رصد وأكد PeckShield في 22 مايو أن مهاجم جسر عبر السلاسل Verus-إيثيريوم أعاد إلى عنوان Verus الرسمي 4,052.4 من ETH (قرابة 8.5 مليون دولار)، أي 75% من إجمالي 5,402.4 من ETH بعد دمج الأصول المسروقة؛ بينما بقيت 1,350 من ETH (قرابة 2.85 مليون دولار، 25%) كجائزة عن الثغرة محفوظة في محفظة المهاجم.
آلية الهجوم: كيف يُستغل فجوة التحقق من المدخلات لسرقة أصول بقيمة عشرات الملايين بتكلفة منخفضة
أكدت السلطات الرسمية في Verus وتحليلات على السلسلة أن الهجوم لم يكن نتيجة تسريب مفتاح خاص أو تزوير توقيع، بل استغلالٌ لبنية ذات «فجوة التحقق من المدخلات» في عقد الجسر: بدأ المهاجم على سلسلة Verus معاملة حقيقية منخفضة القيمة (حوالي 0.01 دولار من VRSC)، لكنه أدخل في Payload (حِمل البيانات) الخاص بالتحويل عبر السلسلة كمية من الرموز أعلى بكثير من مبلغ القفل الفعلي. ثم فشل عقد الجسر في مرحلة التحقق من مطابقة المبلغ المُصرّح به في الـ Payload مع المبلغ الفعلي المُقفل على السلسلة المصدر، ما أدى إلى تضليله وإطلاق أموال احتياطية من الجسر بقيمة تفوق بكثير قيمة التحويل الواردة فعليًا. بعد وقوع الحادث، علّقت شبكة Verus مؤقتًا، وقام معظم مُخرجي الكتل بتوقيف أنفسهم طوعًا لمنع المزيد من الخسائر.
الشروط المؤكدة لمفاوضات جائزة المعروض على السلسلة وحدود الإعفاء
في اقتراح على السلسلة بتاريخ 21 مايو، أكدت Verus الشروط التالية، وقد تم اعتمادها كاتفاق رسمي مُسجل علنًا على سلسلة إيثيريوم:
متطلبات الإرجاع: يجب إعادة 4,052.4 من ETH إلى العنوان المحدد قبل الموعد النهائي خلال 24 ساعة
إقرار الجائزة: بعد اكتمال الإرجاع، ستعترف Verus رسميًا بأن 1,350 من ETH المحتجزة هي جائزة ثغرة قانونية
التزام التحقيق: ستبذل Verus قصارى جهدها لإيقاف التحقيقات القائمة، وتجنب بدء تحقيقات جديدة
التزام قانوني: ستتجنب Verus رفع دعوى قضائية
إعلان علني: ستعترف Verus علنًا بطبيعة الجائزة للأموال المحتجزة
حدود مهمة: لا تُلزم التعهدات المذكورة الجهاتَ المكلفة بإنفاذ القانون أو البورصات أو مُقدمي البنية التحتية أو أي أطراف ثالثة أخرى — يمثل هذا الاتفاق فقط موقف فريق Verus الرسمي
الأسئلة الشائعة
ما الدلالة التقنية المحددة لفجوة التحقق من المدخلات في جسر Verus عبر السلاسل؟
تشير فجوة التحقق من المدخلات (Validation Gap) إلى أن عقد الجسر عند معالجة طلبات التحويل عبر السلاسل لا يطابق ولا يتحقق من أن قيمة الرموز المُصرّح بها في Payload تتوافق مع قيمة الرموز الفعلية المُقفلة على السلسلة المصدر. وهذا يسمح للمهاجم بإجراء معاملة قانونية على السلسلة المصدر بمبلغ ضئيل للغاية (حوالي 0.01 دولار)، وفي الوقت نفسه يُصرّح في الـ Payload بمبلغ أعلى بكثير من القيمة الفعلية. عندها يفترض عقد الجسر على السلسلة المستهدفة صحة الأرقام الواردة في الـ Payload، ما يؤدي إلى إطلاق أموال احتياطية تفوق القيمة الفعلية بكثير. تنتمي هذه الفئة من الثغرات إلى عيوب تصميم على مستوى منطق العقود الذكية، وهي من النوع نفسه من أنماط هجمات الجسور مثل «فجوة التحقق من الرسائل للتجربة» في Map Protocol Butter Bridge V3.1.
هل يُعد تخصيص 25% من الجائزة ترتيبًا شائعًا في مفاوضات هجمات جسور DeFi؟
تُعد نسبة الجائزة البالغة 25% مستوى مرتفعًا نسبيًا ضمن فئات الجوائز التقليدية عن الثغرات، لكنها ليست غير شائعة في مفاوضات الاسترداد لهجمات الجسور عندما تكون الأموال قد تم دمجها ويصعب تجميدها. في مثل هذه الحالات، عادةً ما يختار القائمون على المشروع تقديم جائزة مقابل إعادة المهاجم طوعًا للأصول، لتفادي اختفاء الأموال بالكامل عبر الخلطات أو أدوات الخصوصية. سبق أن استخدمت واقعة Renegade Dark Pool نمطًا مماثلًا من مفاوضات على السلسلة، إذ سمحت للمهاجم بالاحتفاظ بجزء من الأصول كبديل، ما مكّن من استرداد معظم الأموال.
هل يمكن أن تحمي التعهدات التعاقدية لـ Verus المهاجمين فعليًا من الملاحقة القانونية؟
تنص Verus في الاتفاق بوضوح على أن تعهداتها (إيقاف التحقيق وعدم رفع دعوى قضائية) تُلزم Verus نفسها فقط، ولا يمكنها أن تُلزم جهات إنفاذ القانون أو البورصات أو مُقدمي بنية التحتية على السلسلة أو أي أطراف ثالثة أخرى. وهذا يعني أنه إذا تم تعقب سلوك المهاجم على السلسلة بعد إعادة الأموال عبر جهات إنفاذ القانون أو أنظمة KYC لدى البورصات أو عبر شركات تحليل على السلسلة، فلن يمكن اعتبار تعهدات Verus أساسًا للإعفاء. كما أن المهاجم، قبل قبول ترتيب الجائزة، كان قد أكمل عملية خلط للأموال الأولية عبر Tornado Cash قبل 14 ساعة، ما قد يزيد أيضًا من صعوبة تعقب عمليات إنفاذ القانون لاحقًا.
