في 5 يوليو، اكتشف كبير مسؤولي التكنولوجيا في شركة الأمن السيبراني Hexens، Vahe Karapetyan، ثغرة في ذاكرة التخزين المؤقت القديمة (stale-cache) في آلة Move الافتراضية على سلسلة Aptos، مما أدى إلى ارتباك النوع (type confusion)؛ يمكن لهذه الثغرة أن تخدع البرنامج لتجاوز ضمانات أمان النوع في لغة Move. أنشأت Hexens بيئة محاكاة باستخدام خوادم بتكلفة حوالي 3,000 دولار، وبلغت نسبة نجاح الهجوم في 20 اختبارًا نحو 90%.
وفقًا للتقرير الفني لشركة Hexens، قام فريق Karapetyan ببناء بيئة محاكاة تقترب من حجم الشبكة الرئيسية للتحقق من قابلية استغلال الثغرة: أكثر من 30 عقدة مدققة، توزيع رهون قريب من الشبكة الرئيسية، تدفق معاملات حقيقي ومنافسة تنفيذية عالية الشدة، بتكلفة بناء حوالي 3,000 دولار؛ في حال شن هجوم حقيقي، ستكون التكلفة أقل فقط، ولا تتطلب صلاحيات المدققين أو المعرفة الداخلية أو وصول مميز.
اختبرت Hexens حوالي 20 مرة في بيئة المحاكاة، نجحت 17-18 مرة، نسبة نجاح تقترب من 90%؛ حتى في حال فشل 2-3 مرات، فإن ذلك لا يؤدي إلى تعطيل الشبكة، ويمكن للمهاجم الانتظار بصبر لنافذة الفرصة التالية.
وفقًا لتقارير Aptos الرسمية وCoinDesk، أبلغت Hexens عن الثغرة في 25 فبراير 2026 عبر برنامج مكافآت الأخطاء (bug bounty) الخاص بـ Aptos؛ قالت Aptos إن فريقها كان يعالج المشكلة بالفعل عند تلقي البلاغ. افتتح فريق الاستجابة الطارئة التطوعي في مجال التشفير SEAL911 غرفة عمليات في ذلك اليوم؛ في نفس اليوم بعد الظهر، أبلغت Aptos البائعين المتأثرين وأربعة مشاريع فرعية رئيسية، مرفقةً برهان مفهوم (PoC) قابل للتنفيذ محليًا.
قالت Aptos لـ CoinDesk: 'تم تطوير الإصلاح واختباره ونشره على الشبكة الرئيسية في غضون ساعات بعد الاكتشاف، ولم يتأثر أي مستخدم أو أموال طوال العملية.' تم نشر طلب السحب (pull request) للإصلاح العلني في 27 فبراير، لكن المدققين الخاصين كانوا قد أكملوا نشر الإصلاح قبل الالتزام العلني (public commit).
وفقًا لتقارير CoinDesk، كان هناك تباين واضح بين تقييم Aptos الرسمي وتقييم Hexens: قالت Aptos إن 'التحليل يشير إلى أن قابلية استغلال هذه الثغرة في ظروف العالم الحقيقي منخفضة جدًا'، بينما ردت Hexens بأنها لم تتلق حتى الآن أي دحض تقني قائم على الأدلة.
بعد مراجعة مستقلة لـ PoC، قال Mudit Gupta، كبير مسؤولي التكنولوجيا في Polygon: 'يعمل كما هو معلن، الثغرة منطقية... تحتاج إلى استيفاء عدة شروط، ويبدو أنهم حققوها بالفعل على الشبكة الرئيسية.'
بعد أن تحقق Grego AI من PoC، صرح الرئيس التنفيذي Justus Hanna صراحة: 'إذا حصل الجهات الخبيثة على هذه الثغرة، فبإمكانهم أخذ أي TVL (القيمة الإجمالية المقفلة) يريدونه.'
