ثغرة Aptos: كيف وسعت سرعتها خطر $70B

  • عثرت Hexens على ثغرة خطيرة في Aptos تم إصلاحها قبل أن تتحرك أي أموال.
  • كان بإمكان الثغرة أن تسمح للمهاجم بتزوير الأصول ودفعها عبر الجسور.
  • تتشكك Aptos في خطورة الثغرة، لكن مدير التكنولوجيا التنفيذي في Polygon صادق على إثبات المفهوم.
  • تعيد القضية إحياء الجدل حول قواطع الدائرة على السلسلة في سلاسل L1 السريعة.

كشفت شركة أمنية أن Aptos، واحدة من أسرع سلاسل الكتل من الطبقة الأولى، كانت تحمل ثغرة خطيرة لأشهر قبل أن يتم إصلاحها بهدوء. في 4 يوليو، كشفت Hexens علناً عن ثغرة كانت قد أبلغت عنها سراً إلى Aptos في 25 فبراير، وهي نقطة ضعف في المحرك الذي يشغّل العقود الذكية للسلسلة، والتي بحسب تقديرها الخاص، وضعت ما يصل إلى 70 مليار دولار من المخاطر النظرية موضع التنفيذ عبر الجسور والعملات المستقرة والبورصات المتصلة. كانت Aptos Labs قد أصلحت الثغرة في غضون ساعات من ذلك التقرير الأول، ولم يتم المساس بأي أموال للمستخدمين. فلماذا يثير تصحيح عمره خمسة أشهر ضجة الآن؟ لسببين. الرقم، بالطبع. ولكن أيضاً التفاصيل الكامنة تحته: الشيء الذي تسوق له Aptos بقوة هو السرعة الخام، والسرعة الخام هي بالضبط ما يحوّل 70 مليار دولار من عنوان مخيف إلى تقدير قابل للدفاع عنه. تفاخر بسجل الإنتاجية، بعد يوم واحد من نشر القصة في 5 يوليو، بعد 24 ساعة فقط من التقرير، مضى الحساب الرسمي للمشروع قدماً في تحديثه الشهري المجدول لاقتصاديات الرمز، وأبلغ عن حرق 232,500 APT خلال الثلاثين يوماً الماضية، وأكثر من 16 مليون معاملة في يوم واحد لتحقيق أعلى مستوى ربع سنوي جديد، ومتوسط رسوم قدره 0.0005 دولار بعد زيادة الرسوم عشرة أضعاف، كل ذلك تحت شعار "المجموعة الكاملة للأسواق والآلات أثناء العمل." تبدو التدوينة مختلفة جداً بمجرد أن يكون لديك إفصاح Hexens أمامك، لأن المعاملات شبه المجانية والإنتاجية الهائلة التي تروج لها Aptos هي بالضبط نفس الخصائص التي يقيسها محلل الأمن أولاً عند حساب كم يمكن أن تكلفه ثغرة واحدة في جوهر السلسلة بالفعل.

كل معاملة على Aptos تحرق $APT. تحديث الشهر الجديد:

• حرق 232.5 ألف APT في آخر 30 يومًا
• إجمالي 1.4 مليون APT محروق منذ الشبكة الرئيسية
• +16 مليون معاملة في يوم واحد—رقم قياسي ربع سنوي جديد
• متوسط رسوم المعاملة 0.0005 دولار منذ زيادة الرسوم 10 أضعاف

