CrossCurve جسر التبادل عبر السلسلة يتعرض للاختراق وخسارة 3 ملايين دولار: ثغرة في العقود الذكية تذكرنا مرة أخرى بالتحذير

وراء سهولة التمويل عبر السلسلة، تظهر ثغرات أمنية كقنابل موقوتة تنفجر مرارًا وتكرارًا بطريقة مماثلة، مما يجعل الصناعة بأكملها تتأمل في الأمر.

في 2 فبراير 2026 بتوقيت بكين، أكد رسميًا بروتوكول السيولة عبر السلسلة CrossCurve (الاسم السابق EYWA)، الذي أيده مؤسس Curve Finance مايكل إيجوروف، أن بروتوكول الجسر عبر السلسلة يتعرض للهجوم بسبب ثغرة في العقود الذكية. قام المهاجمون بتزوير رسائل عبر السلسلة، متجاوزين التحقق الحاسم من البوابة، مما أدى إلى فتح رموز غير مصرح به، وسرقة حوالي 3 ملايين دولار من الأموال عبر عدة سلاسل.

ملخص الحدث: لماذا فشل نظام التحقق المتعدد؟

حوالي 31 يناير 2026، رصدت هيئة أمن البلوكتشين Defimon Alerts أن رصيد العقد الأساسي لـ CrossCurve، وهو PortalV2، انخفض من حوالي 3 ملايين دولار تقريبًا إلى الصفر تقريبًا. بسرعة، أصدرت CrossCurve إعلانًا طارئًا على منصة X: “شبكة الجسور لدينا تتعرض للهجوم حاليًا، والمهاجمون استغلوا ثغرة في عقد ذكي معين. أثناء التحقيق، يرجى إيقاف جميع التفاعلات مع CrossCurve.”

السخرية أن CrossCurve كانت سابقًا تروج لنظام التحقق المتعدد في “جسر التوافق” كميزة رئيسية. هذا النظام يدمج Axelar وLayerZero وشبكة EYWA الخاصة بها، بهدف القضاء على نقطة فشل واحدة من خلال مصادر تحقق مستقلة متعددة. أعلن الفريق أن “احتمالية هجوم متزامن على عدة بروتوكولات عبر السلسلة تكاد تكون معدومة.”

تحليل الثغرة: فقدان التحقق القاتل

يكشف التحليل الأمني عن الجوهر التقني لهذا الهجوم. تكمن الثغرة في نقص تحقق بسيط يبدو أنه كافٍ لاختراق نظام التحقق المتعدد المعقد.

مسار الهجوم

وقع الهجوم في العقد ReceiverAxelar الخاص بـ CrossCurve. هذا العقد مسؤول عن استقبال الرسائل من شبكة Axelar عبر السلسلة وتنفيذ الأوامر ذات الصلة.

عادة، يجب أن تمر أي رسالة عبر السلسلة لتنفيذها عبر التحقق من توافق شبكة Axelar. لكن، وظيفة expressExecute في هذا العقد تحتوي على عيب قاتل. اكتشف المهاجمون أنهم يمكنهم استدعاء هذه الوظيفة مباشرة، وتمرير معلمات رسالة عبر السلسلة مزورة، دون أن يتحقق العقد من المصدر الحقيقي للرسالة بشكل كافٍ.

سير العملية

بمجرد قبول الأمر المزور، يرسل العقد أمر فك قفل الرموز إلى العقد المركزي PortalV2 المسؤول عن إدارة الأصول.

نظرًا لأن عقد PortalV2 يثق تمامًا في الأوامر القادمة من ReceiverAxelar، فإنه يطلق بشكل موثوق سراح الأصول المختلفة المقفلة في العقد إلى العنوان الذي يحدده المهاجم. يمكن تكرار هذه العملية حتى يتم نهب جميع الأصول الرئيسية داخل العقد.

تكرار التاريخ: جرح أمني لم يندمل منذ أربع سنوات

أثار هذا الحدث شعورًا بالصدمة في مجتمع أمن العملات المشفرة. عبّر الخبير الأمني تيلور مونيهان عن دهشته: “لا أصدق أن أربع سنوات مرت ولم يتغير شيء.” يقصد بذلك هجوم Nomad على جسر عبر السلسلة في أغسطس 2022، الذي هز الصناعة. حينها، استُهدف Nomad بسبب ثغرة تحقق تهيئة مماثلة، وسُرق حوالي 1.9 مليار دولار. والأكثر دهشة أن طريقة استغلال الثغرة كانت بسيطة جدًا، وتحولت بعد الحادث إلى “مهرجان سرقة”، حيث نسخ أكثر من 300 عنوان أساليب الهجوم لسرقة الأموال.

