ظهرت ثغرة حرجة في آلة Aptos Move الافتراضية (VM) هذا الأسبوع بعد أن كشف باحثون من شركة Hexens عن عيب في ذاكرة التخزين المؤقت العتيقة كان من الممكن أن يقوض الضمانات الأساسية لسلامة الأنواع. مكّن العيب هجمات خلط الأنواع التي يمكن أن تتجاوز قيود التنفيذ على سلاسل Move، مسبباً مخاطر نظامية عبر بروتوكولات التمويل اللامركزي (DeFi)، والعملات المستقرة، والجسور العابرة بين السلاسل.
في أواخر فبراير، أبلغت Hexens عن المشكلة عبر قناة مكافأة الثغرات لدى Aptos Labs. قام الباحثون بمحاكاة الاستغلال على عنقود من الخوادم محدودة التكلفة بتكلفة تصل إلى 3,000 دولار فقط، محققين معدل نجاح يزيد عن 90% في ظل ظروف شبكة واقعية. أظهر إثبات المفهوم إمكانية إصدار أصول غير مصرح بها والتلاعب بالأدوار الإدارية دون وصول داخلي أو مفاتيح ذات امتياز.
وصف المؤسس المشارك لـ Hexens فاها كارابيتـيان العيب بأنه مكافئ لثغرة فساد التخزين على غرار الإيثريوم، حيث يكتب كود خبيث في تخزين العقد المملوك لبروتوكولات أخرى. أكدت مراجعات مستقلة من Grego AI والرئيس الفني لـ Polygon موديت جوبتا قابليّة الاستغلال، مُقدّرة أن نحو 250 مليون دولار من TVL المستند إلى Aptos كان معرضاً بشكل مباشر للخطر. وبإضافة طبقات العبور بين السلاسل والجسور، بلغ مجموع المخاطر النظامية نحو 70 مليار دولار.
استجابت Aptos Labs بسرعة: انعقدت غرفة عمليات طوارئ وفق إطار SEAL911، وجرى نشر الإصلاح على الشبكة الرئيسية خلال ساعات من الإخطار. لم يفقد أي أموال في الحادث. وأكّد مسؤولو Aptos انخفاض قابلية الاستغلال الفعلي للـ VM بعد التصحيح، مع الإقرار بأهمية تعزيزات البنية التحتية القوية.
هذا الحدث يؤكّد الحاجة الحتمية إلى عمليات تدقيق أمني استباقية ودفاعات متعددة الطبقات في أنظمة البلوك تشين. مع توسّع الشبكات، تصبح سلامة بيئة تشغيل العقود الذكية أمرًا ذا أولوية قصوى للحفاظ على رأس المال على السلسلة. فرق البروتوكولات تعيد الآن تقييم حوافز مكافآت الثغرات، وتدفقات نشر التصحيحات، وآليات ترقية المصدّقين لتقليل نوافذ المخاطر المستقبلية.
بعيداً عن Aptos، يعيد الاكتشاف إشعال الجدل حول أمان العبور بين السلاسل والتداعيات الدومينو المحتملة لثغرات المُحلّل البرمجي وآلة العقد الافتراضية. المطالبون في الصناعة يدعون إلى أطر اختبار موحدة وتعاون أكبر بين مطوري النواة والمراجعين المستقلين. القدرة على أن يَحُث فريق بحثي صغير على محاكاة هجوم بقيمة مليارات الدولارات تشكّل تحذيراً: ينبغي لبنية blockchain التحتية أن تتطور بالوتيرة نفسها التي تتقدم بها قدرات التهديد.
مع النظر إلى الأمام، يتركز الاهتمام على دمج التحقق الرسمي لـ Move ولغات مماثلة، وتحسين المراقبة أثناء التشغيل على السلسلة، وإيجاد بروتوكولات استجابة سريعة. ستشكل الدروس المستفادة من هذه الثغرة ممارسات الأمن عبر أنظمة الطبقة-1 الناشئة، دافعاً لحقبة جديدة من التطوير بقيادة التدقيق وتقييم المخاطر المستمر.
التعليقات (0)