المجموعة الكاملة للأسواق والآلات أثناء العمل. pic.twitter.com/gPEuWzD1Qf

— Aptos (@Aptos) 5 يوليو 2026

كانت الثغرة موجودة تحت الكود الذي تفحصه معظم عمليات التدقيق تم بناء Aptos على Move، وهي لغة برمجة صُممت خصيصاً لجعل هذا النوع من الهجمات صعباً. تعامل Move الرموز والأصول الرقمية الأخرى كعناصر محمية، وتتحقق، في لحظة تنفيذ المعاملة، من عدم معالجة أي شيء كنوع خاطئ. هذا الوعد بالأمان هو جزء كبير من سبب ترويج كل من Aptos وSui لـ Move على أنها أكثر أماناً من البيئات القديمة. انزلقت ثغرة Hexens تحت ذلك الوعد بدلاً من اختراقه مباشرة. بعبارات بسيطة، عمل النظام لفترة وجيزة بمعلومات قديمة وانتهى به الأمر بالخلط بين نوع عنصر على السلسلة وآخر. يسمي خبراء الأمن هذا "الخلط النوعي"، وهي مشكلة برمجية قديمة حيث يقرأ البرنامج شيئاً كنوع خاطئ ويتجاوز عمليات التحقق التي تهدف لمنعه. على سلسلة الكتل، هذا الاختلاط خطير: يمكن للمهاجم أن يخفي عنصراً ضاراً كعنصر شرعي ويخدع الشبكة لتقرأ بشكل خاطئ من يملك أصلاً ومن يُسمح له بتحريكه. استعرض Mudit Gupta، مدير التكنولوجيا التنفيذي في Polygon، إثبات المفهوم بشكل مستقل وقال لـ CoinDesk إنه عمل كما ادُعي، مع الإشارة إلى أن بعض الشروط يجب أن تتوفر أولاً. وبما أن الكلام صادر عن رئيس الأمن في سلسلة منافسة، فإن له وزناً أكبر من أي شيء يمكن أن تقوله Aptos أو Hexens بمفردها. لماذا تجعل الرسوم الرخيصة والحجم الضخم الثغرة أسوأ تتوقف الإنتاجية عن كونها مجرد سطر تسويقي هنا وتبدأ في التصرف كمضاعف للمخاطر. قامت Hexens بتشغيل الهجوم ضد مجموعة تضم أكثر من 30 عقدة مدققة، تم إعدادها لتعكس الشبكة الحقيقية، على خادم يكلف حوالي 3,000 دولار ومثل ما يقرب من ثلث مجموعة المدققين. نجح الهجوم 17 أو 18 مرة من أصل 20، دون الحاجة إلى وصول داخلي أو أذونات خاصة. أضف الأرقام الحقيقية وتصبح الصورة أوضح. بجزء من السنت لكل معاملة، فإن إغراق السلسلة بحمولات ضارة يكاد يكون مجانياً. مع 16 مليون معاملة يومياً، وتأكيد الكتل في ثوانٍ، فإن المهاجم الذي يمكنه تزوير الأصول سيحتاج فقط إلى نافذة زمنية قصيرة لإنشائها ونقلها قبل أن يتفاعل أي شخص. السرعة محايدة. نفس المحرك الذي يصفّي الحجم الشرعي في ثوانٍ سوف يصفّي تشغيلاً مزيفاً للإنشاء والنقل بنفس الوتيرة، والبشر الذين يديرون الشبكة لا يمكنهم التفاعل بهذه السرعة. هذا هو الجزء الذي أبرزته تدوينة مقاييس الحرق عن غير قصد. رقمان مختلفان جداً، ولماذا الفجوة مهمة ظهر رقمان من هذه القصة، والتعامل معهما كرقم واحد هو كيف يتم تحريف القصة. الرقم الأصغر هو حوالي 250 مليون دولار، وهي القيمة المحتفظ بها في تطبيقات DeFi على Aptos التي اعتبرتها شركة Grego AI المستقلة معرضة للخطر المباشر. الرقم الأكبر هو 70 مليار دولار، ويظهر فقط بمجرد تتبع الثغرة إلى الخارج عبر الجسور عبر السلسلة مثل Wormhole وLayerZero، وأنظمة العملات المستقرة، والبورصات التي تتداول APT وإصداراتها المغلفة. الجسور هي النقطة الضعيفة. إنها تجمع أصولاً من عدة سلاسل في وقت واحد، لذا فإن حدث تزوير الأصول الذي يبدأ على Aptos يمكن، في أسوأ نموذج تم وضعه، أن يستنزف أموالاً جاءت أصلاً من Ethereum. الـ 70 مليار دولار هي إجمالي أسوأ سيناريو مبني على مجموعة من الافتراضات، وليس نقداً كان موجوداً هناك ليتم الاستيلاء عليه في حركة واحدة نظيفة.

| الرقم | | --- | ما يمثله | المصدر | | --- | --- | --- | | 250 مليون دولار | القيمة في تطبيقات DeFi على Aptos المعرضة للخطر المباشر | Grego AI | | 70 مليار دولار | المخاطر النظامية الأسوأ عبر الجسور والعملات المستقرة والبورصات | Hexens | | 3,000 دولار | تكلفة الخادم لمحاكاة ما يقرب من ثلث المدققين | Hexens | | 1 مليون دولار | الحد الأقصى لمكافأة اكتشاف الثغرات في Aptos | برنامج مكافآت اكتشاف الثغرات في Aptos |

لا تعترض Aptos Labs على التقرير نفسه. تؤكد إخطار 25 فبراير من خلال برنامج مكافآت اكتشاف الثغرات وتقول إن المشكلة كانت قيد المعالجة داخلياً بالفعل. ما تعترض عليه هو الخطورة، بحجة أن ظروف الشبكة الحقيقية جعلت استغلال الثغرة أصعب بكثير مما يوحي به إعداد الاختبار، وتضع قابلية الاستغلال في العالم الحقيقي عند مستوى "منخفض للغاية". هذا الادعاء يصطدم مباشرة مع التحقق المستقل من Gupta، ولم يتم التوفيق بين الموقفين علناً. هناك فجوة ثانية تستحق الإشارة، وهي تتعلق بالحوافز وليس بالكود. الحد الأقصى للمكافأة هو 1 مليون دولار. استغلال من هذا النوع سيجلب مضاعفات هذا المبلغ في السوق السوداء، ومع ذلك كشفت Hexens على أي حال، وهذا هو المغزى الكامل من وجود مكافأة.

