ثغرة أبتوس: كيف أدت سرعته إلى توسيع نطاق $70B الخطر

  • عثرت Hexens على ثغرة بالغة الأهمية في Aptos، وتم إصلاحها قبل أن تُحرَّك أي أموال.
  • كان من الممكن أن تُمكّن الثغرة المهاجم من تزوير الأصول ودفعها عبر الجسور.
  • تُجادل Aptos في جسامة الأمر، لكن CTO لدى Polygon أكّد صحة نموذج الاختبار.
  • تعيد القضية إحياء الجدل حول «قاطعات الدوائر» داخل السلسلة على سلاسل L1 السريعة.

كشفَت شركة أمنية عن أن Aptos، إحدى سلاسل الطبقة الأولى الأسرع، حملت ثغرة حرجة لمدة أشهر قبل أن تُصلَّح بهدوء. في 4 يوليو، أعلنت Hexens للعامة عن خطأ سبق أن أبلغته سراً إلى Aptos في 25 فبراير، وهو خلل في محرك تشغيل العقود الذكية الذي يسيّر السلسلة. وبحسب تقديرها هي، كان يمكن أن يضع ذلك ما يصل إلى 70 مليار دولار من المخاطر النظرية في دائرة الخطر عبر الجسور والـstablecoins والتبادلات المرتبطة بها. قامت Aptos Labs بإصلاحه خلال ساعات من أول بلاغ، ولم تُمس أموال أي مستخدم. فلماذا أصبحت عملية التصحيح التي مضى عليها خمسة أشهر خبرًا الآن؟ لسببين. الرقم، بالطبع. لكن أيضًا التفاصيل الكامنة تحته: أكثر ما تُسوّق له Aptos هو السرعة الخام، والسرعة الخام هي بالضبط ما يحوّل 70 مليار دولار من مجرد عنوان مُخيف إلى تقدير يمكن الدفاع عنه. ادعاءٌ بسعة قياسية بعد يوم من انفجار القصة في 5 يوليو، وبعد أقل من 24 ساعة من التقرير، مضت الصفحة الرسمية للمنصة مع تحديثها الشهري المجدول لعِلميات الرموز، مُبلغةً بحرق 232.500 APT خلال الثلاثين يومًا الماضية، وبأكثر من 16 مليون معاملة في يوم واحد عند مستوى قياسٍ ربع سنوي جديد، وبمتوسط رسوم قدره 0.0005 دولار بعد زيادة رسوم بعامل 10، وكل ذلك تحت عبارة: “الحزمة الكاملة للأسواق والآلات تعمل.” تبدو قراءة المنشور مختلفة تمامًا بعد أن تضع إفصاح Hexens أمامك، لأن المعاملات شبه المجانية والسعة الهائلة التي تروّج لها Aptos هي الخصائص نفسها التي يبدأ بها باحث أمني عادةً عند احتساب كم يمكن أن يكلف خطأ واحد في قلب السلسلة فعلاً.

كل معاملة على Aptos تحرق $APT. تحديث الشهر الجديد:

• 232.5 ألف APT محروقة في آخر 30 يومًا
• 1.4 مليون إجمالي APT محروق منذ الإقلاع على الشبكة الرئيسية
• +16 مليون معاملة في يوم واحد — مستوى ربع سنوي جديد
• 0.0005 دولار متوسط رسم للمعاملة منذ زيادة الرسوم 10x

