وراء سهولة التمويل عبر السلاسل، تختبئ ثغرات أمنية أشبه بقنابل موقوتة، تنفجر مرارًا بطرق متشابهة وتدفع القطاع بأكمله إلى مراجعة الذات.
في الثاني من فبراير 2026 (بالتوقيت العالمي)، أكدت منصة CrossCurve—بروتوكول السيولة عبر السلاسل المعروف سابقًا باسم EYWA والمدعوم من مؤسس Curve Finance مايكل إيغوروف—رسميًا تعرض جسرها عبر السلاسل لهجوم بسبب ثغرة في العقد الذكي. فقد قام المهاجمون بتزوير رسائل عبر السلاسل، وتجاوزوا التحقق الحرج من البوابة، وأطلقوا عمليات فتح غير مصرح بها للرموز، ما أدى إلى سرقة حوالي 3 ملايين دولار عبر عدة شبكات بلوكتشين.
لمحة عن الحادثة: لماذا فشل هيكل التحقق متعدد الطبقات؟
حوالي 31 يناير 2026، رصدت شركة Defimon Alerts المتخصصة في أمن البلوكتشين انخفاضًا حادًا في رصيد عقد CrossCurve الأساسي PortalV2—من نحو 3 ملايين دولار إلى ما يقارب الصفر. وسارعت CrossCurve إلى إصدار إعلان طارئ عبر منصة X: "شبكة الجسر لدينا تتعرض حاليًا لهجوم. استغل المهاجم ثغرة في أحد عقودنا الذكية. يرجى تعليق جميع التعاملات مع CrossCurve حتى انتهاء التحقيق."
ومن المفارقات أن CrossCurve لطالما روجت لهندستها الأمنية "جسر الإجماع" ذات التحقق متعدد الطبقات كميزة رئيسية. إذ يدمج هذا الهيكل بين Axelar وLayerZero وشبكة EYWA الخاصة بها للأوراكل، بهدف القضاء على نقاط الفشل الفردية من خلال الاعتماد على مصادر تحقق مستقلة متعددة. وقد ادعى المشروع سابقًا: "احتمالية اختراق عدة بروتوكولات عبر السلاسل في وقت واحد شبه معدومة."
تحليل الثغرة: فجوة تحقق قاتلة
كشفت التحليلات الأمنية جوهر الهجوم الفني. فقد كان أصل الثغرة في تحقق مفقود بسيط ظاهريًا—لكنه كان كافيًا لإسقاط نظام التحقق متعدد الطبقات المعقد بالكامل.
مسار الهجوم
وقع جوهر الهجوم داخل عقد CrossCurve المسمى ReceiverAxelar، وهو المسؤول عن استقبال الرسائل من شبكة Axelar عبر السلاسل وتنفيذ التعليمات المقابلة.
في الظروف الطبيعية، يجب أن تمر أي رسالة عبر السلاسل يراد تنفيذها بمرحلة تحقق إجماع شبكة Axelar. لكن كان هناك خلل حرج في إحدى وظائف العقد؛ إذ اكتشف المهاجمون إمكانية استدعاء هذه الوظيفة مباشرة، مع تمرير معلمات رسالة عبر السلاسل مزورة، دون أن يتحقق العقد بشكل كافٍ من مصدر الرسائل الحقيقي.
خطوات الهجوم
بعد قبول التعليمات المزورة، أرسل العقد أمر فتح الرموز إلى عقد الأصول الرئيسي PortalV2.
وبما أن عقد PortalV2 كان يثق تمامًا في التعليمات القادمة من ReceiverAxelar، فقد قام بإطلاق جميع أنواع الأصول المحجوزة إلى العناوين التي حددها المهاجم. ويمكن تكرار هذه العملية حتى يتم استنزاف جميع الأصول الرئيسية في العقد.
التاريخ يعيد نفسه: أربع سنوات من جراح أمنية لم تلتئم
أثارت هذه الحادثة شعورًا قويًا بالاسترجاع لدى مجتمع أمن العملات الرقمية. فقد عبرت الخبيرة الأمنية تايلور موناهان عن صدمتها قائلة: "لا أصدق أن أربع سنوات مرت ولم يتغير شيء." وكانت تشير إلى هجوم جسر Nomad عبر السلاسل في أغسطس 2022، الذي هز القطاع حينها. فقد خسر Nomad حوالي 190 مليون دولار بسبب خلل مشابه في تحقق التهيئة. والأكثر إثارة للدهشة أن الاستغلال كان بسيطًا للغاية، حتى تحول بعد بدء الحادثة إلى "هجمة سطو جماعي"، حيث قام أكثر من 300 عنوان بنسخ طريقة الهجوم وسرقة الأموال.
