أمضت شركة هايبربريدج الأيام الثلاثة الماضية وهي تُطمئن السوق بأن الخسائر التي تكبدتها جراء خسائرها في 13 أبريل/نيسان كانت قابلة للإدارة. ولكن في تحديثها بشأن التعافي اليوم، 16 أبريل/نيسان، كشفت الشركة أن التقدير الأولي للخسائر، والذي حُسب بمبلغ 237 ألف دولار، كان في الواقع حوالي 2.5 مليون دولار.
أدى هذا التضاعف الكبير في الحساب، والذي يقارب عشرة أضعاف، إلى زيادة خطورة الثغرة الأمنية بشكل ملحوظ، ويزداد الأمر تعقيدًا نظرًا لكونهاdent متعددة المراحل دون وجود خطة زمنية واضحة للتعافي. ويأتي هذا أيضًا في أعقاب مزحة كذبة أبريل التي أطلقتها شركة هايبربريدج، حيث ادعت فيها أن مجموعة لازاروس هي من اخترقتها.
كيف تحول مبلغ 237 ألف دولار إلى 2.5 مليون دولار؟
استند الرقم المتداول في مصادر الأخبار، DOT ) المُرتبطة بشبكة Ethereum . واتضح لاحقًا أن هذا لم يكن سوى الجزء الأكثر وضوحًا من هجوم استمر قرابة ساعة قبل اختفاء المبلغ.
بحسب مدونة تحديث التعافي ، فقد حدث الاختراق على مرحلتين. تمثلت المرحلة الأولى في عملية سحب هادئة trac trac TokenGateway ذي صلة قبل بدء المرحلة الثانية.
بعد ساعة، تجاوزت رسالة مزيفة عبر السلسلة منطق التحقق من إثبات سلسلة جبال ميركل الخاصة بـ Hyperbridge، مما منح المخترق السيطرة الإدارية علىtracرمز DOT الموصول وسمح له بسك ما يقرب من مليار رمز DOT موصول، والتي تم طرحها لاحقًا في منصات تداول لامركزية أخرى.
السبب الجذري المؤكد للهجوم، كما dent BlockSec Phalcon، trac الحدود المفقود في وظيفة VerifyProof() الخاصة بعقد Hyperbridge's Handler V1 ، والذي كُتب منذ أكثر من عامين.
كما أن الرقم الأولي البالغ 237 ألف دولار لم يأخذ في الاعتبار الخسائر الناتجة عن مجموعات الحوافز التي تعمل عبر سلاسل EVM الأربعة المتأثرة.
بعد أن سجل هايبربريدج جميع أنشطة المهاجمين عبر Ethereum ، وبيس، BNB وأربيتروم، فإن الهيكل ذو المرحلتين للهجوم بالإضافة إلى خسائر المجمع المرتبطة به قد عدل الإجمالي الأولي إلى ما يقرب من 2.5 مليون دولار أمريكي بقيمة إيثيريوم DOT في وقت الاختراق.
مزحة كذبة أبريل التي لا يمكن أن تبدو أسوأ من ذلك عند النظر إليها بأثر رجعي
يأتي اختراق هايبربريدج بعد اثني عشر يومًا بالضبط من نشر هايبربريدج مزحة بمناسبة كذبة أبريل، زعمت فيها أن مجموعة لازاروس الكورية الشمالية سرقت 37 مليون دولار من البروتوكول. وارتبط الإعلان بمنشور مدونة محذوف يشرح "لماذا لا يمكن اختراق هايبربريدج"
تاريخياً، Hyperbridge نفسها كطبقة تشغيلية قائمة على البرهان توفر أمانًا كاملاً للعقدة لجسور السلاسل المتعددة، وهي الآلية التي استخدمها الاختراق الذي وقع في 13 أبريل للاختراق.
في تحديثها اليوم، تناول فريق Hyperbridge ذلك بشكل مباشر، دون تردد: "ما أوضحته هذه الثغرة، بشكل مكلف، هو أن منطق التحقق يحتاج إلى عمليات تدقيق واختبارات معادية أكثر تكرارًا في كل طبقة من طبقات النظام."
متى يمكن لمستخدمي هايبربريدج توقع الحصول على تعويض؟
أكدت شركة هايبربريدج الآن أنه تم tracجزء كبير من الأموال المسروقة على سلسلة الكتل إلى منصة Binance، لكنها قالت إنها لن تكشف عن تفاصيل محددة حتى لا تضر بالتحقيق الجاري.
كما أوضح البروتوكول الإجراءات التي ستُتخذ في حال فشل عملية الاسترداد. فإذا لم يتم تعويض المستخدمين المتضررين بالكامل عبر قنوات أخرى، تلتزم هايبربريدج بتخصيص منظم لرموز BRIDGE لتغطية الخسارة المتبقية.
سيتم الكشف عن جدول صرف الأموال وتفاصيل التقييم في 13 أبريل 2027، أي بعد عام واحد من الاستغلال.
ستظل عمليات بوابة الرموز متوقفة حتى يتم استيفاء ثلاثة شروط: إصلاح الثغرة الأمنية بالكامل، ومراجعة التصحيحdentمع نشر التقرير، وتفعيل إجراءات الحماية الإضافية.
بوابة نوايا Hyperbridge والمنتجات المبنية عليها لم تتأثر بالثغرة الأمنية واستمرت في العمل بشكل طبيعي.
