رصدت جهة أمان البلوكتشين Blockaid في 20 مايو قيام مكوّن الجسر عبر السلاسل Butter Bridge V3.1 التابع لبروتوكول MAP Protocol بتعرض هجوم على شبكة Ethereum وBSC. استغل المهاجم ثغرة في تصميم العقود الذكية، ما دفع عقد الجسر إلى القيام بعمليات سكّ غير قانونية مباشرةً إلى عنوان تم إنشاؤه حديثاً بنحو 10,000 تريليون وحدة MAPO، أي ما يعادل 4.8 مليون ضعف من حجم التداول المشروع البالغ نحو 208 مليون وحدة.
آلية الهجوم: عيب في تصميم العقد الذكي ضمن عملية التحقق من الرسائل عبر إعادة المحاولة
أكدت Blockaid أن السبب الجذري للهجوم يكمن في عيب تصميم العقد الذكي ضمن منطق عملية إعادة محاولة التحقق من الرسائل في Butter Bridge V3.1، وهو خلل على مستوى تنفيذ العقد، وليس عجزاً في بنية بروتوكول MAP Protocol في الطبقة الأساسية. قام المهاجم بإحداث مسار تحقق خاطئ عبر حثّ التنفيذ على مسار تحقق غير صحيح، بما أدى إلى تجاوز فحوصات الاعتماد عبر السلاسل بشكل قانوني، ثم سكّ الرموز مباشرةً على شبكة Ethereum باتجاه عنوان EOA جديد تم إنشاؤه.
تتطلب الجسور عبر السلاسل، من الناحية التقنية، التحقق من الرسائل القادمة من شبكتين بلوكتشين مستقلتين في الوقت نفسه؛ حيث تمتلك كل سلسلة آلية إجماع ونموذج أمان وقواعد تأكيد نهائية خاصة بها. يعتمد تصميم MAP Protocol نموذجاً نظيرياً (P2P) وتحقيقاً خفيفاً للعملاء، ما يجعله من الناحية النظرية أصغر مساحة للهجوم مقارنة بالحلول التي تعتمد على مُوثِّقات طرف ثالث موثوقة. لكن وفّر العيب في منطق إعادة المحاولة داخل العقود نقطة دخول يمكن استغلالها في هذه الحادثة. أكدت Butter Network أن أعمال الإصلاح والتدقيق وإعادة النشر جارية.
حجم الخسائر ورد فعل سوق MAPO: بيانات مؤكدة
المبلغ الذي قام المهاجم بصرفه: 52.21 ETH (بحوالي 180 ألف دولار)، من مجمّع سيولة Uniswap V4 ETH/MAPO
حيازات المهاجم المتبقية: حوالي 9,999.99 مليار وحدة MAPO، لا تزال في محفظة المهاجم، ما يشكل خطراً مستمراً على جميع مجمّعات السيولة المرتبطة بـ MAPO وعلى إدراجها في CEXs
تأثير سعر MAPO: انخفاض يقارب 30% خلال يوم واحد بعد عمليات البيع
إجمالي كمية السكّ غير القانوني: حوالي 10,000 تريليون وحدة، وهو ما يعادل 4.8 مليون ضعف من حجم التداول المشروع (208 مليون وحدة)
الخسائر التراكمية لهجمات الجسور عبر السلاسل في 2026 (حتى منتصف مايو): أكثر من 328.6 مليون دولار
تدابير الاستجابة المؤكدة من MAP Protocol وButter Network
أكد البيان الرسمي لـ MAP Protocol تنفيذ إجراءات التخفيف التالية: تم إيقاف الجسر بين MAPO ERC-20 وشبكة MAPO الرئيسية؛ تحذير المستخدمين حالياً من تداول MAPO ERC-20 على Uniswap، وأن مجمّعات السيولة لا تزال عرضة للمخاطر خلال فترة تنفيذ تدابير التخفيف من الحادثة؛ يعمل الفريق بالتنسيق مع شركاء خارجيين في مجال الأمان لإجراء التحقيق.
أكد البيان الرسمي لـ Butter Network: تم إيقاف جميع عمليات ButterSwap؛ أعمال الإصلاح والتدقيق وإعادة النشر جارية؛ سيتم التعامل مع المعاملات المعلقة بعد استعادة الأمان؛ لم تتعرض أموال المستخدمين لخسارة مباشرة، وستتم معالجة جميع المعاملات المتأثرة بالكامل بعد عودة النظام إلى العمل.
الأسئلة الشائعة
هل تُعد هذه الهجمة عيباً في بنية الطبقة الأساسية لبروتوكول MAP Protocol؟
أكدت Blockaid أن الثغرة تخص تصميم العقد الذكي في Butter Bridge V3.1، وتحديداً ضمن مسار التحقق من الرسائل عبر إعادة المحاولة، وهي عيوب على مستوى تنفيذ العقد، وليست فشلاً جوهرياً في بنية P2P أو نموذج التحقق خفيف العميل على طبقة بروتوكول MAP Protocol الأساسية. تعمل Butter Network حالياً على إصلاح هذا المكوّن وإعادة تدقيقه.
لماذا تُعد حيازة المهاجم المتبقية البالغة نحو 9,999 مليار وحدة MAPO مصدراً لخطر مستمر؟
لا يزال المهاجم يحتفظ في محفظته بما يقارب 9,999.99 مليار وحدة من MAPO التي تم سكّها بشكل غير قانوني، بما يفوق آلاف المرات حجم التداول المشروع (208 مليون وحدة). إذا اختار المهاجم ضخ هذه الرموز في أي مجمّع سيولة لـ MAPO أو تقديم طلب لإدراجها في أي بورصة مركزية، فسيؤدي ذلك إلى تأثير كبير على سعر MAPO وعلى السيولة. أوضحت Blockaid في إعلانها بشكل صريح أن هذه الحيازة «تشكل خطراً مستمراً على أي مجمّع لـ MAPO أو إدراج في CEX».
لماذا تستمر الجسور عبر السلاسل في أن تكون هدفاً عالي المخاطر لهجمات DeFi؟
تحتاج الجسور عبر السلاسل من الناحية المعمارية إلى معالجة الرسائل القادمة من سلسلتين بلوكتشين مستقلتين في الوقت نفسه، بينما تمتلك كل سلسلة آلية إجماع ونموذج أمان وقواعد تأكيد نهائية مختلفة. غالباً ما تقوم عقود الجسر بقفل كميات كبيرة من الأصول على إحدى السلاسل، ثم سكّ الرموز المقابلة على السلسلة الأخرى. بمجرد وجود عيب في منطق الجسر، يمكن للمهاجم سرقة الأصول المقفلة أو سكّ رموز دون وجود تغطية مالية. تشمل الأمثلة التاريخية 2022 اختراق Nomad Bridge بقيمة تجاوزت 186 مليون دولار (خطأ في التحقق من الهوية)، وهجمات Ronin Bridge وWormhole؛ وحتى الآن في 2026 تجاوزت الخسائر التراكمية لهذه النوعية من الهجمات 328.6 مليون دولار.