من Nomad إلى CrossCurve، تتشابه أساليب الهجوم في جوهرها: كلها تنبع من تحقق غير كافٍ لأبسط عناصر الأمان—مصدر الرسائل عبر السلاسل. وتكرار مثل هذه الحوادث يبرز بوضوح أنه، رغم النمو السريع للقطاع، لا تزال بعض ممارسات تطوير العقود الذكية الأساسية ومعايير التدقيق الأمني غير مطبقة بالشكل الكافي.
تأثيرات السوق: أزمة ثقة وتقلبات سعرية
أدى الخرق الأمني بسرعة إلى سلسلة ردود فعل في السوق. فبروتوكول CrossCurve المتعرض للهجوم مرتبط ارتباطًا وثيقًا ببروتوكول Curve Finance الرائد في التمويل اللامركزي؛ إذ كان استثمار مؤسس Curve دفعة كبيرة لمصداقية CrossCurve.
وبعد الحادثة، أصدرت Curve Finance بيانًا عاجلًا عبر منصة X، نصحت فيه المستخدمين بـ "إعادة تقييم مراكزكم والنظر في إلغاء هذه الأصوات"، وشددت على ضرورة الحذر عند التعامل مع "المشاريع الخارجية". وقد فُسّر هذا البيان المنمق على نطاق واسع بأنه محاولة سريعة للنأي بالنفس وحماية سمعة Curve من الأضرار الجانبية.
رد فعل السوق الرئيسي
وفقًا لبيانات سوق Gate، حتى الثاني من فبراير 2026، تغير سعر بيتكوين (BTC) بنسبة -2.51% خلال الأربع وعشرين ساعة الماضية، ليتداول عند 76,814 دولارًا.
وخلال نفس الفترة، انخفض سعر إيثيريوم (ETH) بنسبة -7.42% ليصل إلى 2,271.18 دولارًا. ورغم أن تقلبات السوق ناتجة عن عوامل متعددة، إلا أن حدوث خرق أمني كبير في بروتوكول DeFi أساسي أدى بلا شك إلى زيادة الحذر في السوق.
مراجعة القطاع: مفارقة أمان الجسور عبر السلاسل
أعادت حادثة CrossCurve إلى الواجهة إجماع القطاع بأن "الجسور عبر السلاسل هي الحلقة الأضعف في عالم العملات الرقمية". فقد عززت حوادث سابقة مثل Ronin (خسارة 625 مليون دولار)، Wormhole (خسارة 325 مليون دولار)، والآن CrossCurve هذا الرأي.
وتكمن مفارقة أمان الجسور عبر السلاسل في حاجتها لإتاحة حركة الأصول بحرية بين شبكات بلوكتشين مختلفة، ما يتطلب مراكز ثقة وتحقق عبر عدة سلاسل مستقلة ذات نماذج أمان متباينة. فإذا كان هذا المركز (العقد الذكي) يحتوي على خلل منطقي، يصبح نقطة فشل واحدة لكل السيولة. وحتى مع وجود تحقق خارجي متعدد الطبقات مثل تصميم CrossCurve، يمكن أن تؤدي ثغرات التنفيذ في العقد نفسه إلى إبطال جميع الحمايات الخارجية.
آخر التطورات ورد فعل المستخدمين
في مواجهة استمرار تدفق الأموال وضغط الرأي العام، بادرت فريق CrossCurve باتخاذ إجراءات إدارة أزمة بعد كشف الخرق. ووفقًا لبيانهم الرسمي الأخير، حدد الفريق مهلة 72 ساعة لإعادة الأموال المسروقة. ودعا حاملي العناوين المتأثرة إلى التعاون في إعادة الأصول، وعرض بموجب "سياسة الإفصاح الآمن" مكافأة تصل إلى 10% من الأموال للهاكرز ذوي القبعات البيضاء.
وإذا لم يتم التوصل إلى تسوية خلال المهلة المحددة، أكد الفريق أنه سيصعد من استجابته، بما في ذلك اتخاذ إجراءات قانونية والتعاون مع منصات التداول، ومصدري العملات المستقرة، وغيرهم لتعقب وتجميد الأصول ذات الصلة.
سعر بيتكوين انخفض بنسبة 2.51% خلال الأربع وعشرين ساعة التي أعقبت الحادثة، بينما تراجع إيثيريوم بنسبة أكبر بلغت 7.42%. وقد جاء رد السوق على انهيار الثقة الناجم عن خلل في الشيفرة بأرقام واضحة وصريحة.
ومهلة "الملاذ الآمن" التي حددها فريق CrossCurve لمدة 72 ساعة بدأت العد التنازلي. وتظهر سجلات مستكشف البلوكتشين أن الأموال المسروقة لا تزال خاملة في عنوان المهاجم، دون تحويلات واسعة النطاق حتى الآن. ويبقى السؤال مطروحًا: هل ستنتهي هذه العاصفة—التي أشعلتها سطر تحقق مفقود في الشيفرة—بتسوية مع هاكر ذو قبعة بيضاء، أم ستتحول إلى معركة طويلة لاسترداد الأصول عبر الحدود؟
