رصدت مؤسسة الأمان CertiK في 13 أبريل هجومًا يستغل ثغرة أمنية ضد عقد بوابة ربط/عبور Hyperbridge عبر السلاسل. استخدم المهاجم رسائل مزيفة للتحايل على التحقق من العقد، وتمكن بنجاح من العبث بصلاحية المسؤول لعقد عملة DOT المُربوطة عبر بولكادوت، ثم قام على الفور بإصدار بشكل غير قانوني 1 مليار من DOT المُربوطة وصرفها بالكامل في معاملة واحدة. في النهاية، لم تبلغ الأرباح سوى 108.2 ETH، أي ما يعادل 237 ألف دولار.
آلية الهجوم: كيف يحصل تزوير رسائل عبر السلاسل على السيطرة كمسؤول
(المصدر: CertiK)
Hyperbridge هو بروتوكول بوابة عبور/ربط عبر السلاسل تم نشره على شبكة Ethereum، ويمكّن أصول الشبكات مثل Polkadot من التداول على Ethereum على هيئة رموز مُربوطة. وفقًا لمراقبة CertiK، حدّد المهاجم ثغرة في التحقق من الرسائل داخل العقد. ومن خلال بناء رسائل عبور عبر السلاسل مزيفة لتجاوز فحوصات الشرعية المطلوبة، نجح في الاستيلاء على السيطرة كمسؤول لعقد عملة DOT المُربوطة.
بعد الحصول على صلاحيات المسؤول، نفّذ المهاجم عمليات سكّ/إصدار غير مُصرّح بها، ما أوجد عشوائيًا 1 مليار من DOT المُربوطة، ثم قام فورًا ببيعها بالكامل في معاملة واحدة. تمت العملية برمتها—تزوير الرسائل، والتلاعب بالمسؤول، والسكّ، والتسييل—على السلسلة. وقد أكد مُتتبع المعاملات على السلسلة Lookonchain أن هذه الصفقة لم تسفر في النهاية عن تحقيق نقدي إلا 108.2 ETH.
لماذا لم تُعِد 1 مليار من الرموز سوى 237 ألف دولار: معادلة قاسية لفخ السيولة
أكثر التفاصيل سخرية في هذا الهجوم هي الفجوة الكبيرة بين 1 مليار من الرموز و237 ألف دولار. تُظهر بيانات Lookonchain أن سعر DOT المُربوط قبل قيام المهاجم بالبيع كان حوالي 1.22 دولارًا، وأن مساحة التحكيم/المراجحة القصوى النظرية تتجاوز 1.2 مليار دولار؛ ومع ذلك، فإن الضغط الهائل الناتج عن بيع 1 مليار من الرموز المُربوطة في لحظة واحدة تجاوز عمق السيولة القابل للامتصاص على السلسلة. انهار سعر العملة من 1.22 دولارًا إلى ما يقارب الصفر، وكانت الغالبية العظمى من الرموز المُصدَرة حديثًا أشبه بورق بلا قيمة.
هذه هي حالة نموذجية من «فخ السيولة»: يمكن للمهاجم أن يخلق رموزًا، لكنه لا يستطيع أن يخلق مشترين.
ملخص البيانات الأساسية لهذا الهجوم
العقد المُستهدف: عقد بوابة عبور/ربط عبر السلاسل Hyperbridge على سلسلة Ethereum
أسلوب الهجوم: تزوير رسائل عبر السلاسل، والتلاعب بصلاحية مسؤول عقد عملة DOT المُربوطة
كمية الإصدار غير القانوني: 1 مليار من الرموز، أي 1 مليار من DOT المُربوطة على Ethereum
سعر العملة قبل البيع: حوالي 1.22 دولارًا؛ بعد البيع: قريب من الصفر
ربح المهاجم الفعلي: 108.2 ETH (حوالي 237 ألف دولار)
أعلى تحكيم/مراجحة نظريًا: إذا كانت السيولة كافية، يمكن أن يتجاوز نظريًا 1.2 مليار دولار
نطاق التأثير: DOT المُربوطة عبر Ethereum؛ لا يتعرض السلسلة الأصلية لـ Polkadot للتأثير مباشرة
تمييز مهم: الحدود الأمنية بين الأصول المُربوطة وDOT الأصلي في Polkadot
كان هدف هذا الهجوم هو عقد عملة DOT المُربوطة الذي تم نشره على Ethereum. لم تتعرض آلية الإجماع للسلسلة الرئيسية الأصلية لـ Polkadot و/أو عملة DOT الأصلية للتعرض لهجوم مباشر أو تأثر في هذا الحدث.
تُعد الجسور عبر السلاسل (bridges) منذ فترة طويلة واحدة من أكثر نقاط مخاطر الأمان تركّزًا في منظومة DeFi. عادةً ما يتم نشر العقود الذكية الخاصة بالأصول المُربوطة بشكل مستقل، وقد تختلف معايير تدقيق الأمان وآليات المراقبة عن السلسلة الأصلية، ما يتيح للمهاجم إحداث ضرر عبر استغلال ثغرة في عقد الجسر وحده دون الحاجة إلى المساس بالسلسلة الرئيسية. يحتاج مستخدمو الأصول المُربوطة إلى إدراك واضح أن المخاطر التي يتحملونها لا تأتي فقط من السلسلة الرئيسية الأساسية، بل أيضًا من سلامة العقود الخاصة بالبنية التحتية للجسر نفسها.
