تعرضت أمان الجسور بين السلاسل لضربة كبيرة أخرى عندما خسرت Alephium TokenBridge مبلغ 815,000 دولار بسبب استغلال تجاوز نظام التحقق من الأوصياء في غضون سبع دقائق فقط. الحادث، الذي استنزف الأموال من كل من Ethereum و BNB Chain، يكشف عن ثغرات حرجة في البنية التحتية خارج السلسلة التي لا يمكن حتى لشبكات الأوصياء المصممة جيداً أن تحميها.
استهدف الاستغلال TokenBridge في Alephium، وهو نسخة من بروتوكول Wormhole الذي يتيح نقل الأصول بين السلاسل. وفقاً للتصحيح العام الذي أصدرته الفريق، نجحت الرسائل الاحتيالية في تجاوز شبكة الجسر المكونة من أربعة أوصياء من خلال خلل في البنية الأساسية خارج السلسلة بدلاً من مفاتيح تشفيرية مخترقة. يحمل هذا التمييز أهمية كبيرة لفهم طبيعة الثغرة والآثار الأوسع على معمارية أمان الجسور بين السلاسل.
يوضح الإطار الزمني السريع للهجوم البالغ سبع دقائق الكفاءة التي يمكن بها لاستغلالات جسور حديثة أن تعمل بمجرد أن يحدد المهاجمون متجه الضعف الصحيح. وعلى عكس استغلالات العقود الذكية التقليدية التي قد تتطلب سلاسل معاملات معقدة أو تنظيم قروض فلاش، استفاد هذا الهجوم من ضعف البنية الأساسية لتزوير رسائل أوصياء تبدو شرعية وقبلتها النظام كصحيحة.
تمثل شبكات الأوصياء طبقة أمان حرجة في العديد من جسور بين السلاسل، حيث تتطلب موافقة عدة مدققين مستقلين على معاملات بين السلاسل قبل التنفيذ. أن تم تجاوز نظام الأوصياء الأربعة في Alephium بالكامل من خلال تزوير الرسائل بدلاً من اختراق المفاتيح يشير إلى أن الثغرة كانت موجودة على مستوى أقل في مكدس التحقق من الجسر. هذا النوع من ضعف البنية الأساسية خارج السلسلة مثير للقلق بشكل خاص لأنه يمكن أن يجعل حتى الحماية التشفيرية التي تعمل بشكل صحيح عديمة الفائدة.
تضيف الحادثة إلى كتالوج متزايد من استغلالات الجسور التي كلفت نظام التمويل اللامركزي مليارات الدولارات على مدار السنوات القليلة الماضية. بينما استهدفت العديد من الهجمات السابقة منطق العقود الذكية أو استغلت عدم توازن الحوافز الاقتصادية، يركز نمط الهجوم هذا الانتباه على المكونات خارج السلسلة التي تعتمد عليها الجسور الحديثة بشكل متزايد للتحقق من رسائل بين السلاسل وخدمات التتابع.
بالنسبة لمشغلي الجسور، يؤكد استغلال Alephium على أهمية تعزيز ليس فقط العقود الذكية على السلسلة وإدارة المفاتيح التشفيرية، بل أيضاً مكدس البنية الأساسية خارج السلسلة بالكامل الذي يتعامل مع معالجة الرسائل والتحقق منها وعمليات التتابع. قد تفتقد عمليات التدقيق الأمني التي تركز حصراً على كود العقود الذكية الثغرات الحرجة في أنظمة البنية الأساسية التي يمكن أن تكون مدمرة بنفس القدر.
يسلط قرار الفريق بإصدار تصحيح علني بشأن آلية الاستغلال الضوء أيضاً على أهمية الاتصال الدقيق بعد الحادث في مساحة البلوكتشين. يمكن أن تثبت الافتراضات الأولية حول متجهات الهجوم عدم صحتها مع تقدم التحليل الجنائي، والتصحيح الشفاف للسجل يساعد المجتمع الأوسع على فهم الأهديات الفعلية وليس المتصورة.
في المستقبل، من المرجح أن تحفز هذه الحادثة مشغلي جسور آخرين على فحص البنية الأساسية خارج السلسلة الخاصة بهم بحثاً عن ثغرات مماثلة. يخلق الجمع بين الاعتماد الواسع النطاق لـ Wormhole كإطار جسر والطبيعة المحددة لهذا الاستغلال ظروفاً قد توجد فيها ثغرات مماثلة عبر عمليات تنفيذ متعددة. قد تخدم خسارة 815,000 دولار نسبياً متواضعة، رغم أنها كبيرة للمستخدمين المتأثرين، كتحذير مبكر قد يمنع استغلالات أكبر كثيراً إذا تم استيعاب الدروس بشكل صحيح من قبل مجتمع البنية الأساسية بين السلاسل الأوسع.
كتبه الفريق التحريري — صحافة مستقلة مدعومة من Bitcoin News.