الحزمة الكاملة للأسواق والآلات تعمل. pic.twitter.com/gPEuWzD1Qf

— Aptos (@Aptos) يوليو 5, 2026

الثغرة ظلت أسفل الشيفرة التي تُفحص عادةً في معظم عمليات التدقيق تم بناء Aptos على Move، وهي لغة برمجة صُممت تحديدًا لجعل هذا النوع من الهجوم صعبًا. تتعامل Move مع الرموز والأصول الرقمية الأخرى باعتبارها عناصر محمية، وتتحقق، في لحظة تنفيذ المعاملة، من ألا يجري التعامل مع أي شيء بوصفه نوعًا خاطئًا. يُعد وعد السلامة هذا جزءًا كبيرًا من سبب تسويق Aptos وSui لـ Move باعتبارها أكثر أمانًا من البيئات الأقدم. لكن خلل Hexens انزلق تحت هذا الوعد بدل أن يكسره مباشرة. وبعبارات بسيطة، عمل النظام لفترة قصيرة بمعلومات قديمة وانتهى به الأمر إلى الخلط بين نوع من “عنصر على السلسلة” وآخر. يصف خبراء الأمن ذلك بأنه “التباس الأنواع”، وهو مشكل برمجي قديم حيث يقرأ برنامج شيئًا بوصفه نوعًا خاطئًا ويمضي مباشرةً عبر فحوصات كان يُفترض أن توقفه. على بلوك تشين، يكون هذا الخلط خطيرًا: إذ يستطيع المهاجم إخفاء عنصر خبيث على هيئة عنصر شرعي وخداع الشبكة في سوء قراءة من يملك أصلًا ومن يُسمح له بتحريكه. قام CTO لدى Polygon، Mudit Gupta، بمراجعة نموذج الاختبار بشكل مستقل وأخبر CoinDesk أنه يعمل كما يُدّعى، مع التنبيه إلى أنه كان لا بد أن تتطابق بضعة شروط أولاً. وبما أنه قادم من مسؤول الأمن في سلسلة منافسة، فهذا يحمل وزنًا أكبر من أي شيء يمكن أن تقوله Aptos أو Hexens من جهتها. لماذا تجعل الرسوم الرخيصة وحجم التداول الثغرة أسوأ لم تعد السعة هنا مجرد خط تسويقي، بل تتحول إلى مُضاعِف خطر. نفذت Hexens الهجوم ضد مجموعة من أكثر من 30 عقدة مُصدّق (validator) مهيأة لتقليد الشبكة الفعلية، على عدة خوادم كلفت نحو 3,000 دولار، وجرى استخدامها كبديل لما يقارب ثلث مجموعة المُصدّقين. نجح الهجوم 17 أو 18 مرة من أصل 20، دون حاجة إلى وصول داخلي أو صلاحيات خاصة. أدرج الأرقام الحية وسيتضح المشهد. وبما أن التكلفة على مستوى جزء من سنت لكل معاملة، يصبح غمر السلسلة بحمولات خبيثة قريبًا من المجاني. ومع 16 مليون معاملة يوميًا، وكون البلوكات تُثبت خلال ثوانٍ، فإن مهاجمًا يستطيع تزوير الأصول لن يحتاج إلا إلى نافذة قصيرة لإنشائها وتحريكها إلى خارجها قبل أن يتفاعل أي شخص. السرعة هنا محايدة. فالمحرك نفسه الذي يُصفّي التداولات الشرعية في ثوانٍ سيُصفّي أيضًا تشغيل “سكّ وتحويل” مزيف بالسرعة ذاتها، ولا يستطيع البشر المشغّلون للشبكة أن يتفاعلوا بسرعة كافية. وهذا بالضبط ما أبرزته منشورات “حرق المقاييس” بالخطأ.

رقمان مختلفان للغاية، ولماذا الفجوة مهمة صدرت من هذه الحادثة رقمين، والتعامل معهما كأنهما شيء واحد هو ما يشوّه القصة. الرقم الأصغر يدور حول 250 مليون دولار، وهي القيمة المحتفظ بها في تطبيقات Aptos DeFi التي قدّرها Grego AI - وهي شركة مستقلة - أنها في خطر مباشر. أما الرقم الأكبر فهو 70 مليار دولار، ولا يظهر إلا عند تتبع أثر الخلل وهو يمتد عبر جسور عبر السلاسل مثل Wormhole وLayerZero، وأنظمة الـstablecoins، والتبادلات التي تتداول APT وإصداراتها الملتفة.

الجسور هي موضع الضعف الأكبر. إذ تجمع الأصول من عدة سلاسل في الوقت نفسه، لذا فإن حدث أصل مزوّر ينطلق من Aptos يمكن، في أسوأ سيناريو تم نمذجته، أن يستنزف أموالاً جاءت في الأصل من Ethereum. إن 70 مليار دولار هو إجمالي “أسوأ حالة” مبني على طبقة من الافتراضات، وليس نقدًا كان متاحًا هناك ليُلتقط من حركة واحدة نظيفة.

| الرقم | | --- | ما الذي يمثله | المصدر | | --- | --- | --- | | 250 مليون دولار | القيمة في تطبيقات Aptos DeFi المعرضة لخطر مباشر | Grego AI | | 70 مليار دولار | أعلى خطر منهجي عبر الجسور والـstablecoins والتبادلات | Hexens | | 3,000 دولار | كلفة الخادم لمحاكاة ما يقارب ثلث المُصدّقين | Hexens | | 1 مليون دولار | أقصى شريحة من جائزة الاختراق لعيوب Aptos | برنامج مكافآت عيوب Aptos |

لا تعترض Aptos Labs على محتوى التقرير نفسه. فهي تؤكد إشعار 25 فبراير عبر برنامج مكافآت العيوب، وتقول إن المشكلة كانت قيد المعالجة داخليًا بالفعل. إلا أنها تعترض على جسامة الأمر، بحجة أن ظروف الشبكة الفعلية كانت تجعل استغلال الثغرة أصعب بكثير مما توحي به إعدادات الاختبار، وتضع قابلية الاستغلال في العالم الحقيقي عند “منخفضة للغاية”. تصطدم هذه الدعوى مباشرةً بعملية التحقق المستقلة التي أجراها Gupta، ولم يتم التوفيق بين الموقفين علنًا. وهناك فجوة ثانية تستحق الإشارة إليها، وهي تتعلق بالحوافز أكثر من كونها تتعلق بالشفرة. لا تتجاوز المكافآت 1 مليون دولار. قد يجلب استغلال من هذا النوع عدة أضعاف ذلك في السوق السوداء، ومع ذلك فقد أفصحت Hexens، وهذا هو جوهر فكرة تشغيل مكافأة.