الأسئلة الشائعة
ما هو Hyperbridge؟ وما علاقته بـ Polkadot؟
Hyperbridge هو بروتوكول بوابة عبور/ربط عبر السلاسل تم نشره على Ethereum، ويُمكّن أصول شبكات مثل Polkadot من التداول على Ethereum على هيئة رموز مُربوطة، وهو أحد البنى التحتية التي تربط بين أنظمة Polkadot وEthereum البيئية. لكن من حيث البنية التقنية، فهو مستقل عن تشغيل السلسلة الرئيسية الأصلية لـ Polkadot.
قام المهاجم بإصدار 1 مليار من DOT، فلماذا لم يجنِ في النهاية سوى 237 ألف دولار؟
عندما قام المهاجم ببيع 1 مليار من DOT المُربوطة، كانت عمق السيولة على سلسلة Ethereum غير كافٍ تمامًا لاستيعاب أمر بيع بهذا الحجم الهائل. أدت ضغوط البيع إلى هبوط سعر الرمز من 1.22 دولارًا إلى ما يقارب الصفر فورًا، ما أدى إلى عدم قدرة الغالبية العظمى من الرموز المُصدَرة على التحويل إلى سيولة. وفي النهاية، لم يكن بوسع المهاجم سوى بيع نسبة صغيرة جدًا قبل انهيار السوق، محققًا سيولة بنحو 108.2 ETH.
هل أثّر هذا الهجوم على حاملي DOT في السلسلة الأصلية لـ Polkadot؟
وفقًا لتحليل CertiK، كان الطرف المستهدف هو عقد DOT المُربوطة على Ethereum، ولم يتم التأثير بشكل مباشر على السلسلة الرئيسية الأصلية لـ Polkadot ولا على رمز DOT الأصلي. يواجه المستثمرون الذين يمتلكون DOT على السلسلة الرئيسية لـ Polkadot تأثيرًا غير مباشر يتمثل في معنويات السوق، وليس مخاطر أمنية مباشرة على الأصول الأساسية.
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
مقالات ذات صلة
يركّز سعر كاردانو على اختراق صعودي مع تشكّل ADA لنمط صعودي
أهم الأفكار
يُشكّل ADA نمط كوب ومقبض على مخطط ساعتين، مما يشير إلى احتمال استمرار الاتجاه إذا اخترق السعر قريبًا منطقة المقاومة الرئيسية إلى الأعلى.
يرتفع كل من حجم التداول والفتح المفتوح معًا، مما يؤكد مشاركة سوقية جديدة، بينما تشير عمليات التصفية المتوازنة إلى عدم وجود ترجيح واضح
CryptoNewsLandمنذ 51 د
Bitcoin Fills CME Gap at $78,690; Analyst Identifies $67K and $84K as Critical Levels
Gate News message, April 27 — Bitcoin opened Monday's trading with significant volatility, rising above $79,000 during Asian market hours before retreating to around $77,000. The pullback allowed BTC to quickly fill the CME futures gap that had formed over the weekend.
The CME BTC futures gap
GateNewsمنذ 59 د
هوسكينسون يصف قانون كلاريتي بـ'الجنون'، ويقول إنه سيصنّف XRP كأوراق مالية
صرّح تشارلز هوسكينسون، مؤسس كاردانو، في مقابلة بأن قانون كليرتي (Clarity Act) في صورته الحالية سيُصنّف XRP وEthereum وADA كأوراق مالية إذا تم تأسيس تلك المشاريع اليوم، بما يتعارض مع الاحتفالات التي قامت بها مجتمعات XRP بمناسبة تمرير مشروع القانون.
آلية مصيدة الأمان
H
CryptoFrontierمنذ 1 س
تتجه رُقاقات NFT من الفئة الزرقاء إلى الارتفاع بينما تتصاعد الأسعار رغم تراجع نشاط السوق
مع 201 عملية بيع وبحجم يقارب 1,000 ETH خلال الأيام السبعة الماضية، شهدت Pudgy Penguins ارتفاعًا في الأرضية إلى أكثر من 5 ETH، بزيادة قدرها 20% عن الأسبوع الماضي.
بيانات من CryptoSlam تُظهر أن المبيعات العالمية للـ NFTs انخفضت إلى حوالي $175 مليون دولار في أبريل من $304 مليون دولار في
TheNewsCryptoمنذ 5 س
تنبيه ارتفاع في TradFi: OJUICE (Orange Juice) ارتفاع متجاوزًا 4%
أخبار Gate: وفقاً لأحدث بيانات Gate TradFi، فإن OJUICE (Orange Juice) قد ارتفع بنسبة 4% خلال فترة قصيرة. التقلبات الحالية أعلى بكثير من المتوسطات الأخيرة، مما يشير إلى زيادة نشاط السوق.
GateNewsمنذ 6 س
全球加密基金每周净流入创 1.2B美元纪录:比特币领涨机构资金激增
Gate 新闻消息,4月27日——据 CoinShares 数据显示,资产管理公司发行的全球加密货币投资产品(包括 BlackRock、ARK 21Shares 和 Fidelity)上周录得 1.2B美元净流入。比特币相关产品以 932.5M美元领涨,推动截至目前比特币基金的流入约 十亿美元
GateNewsمنذ 8 س
