تصحيح خلل في شبكة Aptos كان يعرض 70 مليار دولار لهجوم بقيمة 3000 دولار
- كان الخلل يسمح بالتحكم في الأدوار التي تخول إصدار العملات المستقرة مثل USDC.
- أثبت الباحثون أن بين 17 و18 من كل 20 محاولة هجوم كانت ناجحة.
تم تصحيح خلل حرج في شبكة Aptos في فبراير الماضي، بعد أن أظهرت شركة الأمان Hexens أن هذه الثغرة كانت ستعرض ما يصل إلى 70 مليار دولار من الأموال داخل نظام Aptos لهجوم بقيمة 3000 دولار فقط، وهو التكلفة التي ذكرها الباحثون لاستئجار خادم بقوة كمبيوتر مكتبي. تم تطبيق التصحيح قبل استغلال الخلل، لذلك لم يخسر أي مستخدم أمواله.
على الرغم من أن الاكتشاف وتصحيحه حدثا في فبراير، إلا أن التفاصيل الفنية الكاملة واختبار المفهوم (PoC) من Hexens تم الكشف عنها فقط هذا الأسبوع، عندما جعلت Hexens وفريق Aptos هذه المعلومات علنية.
أكدت Hexens أنه من بين كل 20 محاولة لمحاكاة الهجوم، كانت بين 17 و18 تنتهي بنجاح في بيئة اختبار تحتوي على أكثر من 30 عقدة (الكمبيوترات التي تتحقق وتؤكد العمليات داخل الشبكة). أكد فريق Aptos في 4 يوليو الماضي في وسيلة إعلامية أن الاكتشاف تم الإبلاغ عنه في 25 فبراير من خلال برنامج مكافآت للإبلاغ عن الثغرات الأمنية، وتم تطوير التصحيح واختباره ونشره في الشبكة الرئيسية لاحقًا.
كان الخطأ ناتجًا عن الآلة الافتراضية Move (MoveVM)، البرنامج الذي ينفذ كود العقود الذكية داخل Aptos لتنفيذ العمليات في الشبكة، المصمم بلغة البرمجة Move. ينظم هذا البرنامج، بدوره، بيانات كل عقد في هياكل، وهي الطريقة التي تحتفظ بها MoveVM، على سبيل المثال، برصيد حساب أو أذونات إدارة بروتوكول.
يحتفظ النظام برقم تعريف لكل من هذه الهياكل في ذاكرة مؤقتة، لتجنب تكرار نفس العملية في كل عملية. كانت المشكلة تنشأ عندما كان النظام يفرغ جزءًا من تلك الذاكرة لتحرير المساحة، ولكن ليس كلها: الرقم الذي كان يحدد هيكلًا ما قد يبقى مرتبطًا، عن طريق الخطأ، ببيانات هيكل آخر مختلف تمامًا. هذا ما يعرف بخطأ التداخل في الأنواع، وهو خطأ ينتهي فيه البرنامج بمعالجة معلومات حساب كما لو كانت تخص حسابًا آخر.
مع هذا الخطأ، وفقًا لما وصفته Hexens في تقريرها الفني المنشور في 6 يوليو، كان بإمكان المهاجم الاستيلاء على أدوار المسؤول الرئيسي، الوظيفة التي تخول إصدار عملة مستقرة، أو على قدرات التوقيع التي تتحكم في إدارة الأموال داخل عقد. أكد الباحثون أنهم تمكنوا من السيطرة على دور المسؤول الرئيسي ووصلوا إلى الخطوة السابقة لتخويل إصدار، دون تنفيذ ذلك.
كما أشار فريق Hexens إلى أن الخلل كان يصل إلى المسارات التي تربط Aptos بالجسور بين الشبكات، مثل تلك التي تعمل عبر Wormhole وLayerZero، ومع البروتوكول الذي تستخدمه شركة Circle لنقل عملتها المستقرة USDC بين الشبكات المختلفة، المعروف باختصاره باللغة الإنجليزية CCTP (بروتوكول النقل عبر السلاسل).