| قراءة التهديد المنهجي | | --- | قراءة الصمود | | تمهيد بقيمة 3,000 دولار قد يهدد طبقة-1 من الصف الأول | تم الإصلاح خلال ساعات دون تعطيل للشبكة | خلل جوهري يشير إلى خطر تصنيف لسلاسل Move | تقول Aptos إن الظروف الفعلية جعلت قابلية الاستغلال منخفضة جدًا | خلل واحد قد يصل إلى أصول الجسور والـstablecoins | تحولت المكافأة إلى نتيجة لصالح “قبعة بيضاء” بدل البيع |

ما الذي تفعله مخططات APT بينما يستمر الجدل؟ غالبًا ما تجاهل المتداولون هذه التطورات. في مخطط Aptos/USD لمدى 4 ساعات من Coinbase، مُستخرج عبر TradingView، انتقلت APT بين أيدي المتعاملين قرب 0.635 دولار في 7 يوليو، مع بقاءها فوق المتوسط المتحرك لِـ50 فترة عند 0.6061 دولار، وفوق خط 100 فترة عند 0.6147 دولار، بينما اصطدمت بمتوسط 200 فترة عند 0.6410 دولار كمقاومة فوقية. المتوسط المتحرك هو ببساطة متوسط سعر الإغلاق عبر هذا العدد من الشموع، ويشير هذا الترتيب إلى ارتداد حقيقي لم يتجاوز بعد الاتجاه الهبوطي الأكبر، وهو الذي سحب APT من نحو 1.00 دولار في منتصف مايو إلى حوالي 0.55. RSI، وهو مقياس لضغط الشراء من 0 إلى 100، بلغ 58.77، فوق مستوى الحياد 50 لكن ليس قريبًا من خط 70 الذي يُشير إلى سوق “مُفرط السخونة”. CoinMarketCap وضعت APT مرتفعة بنسبة 9.91 بالمئة على مدار الأسبوع عند 0.6339 دولار، لذا يبدو الإفصاح كأنه عامل ضغط على المعنويات أكثر من كونه محفزًا لبيع فعلي.

الإصلاح الذي سيبقى بعد انتهاء دورة هذا الخبر يتحمل البناؤون العبء على المدى القصير. من يشغّل تطبيقًا على Aptos لديه سبب لإعادة التحقق من كيفية تعامل شفرته مع نوع حالة الطرفية الذي وجدته Hexens، وقد يواصل كبار المستثمرين الحفاظ على علاوة مخاطر أعلى قليلًا على الرموز المبنية على Move مثل APT وSUI بينما ينظرون مرة أخرى إلى أسس الشبكة. لكن هناك أمران يُرجح أن يظلا بعد أن تخفت التغطية. الأول هو سقف المكافآت. تبدو سقفية 1 مليون دولار صغيرة على نحو متزايد مقارنةً بالقيمة التي يُفترض أن تحميها، وقد لا يكون لدى المشاريع منافسة مشترين في السوق السوداء سوى خيار رفعه. والثاني هو تحول في السؤال الذي يطرحه الباحثون فعليًا. لسنوات كانت أولوية الإنجازات تتركز على عدد المعاملات التي تستطيع السلسلة دفعها عبر البنية. هذه الحادثة تدفع التركيز إلى المهارة المعاكسة: مدى سرعة قدرة الشبكة على إيقاف نفسها. تحتاج السلاسل السريعة بشكل متزايد إلى “مفاتيح إيقاف” تلقائية تُجمّد التحويلات عبر السلاسل فور ظهور شيء غير طبيعي، لأن بمجرد أن يلاحظ البشر، تكون المعاملات قد جرت بالفعل. على وشك أن تُجري Aptos هذا الاختبار على نفسها. هناك اقتراح لإخفاء تفاصيل المعاملات حتى بعد أن يؤكدوا صحتها، ما سيجعل المضاربة قبل التنفيذ أصعب، يجري بالفعل عبر التصويت المجتمعي، بينما تلحق ترقيات أخرى بسرعات تأكيد أسرع. يضيف كل واحد من هذه الأمور سرعة ويزيد القيمة على المحك، وهي المجموعة نفسها التي أظهرتها إفصاحات Hexens وكيف يمكن لخطأ واحد أن يتحول إلى خطر منهجي. ما إذا كانت “لحظة أمنية” Move القادمة ستُقرأ كتطمين أو ستعود كقصة تكرار يعتمد على شيء واحد: هل تصل هذه الترقية مع نوع الضمانات المدمجة التي قدمتها هذه الحلقة كحجة.

شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
  • أعجبني
  • تعليق
  • إعادة النشر
  • مشاركة
تعليق
إضافة تعليق
إضافة تعليق
لا توجد تعليقات
  • مُثبت