واجهت CrossCurve تهديداً بدعوى قضائية بعد هجوم على خدمات الاختراق لبنيتها التحتية للسلاسل المتقاطعة

مشروع CrossCurve، المعروف سابقًا باسم EYWA، وقع في مركز حادث أمني خطير عندما استخدم مجهولون خدمات اختراق العقود الذكية لتنفيذ هجوم مستهدف على آلية نقل الرموز بين سلاسل الكتل. ونتيجة للاختراق الذي بلغ حوالي ثلاثة ملايين دولار، أعلنت فريق المشروع عن اتخاذ إجراءات قانونية ضد الأطراف المعنية ومنحتهم نافذة مدتها 72 ساعة لاسترداد الأموال.

العناوين المكتشفة والاستجابة الأولية

قام فريق CrossCurve بسرعة بتحديد عشرة عناوين إيثيريوم التي تم تحويل الأصول المسروقة إليها مباشرة بعد الحادث. أوضح المدير التنفيذي بوريس بوفار أن الثغرة في بروتوكول النقل استُخدمت لسحب الأموال بشكل غير مصرح به من قبل المستخدمين. في المرحلة الأولى، أعربت إدارة المشروع عن افتراض أن المستلمين قد لا يدركون الطابع غير القانوني للأموال المستلمة. ومع ذلك، كان هذا النهج الودي مشروطًا بوجود فترة ثلاثة أيام للعودة الطوعية للأصول وإجراء اتصال مباشر مع الأطراف المعنية.

وفي حال عدم التوصل إلى حل متفق عليه، وعدت CrossCurve بتصعيد الأمر حتى المقاضاة، والتعاون مع بورصات العملات الرقمية لتجميد الأصول المخترقة، بالإضافة إلى التعاون الدولي مع السلطات المختصة وشركات تحليل البلوكتشين.

حجم الخسائر موزعة عبر شبكات متعددة

كشفت منصة التحليل Defimons، المتخصصة في مراقبة أمن البلوكتشين وتديرها شركة Decurity، أن الخسائر المالية الإجمالية تقدر بحوالي ثلاثة ملايين دولار، موزعة على شبكات بلوكتشين مختلفة. ووفقًا لتقديرات شركة BlockSec، الرائدة في مجال أمن الأنظمة اللامركزية، بلغت الخسائر حوالي 2.76 مليون دولار.

ويظهر التحليل التفصيلي أن شبكة إيثيريوم تكبدت أكبر خسارة بقيمة 1.3 مليون دولار، في حين أن شبكة Arbitrum واجهت خسائر تقدر بحوالي 1.28 مليون دولار. كما تم تسجيل خسائر إضافية في شبكات Optimism وBase وMantle وKava وFrax وCelo وBlast، مما يبرز تنوع أساليب الهجوم المستخدمة. ولم تنشر CrossCurve بعد تقييمًا رسميًا للمبلغ الكامل للأصول المتضررة، وطلبت من خلال قناة Decrypt مزيدًا من التحليل من الخبراء.

الأسباب التقنية: ضعف التحقق وسلسلة الثقة

أوضحت شركة BlockSec آلية الاختراق، مشيرة إلى أن المشكلة الأساسية كانت في نظام التحقق غير الكافي للرسائل بين الشبكات المختلفة. عندما تصل رسالة إلى الشبكة المستهدفة، يجب أن تتأكد من صحتها، لكن في هذه الحالة، قبل العقد البيانات المزورة على أنها شرعية ونفذ تعليمات السحب.

وأكد محللو BlockSec وجود ثغرة حرجة في بنية جسور التوصيل بين الشبكات: إذ تعتمد العديد من هذه الأنظمة على طبقة تحقق واحدة فقط. إذا تم اختراق أو تجاوز هذه الطبقة، فإن سلسلة الثقة تنهار بالكامل. أوضح دان دادبايو، رئيس قسم البحث العلمي والتطوير الاستراتيجي في مشروع Unstoppable Wallet، في حديث مع Decrypt أن المشكلة لم تكن في بروتوكول Axelar نفسه، بل في العقد المخصص ReceiverAxelar الذي طورته CrossCurve لمعالجة الرسائل بين الشبكات بدون مستوى كافٍ من المصادقة.

أمثلة تاريخية ودروس نظامية

توجد حوادث مماثلة في التاريخ. أظهر اختراق جسر Nomad في 2022 ثغرات مماثلة في منطق التحقق. أشار دادبايو إلى أن التحدي الأمني الرئيسي في أنظمة الجسور بين الشبكات لا يكمن في طبقة النقل نفسها، بل في ضمان المصادقة الكاملة قبل تنفيذ أي إجراء. غالبًا ما يكون المستلم المخصص للرسائل هو الحلقة الأضعف في سلسلة الحماية.

ما زالت جسور التوصيل بين الشبكات تركز على كميات كبيرة من السيولة، ويعمل كل مشروع على تطوير منطق تحقق خاص به، مما يجعلها هدفًا رئيسيًا للاختراقات والهجمات المستهدفة في نظام التمويل اللامركزي. ويعد حادث CrossCurve تذكيرًا بأن البنية المعقدة لحلول التوصيل بين الشبكات تتطلب ليس فقط خبرة تقنية، بل وإعادة تفكير جذرية في نماذج الأمان.