وفقًا لشركة Hexens، كان بإمكان المهاجم أيضًا فرض إفراغ كامل لتلك الذاكرات المؤقتة (الكاش) بعد محاولة، ناجحة أو فاشلة، لعدم ترك أثر للتلاعب. هذا يفسر جزئيًا لماذا تصر الشركة على أن المحاولات الفاشلة لم توقف الشبكة ولم تكشف عن الهجوم الجاري.
بالإضافة إلى ذلك، قارن الباحثون في Hexens المشكلة بسيناريو مكافئ في شبكة قائمة على Ethereum، حيث يتمكن كود تحت سيطرة مهاجم من الكتابة مباشرة على مساحة تخزين عقد آخر، متجاوزًا الضمانات التي تم تصميم نظام الأنواع من أجل الحفاظ عليها.
أبلغت Hexens عن الخلل وفقًا لممارسة الإفصاح المسؤول، أي بإخطار Aptos بشكل خاص قبل نشر أي تفاصيل علنًا. كما تم تفعيل غرفة طوارئ منسقة بواسطة SEAL911، وهي شبكة استجابة تطوعية تستخدمها مشاريع مختلفة في القطاع لتنسيق ردود الفعل على الحوادث الأمنية الخطيرة.
من جانبها، وصفت Aptos إمكانية استغلال الخلل بأنها <<منخفضة للغاية>>. تتناقض هذه التقييم مع معدل النجاح الذي يتراوح بين 17 و18 من كل 20 محاولة التي قالت Hexens إنها حققتها في محاكاتها، وأيضًا مع المراجعات المستقلة من طرفين ثالثين: حيث أكد Mudit Gupta، المدير الفني (CTO) لشركة Polygon، أن اختبار المفهوم كان يعمل كما تم وصفه، بينما قدرت شركة Grego AI المخاطر المباشرة على الأصول الأصلية لـ Aptos بمبلغ 250 مليون دولار، وهو رقم أقل بكثير من 70 مليار دولار التي قدرتها Hexens للتأثير الموسع على بقية النظام البيئي.
أخيرًا، أشار Charles Guillemet، المدير الفني لشركة Ledger، إلى أن هذا النوع من الاكتشافات، مع آثار كاملة للآلة الافتراضية واثنين من اختبارات المفهوم الوظيفية، كان يتطلب سابقًا أشهر من العمل من متخصص، والآن، مع أدوات الذكاء الاصطناعي، أصبح من الأسرع والأرخص إنتاجه. وفقًا لرؤيته، إذا كان بإمكان فرق الأمان اليوم مراجعة كل سطر من الكود وبناء هجوم وظيفي بتكلفة منخفضة، فمن الحكمة أن نفترض أن مجموعات المهاجمين، بما في ذلك تلك المرتبطة بكوريا الشمالية مثل Lazarus، تمتلك قدرات مماثلة.
إخلاء مسؤولية: يُقدَّم هذا المحتوى لأغراض الترويج العام والمعلومات فقط، ولا يُعدّ نصيحة مالية أو استثمارية أو قانونية أو ضريبية. لا تُعتبر أي أحداث أو مكافآت أو فعاليات عبر الإنترنت أو معلومات ذات صلة مذكورة هنا توصيةً أو دعوةً لشراء أو بيع أو تداول أو التعامل بأي شكل من الأشكال في أي أصول مشفرة أو استخدام أي خدمات. الأصول المشفرة شديدة التقلب وقد تؤدي إلى الخسارة. قد لا تتوفر خدمات WEEX وفعالياتها عبر الإنترنت في جميع المناطق، وتخضع للقوانين واللوائح وشروط الأهلية المعمول بها. أنت مسؤول عن ضمان توافق استخدامك لخدمات WEEX مع القوانين المحلية، وعن تقييم المخاطر بعناية قبل المشاركة في أي أنشطة متعلقة بالعملات المشفرة.
قد يعجبك أيضاً