| قراءة التهديد النظامي | | --- | قراءة المرونة | | --- | --- | | إعداد بقيمة 3,000 دولار يمكن أن يهدد سلسلة من الطبقة الأولى الراقية | تم الإصلاح في غضون ساعات، دون تعطيل الشبكة | | ثغرة أساسية تشير إلى مخاطر فئة لسلاسل Move | تتشرط Aptos أن الظروف الحقيقية جعلت قابلية الاستغلال منخفضة جداً | | ثغرة واحدة يمكن أن تصل إلى أصول الجسور والعملات المستقرة | وجهت المكافأة نتيجة القبعة البيضاء بدلاً من البيع |

ماذا يفعل مخطط APT بينما يدور النقاش تجاهل المتداولون هذا الأمر إلى حد كبير. على مخطط Aptos/USD لمدة 4 ساعات من Coinbase،** المأخوذ عبر TradingView،** تم تداول APT بالقرب من 0.635 دولار في 7 يوليو، متمسكاً فوق متوسطه المتحرك لـ 50 فترة عند 0.6061 دولار وخط 100 فترة عند 0.6147 دولار، بينما يصطدم بمتوسط 200 فترة عند 0.6410 دولار كمقاومة من الأعلى. المتوسط المتحرك هو مجرد متوسط سعر الإغلاق على عدد الشموع ذلك، وهذا التصميم يشير إلى ارتداد حقيقي لم يمسح بعد الاتجاه الهبوطي الأكبر، الذي جر APT من حوالي 1.00 دولار في منتصف مايو إلى حوالي 0.55 دولار. مؤشر القوة النسبية (RSI)، وهو مقياس لضغط الشراء يتراوح من 0 إلى 100، كان عند 58.77، فوق مستوى 50 المحايد ولكن ليس قريباً من خط 70 الذي يشير إلى سوق محموم. **CoinMarketCap **أظهرت APT مرتفعة بنسبة 9.91 في المائة خلال الأسبوع عند 0.6339 دولار، لذا يبدو أن الإفصاح كان ثقلاً على المعنويات وليس محفزاً لبيع حقيقي. الإصلاح الذي سيبقى بعد دورة الأخبار هذه يتحمل المطورون العبء على المدى القريب. أي شخص يدير تطبيقاً على Aptos لديه سبب لإعادة التحقق من كيفية تعامل كوده مع النوع من الحالات الحدودية التي وجدتها Hexens، وقد يحتفظ المستثمرون الكبار بعلاوة مخاطر أعلى قليلاً على الرموز القائمة على Move مثل APT وSUI بينما يلقون نظرة أخرى على أساسيات الشبكة. هناك شيئان، مع ذلك، من المرجح أن يبقيا بعد أن تخبو التغطية. الأول هو سقف المكافأة. حد 1 مليون دولار يبدو صغيراً بشكل متزايد بجانب القيمة التي من المفترض أن يحميها، والمشاريع التي تتنافس مع المشترين في السوق السوداء قد لا يكون أمامها خيار سوى رفعه. الثاني هو تحول في السؤال الذي يطرحه الباحثون فعلياً. لسنوات، كانت حقوق التفاخر تدور حول عدد المعاملات التي يمكن لسلسلة دفعها. هذه الحادثة تدفع التركيز نحو المهارة المعاكسة: مدى سرعة توقف الشبكة نفسها. تحتاج السلاسل السريعة بشكل متزايد إلى "مفاتيح إيقاف" تلقائية تجمّد التحويلات عبر السلسلة فور ظهور شيء خاطئ، لأنه بمجرد أن يلاحظ إنسان، تكون المعاملات قد تمت بالفعل. Aptos على وشك إجراء تلك التجربة على نفسها. اقتراح لإخفاء تفاصيل المعاملة حتى يتم تأكيدها، مما سيجعل التقدم (front-running) أصعب، يتحرك بالفعل من خلال التصويت المجتمعي، بينما تسعى ترقيات أخرى إلى تحقيق أوقات تأكيد أسرع. كل واحدة من تلك الإضافات تضيف سرعة وتضيف قيمة على المحك، نفس المزيج الذي أظهر إفصاح Hexens أنه يمكن أن يحول ثغرة واحدة إلى ثغرة نظامية. ما إذا كانت اللحظة الأمنية التالية لـ Move ستقرأ كطمأنة أو تكرار يعتمد على شيء واحد: ما إذا كانت هذه الترقيات ستأتي مع الضمانات المضمنة التي جادلت هذه الحلقة من أجلها.

شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
  • أعجبني
  • تعليق
  • إعادة النشر
  • مشاركة
تعليق
إضافة تعليق
إضافة تعليق
لا توجد تعليقات
  • مُثبت