استنزف مهاجم تقريبًا 4.67 مليون دولار من جسر Secret (SCRT) المرتبط بـ Axelar (AXL)، عبر استغلال عقد معيب قام بسك توكنات غير مدعومة من العدم.
النقاط الرئيسية:
- عقد معيب على شبكة Secret سمح لمهاجم بسك توكنات غير مدعومة، ما أدى لاستنزاف نحو 4.67 مليون دولار.
- بقيت السرقة مخفية لمدة سبعة أيام إلى أن كشف تحويل فاشل عن خلو حساب الضمان.
- عطّلت Axelar الاتصالات المتأثرة وأكدت أن بروتوكولها الأساسي لم يُمس.
خسارة ملايين على جسر شبكة Secret
بدأت السرقة في 10 يونيو لكنها مرت دون أن يلاحظها أحد لمدة سبعة أيام، لأن Secret تقوم بتشفير الأرصدة افتراضيًا، ولم يظهر الضمان المفقود على السلسلة. لم تُكتشف العملية إلا في 17 يونيو، عندما فشل تحويل اعتيادي بين السلاسل بسبب نفاد رصيد حساب الضمان. بعد ذلك تتبّع المحققون النقص إلى سبع سحوبات مشبوهة جرت في يوم البداية.
منصة Axelar أكدت الخسارة في 19 يونيو، وعطّلت خلال ساعات اتصالات Secret وSecret-SNIP المتأثرة، مع التشديد على أن بروتوكولها الأساسي لم يُمس. وقال الفريق إنه تواصل مع البورصات وجهات إنفاذ القانون لتعقب الأموال، إذ لا يزال نحو 672,000 دولار منها مجمدًا في المحفظة الرئيسية للمهاجم.
اقرأ أيضًا: نزوح صناديق بتكوين المتداولة في البورصة يصل إلى رقم قياسي 6.35 مليار دولار، لكن موجة الذعر قد تهدأ
ثغرة السك اللانهائي خدعت العقد
كان العقد المعرض للاختراق يسك نسخًا مغلّفة على شبكة Secret من الأصول المُجسَّرة، لكنه لم يتحقق مطلقًا من القناة التي جاء منها الإيداع فعليًا، بل كان يطابق فقط اسم التوكن مع قائمة معتمدة.
شركة الأبحاث Common Prefix نشرت تقرير تشريح للحادثة يوضح كيف أدى هذا الفراغ الواحد إلى انهيار المنظومة. وبسبب أن الشبكة تُخفي التحويلات افتراضيًا، كان تتبع المهاجم أصعب بكثير مما لو كان ذلك على سجل عام شفاف بالكامل.
لاستغلال الثغرة، أنشأ المهاجم سلسلة بس.validator واحد، وفتح قناة غير مصرح بها، وقام ذاتيًا بترحيل حزم مزورة تحمل أسماء توكنات منسوخة مباشرة من قائمة السماح.
قبل العقد تلك الحزم وسك توكنات حقيقية قابلة للاسترداد دون أي ضمان وراءها على الإطلاق.
أدى استرداد تلك التوكنات المزيفة عبر القناة الحقيقية لاحقًا إلى تفريغ حساب الضمان عبر سبعة أصول مغلّفة. لم تكن الثغرة جديدة، إذ ذكرت الشركة أن المنطق نفسه موجود في الشيفرة منذ 2023 ونجا من عملية ترحيل في مارس 2026. وأضافت Secret أنه لم يُطلب أي تدقيق خارجي عندما بُني الجسر لأول مرة.
جسور السلاسل المتقاطعة ما زالت مكشوفة
تحركت الأموال المسروقة عبر Osmosis، حيث حوِّلت إلى إيثر (ETH) على منصة تداول لامركزية، ثم توزعت على عشرات المحافظ الجديدة قبل أن تصل في النهاية إلى ثلاث بورصات مركزية. بقي رد فعل السوق الأوسع فاتراً، إذ تراجع توكن Axelar بنحو 2.2% في ذلك اليوم، بينما ظل توكن Secret شبه مستقر.
مع ذلك، تُطيل هذه الخسارة عامًا قاسيًا للبنية التحتية بين السلاسل. فالجسور المبنية على نماذج قفل وسك مشابهة لا تزال السطح الأكثر عرضة للاستغلال في عالم الكريبتو، إذ تسببت ثغرات مماثلة في خسائر تجاوزت 340 مليون دولار عبر القطاع في عام 2026. وتشمل الحصيلة اختراقًا بقيمة 25 مليون دولار في Resolv، وخسارة 11 مليون دولار في Verus، وضربة بـ 4 ملايين دولار لـ IoTeX.
اقرأ التالي: روبوت JaredFromSubway يخسر 7.5 مليون دولار بعد وقوعه في فخه الخاص