هل تهدف سياسة واش إلى خفض أسعار الفائدة؟

مقارنة الأوراق البيضاء بين إيثريوم وسولانا (2026)

التكنولوجيا الفرنسية: الذكاء الاصطناعي والكمبيوتر في ارتفاع، والعملة المشفرة غائبة

روبوت منزلي NE0 يطور "يدًا مرنة": كيف أصبحت اليد واجهة دخول إلى العالم الفيزيائي؟

ما هو SCEX؟ منصة الأصول المشفرة لسوق فيتنام من ساكومبانك

تحديث كبير لـ ChatGPT: يمكنه العمل عبر المنصات، إنشاء مواقع بنقرة واحدة، وأصبح أرخص

بيتكوين تتجاوز 63,000 دولار وتتحدى 64,000 دولار، السوق تتداول "المخاطر القابلة للتحكم"

مع انفجار الفقاعة، من يهيمن على الانتباه في عصر الذكاء الاصطناعي؟ دليل 2026 إلى KOLs المؤثرين في الذكاء الاصطناعي في الصين والمملكة المتحدة

تحول الأموال القديمة في عالم التشفير: جمع Paradigm 1.2 مليار دولار، نصفها في الذكاء الاصطناعي والروبوتات

Bitdeer تكشف عن مصنع بقيمة 36 مليون دولار في نيفادا لإحداث تغيير في تعدين البيتكوين

بيربلكسيتي تضبط نموذج ذكاء اصطناعي صيني ليتطابق مع كلود أوبوس 4.8 بتكلفة ثلث السعر

بنك كوريا يدافع عن خطة العملة المستقرة المدعومة بالبنوك وسط جمود في التشريع

جيه بي مورغان: الخطر الرئيسي على البيتكوين ليس الاستراتيجية، بل اعتماد البلوكشين الذي لا يفيد السلاسل العامة والرموز

نواب حزب العمال يدفعون لجعل حظر التبرعات بالعملات المشفرة دائمًا في المملكة المتحدة

حكم المحكمة العليا الذي يوسع سلطات ترامب على الوكالات الفيدرالية يثير تساؤلات للـ SEC وCFTC مع تقدم تنظيم العملات المشفرة

"تقدم بناء القاع": محللون يقولون إن استسلام حاملي البيتكوين يشير إلى مرحلة متأخرة من السوق الهابطة

مقالة طويلة: من عام 1996، من الذي يمهد الطريق للأسواق المالية الجديدة؟

لوك داشجر، أكبر معارض للبريد العشوائي في بيتكوين، كان يسجل عبارات على الشبكة في عام 2011

اشترت الحيتان 270,000 BTC بينما فقدت صناديق الاستثمار المتداولة 7 مليارات دولار. أحد الجانبين مخطئ

فئة الاكتتاب العام للعملات المشفرة لعام 2025-26 تنخفض بنسبة تصل إلى 89%. تشريح طفرة الإدراج

دليل تعدين Robinhood Chain: تعليم كامل من عبر السلاسل إلى مسح سلاسل Memecoin

الرئيس التنفيذي لشركة BitGo يقول إن النسب المئوية ذات الرقم الواحد من إمدادات البيتكوين "ربما تكون صحيحة" للمستثمرين الكبار في ظل بيع Strategy

ليس فقط المفاتيح الخاصة: كيف نحمي الحدود الأمنية لـ Web3 من المحفظة و L2 إلى سلسلة التوريد؟

مجموعة فينغارد تدخل السوق، تفتح مدخلًا جديدًا للعملاء التقليديين في مجال العملات المشفرة بقيمة 50 مليون دولار

لماذا لا يزال OUSD، الذي يتكون من تحالف 150 شركة، قادرًا على التأثير على USDT و USDC؟

تفسير سيتي: هل لا يزال لدى إنفيديا 47% من المساحة، هل يمكن لروبن وCPO الوفاء بذلك؟

احتياطيات تبادل البيتكوين المتناقصة لم تعد تحمل نفس القوة الصعودية

طريقة موت شركة مدرجة: رهان ضخم بقيمة 1.46 مليار دولار لشراء WLFI، 540 مليون دولار ذهبت إلى عائلة ترامب

شريك Dragonfly: BTC هو ثروة بين الأجيال، ونرى أن ETH و SOL سيكون لهما مستقبل واعد










