، كان الطرف المستهدف هو عقد DOT المُربوطة على Ethereum، ولم يتم التأثير بشكل مباشر على السلسلة الرئيسية الأصلية لـ Polkadot ولا على رمز DOT الأصلي. يواجه المستثمرون الذين يمتلكون DOT على السلسلة الرئيسية لـ Polkadot تأثيرًا غير مباشر يتمثل في معنويات السوق، وليس مخاطر أمنية مباشرة على الأصول الأساسية.

إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى إخلاء المسؤولية.