من Nomad إلى CrossCurve، تتشابه طرق الهجوم جوهريًا: كلها ناتجة عن نقص التحقق من مصدر الرسائل عبر السلسلة، وهو عنصر أمني أساسي. تكرار هذه المآسي يسلط الضوء على أن، على الرغم من تطور الصناعة بسرعة، إلا أن بعض قواعد تطوير العقود الذكية الآمنة ومعايير التدقيق لم تُطبق بشكل فعال.

ردود الفعل السوقية: أزمة ثقة وتقلبات سعرية

أدى الحدث الأمني بسرعة إلى ردود فعل متسلسلة في السوق. كانت علاقة CrossCurve مع بروتوكول DeFi الرائد Curve Finance وثيقة، حيث كان استثمار مؤسسي الأخير دعمًا مهمًا لسمعة الأول.

بعد الحادث، أصدرت Curve Finance بيانًا على منصة X، نصح فيه المستخدمين بـ"إعادة تقييم مراكزهم، والنظر في سحب التصويتات"، وأكد على ضرورة الحذر عند التفاعل مع “مشاريع طرف ثالث”. يُفسر هذا البيان الحذر على أنه محاولة واضحة لتجنب الضرر على سمعة الشركة.

ردود فعل السوق السائدة

وفقًا لبيانات Gate، حتى 2 فبراير 2026، انخفض سعر البيتكوين (BTC) خلال الـ 24 ساعة الماضية بنسبة -2.51% ليصل إلى 76,814 دولارًا.

وفي الوقت نفسه، تغير سعر الإيثيريوم (ETH) بنسبة -7.42% ليصل إلى 2,271.18 دولار. على الرغم من أن تقلبات السوق ناتجة عن عوامل متعددة، إلا أن الثغرة الأمنية الكبيرة في بروتوكولات DeFi الرئيسية زادت من حالة الحذر في السوق.

تأملات الصناعة: مفارقة أمان الجسور عبر السلسلة

تعيد حادثة CrossCurve إلى الأذهان الإجماع السائد بأن “جسور السلسلة هي الحلقة الأضعف في عالم التشفير”. سواء كانت Ronin التي خسرت 6.25 مليار دولار، أو Wormhole التي خسرت 3.25 مليار دولار، أو هذه الحادثة، فهي تؤكد صحة هذا الرأي.

مفارقة أمان الجسور عبر السلسلة تكمن في أن، لتحقيق حرية تدفق الأصول بين سلاسل مختلفة، يجب أن تبني نظام ثقة وتحقق في مراكز تحكم متعددة، كل منها يختلف في النموذج الأمني. وإذا كانت هذه المراكز (العقود الذكية) تحتوي على ثغرات منطقية، فإنها تصبح نقطة فشل واحدة للمجموعة بأكملها من الأموال. حتى مع تصميم CrossCurve لنظام تحقق متعدد خارجي، فإن عيوب تنفيذ عقده الذكي يمكن أن تجعل جميع الحماية الخارجية بلا فائدة.

التطورات الأخيرة وتوجيهات للمستخدمين

في مواجهة تدفق الأموال المستمر وضغوط الرأي العام، اتخذ فريق CrossCurve إجراءات أزمات بعد الكشف عن الحادث. وفقًا لبيانهم الرسمي الأخير، حددوا فترة استرداد أموال مدتها 72 ساعة. ودعوا حاملي العناوين المعنية إلى التعاون في استرداد الأموال التي تم تحويلها عن طريق الخطأ، ووفقًا لسياسة الإفصاح عن المسؤولية “للحماية القانونية”، وعدوا بتقديم مكافأة تصل إلى 10% من الأموال للهاكر الأخلاقي.

إذا لم يتم التوصل إلى تسوية خلال المدة المحددة، يعتزم الفريق تصعيد الإجراءات، بما في ذلك بدء دعاوى قضائية، والتعاون مع البورصات، ومصدري العملات المستقرة لتعقب وتجميد الأصول ذات الصلة.

خلال 24 ساعة بعد الحادث، انخفض سعر البيتكوين بنسبة 2.51%، بينما هبط سعر الإيثيريوم بنسبة أكبر، بلغت 7.42%. يرد السوق على هذا الانهيار في الثقة الناتج عن عيوب الكود بأرقام باردة.

تعد العد التنازلي لـ 72 ساعة لـ"ملاذ آمن" الذي أطلقه فريق CrossCurve يتسارع. تظهر سجلات المعاملات على متصفح البلوكتشين أن الأموال المسروقة لا تزال في عناوين المهاجمين، ولم يتم نقلها على نطاق واسع بعد. هل ستنتهي هذه العاصفة التي سببها خطأ في التحقق بكلمة “القبول من قبل الهاكر الأخلاقي”، أم ستتحول إلى معركة طويلة لاسترداد الأصول عبر الحدود، لا تزال الإجابة معلقة في الهواء.