وفقًا لتقييمات Hexens وGrego AI، ينقسم حجم مخاطر هذه الثغرة إلى مستويين:
التعرض المباشر لـ TVL الأصلي لـ Aptos (تقييم Grego AI): بناءً على نسبة نجاح الهجوم التي تقترب من 90%، فإن حوالي 250 مليون دولار من TVL الأصلي لـ Aptos مهدد بشكل مباشر، دون تضمين التعرض عبر السلاسل (cross-chain).
المخاطر النظامية (تقييم Hexens): تصل إلى 70 مليار دولار، وتغطي الجسور عبر السلاسل، أنظمة الرسائل عبر السلاسل، عمليات إدارة إصدار العملات المستقرة، والأصول التي يمكن الوصول إليها عبر البورصات المركزية؛ هذا الرقم يفترض أن المهاجم يصدر كمية كبيرة من USDC وينقل الأصول إلى سلاسل أخرى عبر بروتوكول التحويل عبر السلاسل (CCTP) من Circle.
حدود Circle: قالت Circle إنها لن تجمد الأصول دون تفويض قانوني، مما يعني أنه في حال تدخل الأطراف في الوقت المناسب، فإن احتمال تحقيق المخاطر البالغة 70 مليار دولار بالكامل محدود.
مخاطر انتشار سلسلة الثقة: يتم تخزين صلاحيات البروتوكول الرئيسية في لغة Move (سك العملات المستقرة، التحكم في الجسور عبر السلاسل، إدارة أسواق الإقراض) كـ 'موارد على السلسلة'؛ بمجرد اختراقها، ينتشر الضرر عبر سلسلة الثقة إلى جميع الأنظمة التي تعتمد عليها.
في الاختبار العملي، تمكنت Hexens من السيطرة على دور يشبه 'master minter'، وعملت عبر مسار إداري شرعي، وتوقفت قبل سك العملة الفعلي، لكن هذا كافٍ لإثبات أن هذه الأدوار يجب أن تُدرج في نموذج التهديد الكامل.
وفقًا للتقرير الفني لـ Hexens، هذه 'ثغرة في ذاكرة التخزين المؤقت القديمة (stale-cache bug)' تؤدي إلى 'ارتباك النوع (type confusion)'؛ يتم خداع البرنامج ليعتبر موردًا على السلسلة على أنه نوع آخر، متجاوزًا ضمانات أمان النوع في لغة Move، وهو ما يعادل السماح للكود الذي يتحكم به المهاجم بالكتابة مباشرة في مساحة تخزين العقود الأخرى.
وفقًا للبيان الرسمي لـ Aptos، تم إكمال الإصلاح واختباره ونشره على الشبكة الرئيسية في غضون ساعات بعد الإبلاغ عن الثغرة في 25 فبراير 2026، مع نشر المدققين الخاصين للإصلاح في وقت سابق؛ تم نشر PR العام في 27 فبراير؛ قالت Aptos إنه لم يتأثر أي مستخدم أو أموال طوال العملية.
وفقًا لتقييم Hexens، تغطي الـ 70 مليار دولار الجسور عبر السلاسل، أنظمة الرسائل عبر السلاسل، إصدار العملات المستقرة، والأصول التي يمكن الوصول إليها عبر البورصات المركزية؛ يفترض ذلك أن المهاجم يصدر كمية كبيرة من USDC وينقلها عبر Circle CCTP إلى سلاسل أخرى. قالت Circle إنها لن تجمد الأصول دون تفويض قانوني، فإذا تدخلت الأطراف في الوقت المناسب، فإن احتمال تحقق المخاطر بالكامل محدود.
أخبار ذات صلة
ثغرة في Hinkal DeFi تتسبب في خسائر بقيمة 820 ألف دولار، و410 إثيريوم متورطة في غسل الأموال.
مراقبة من متداول معروف: سهم Strategy يشتبه في بيعه 491 بيتكوين، ولا تزال صحة الخبر بحاجة إلى التحقق.
Drift Protocol يُعاد تسميته إلى Velocity DEX، خطة إعادة تشغيل بعد سرقة 280 مليون دولار
انخفضت خسائر اختراقات العملات المشفرة إلى 75.9 مليون دولار في يونيو، ويتصدر اختراق Humanity القائمة.