عملة بروتوكول الخريطة MAPO تنخفض 96% بعد استغلال الجسر الذي يُنتج كوادريليون عملة

عنوان: ينهار MAPO بنسبة 96% بعد استغلال ثغرة في الجسر وطباعة كوينات بقيمة بليون تريليون — يوقف بروتوكول ماب التشغيل الرئيسي ويستعد للهجرة انخفض رمز MAPO الأصلي لبروتوكول ماب بنسبة حوالي 96% بعد أن استغل المهاجمون ثغرة في جسر Butter Network متعدد السلاسل لطباعة كمية هائلة من الرموز غير المصرح بها. وفقًا لشركة أمن البلوكشين Blockaid، أنشأ المهاجم حوالي بليون تريليون MAPO — أي حوالي 4.8 مليون ضعف العرض الشرعي البالغ حوالي 208 مليون — ثم باع حوالي مليار MAPO في حاويات السيولة على Uniswap، مما أدى إلى تدمير السوق. الحقائق الرئيسية: - الكمية المطبوعة: حوالي بليون تريليون MAPO (≈ 4.8 مليون ضعف العرض الشرعي البالغ حوالي 208 مليون) - الكمية المباعة في السوق: حوالي مليار MAPO في حاويات Uniswap - الأرباح المحوّلة: حوالي 52 ETH (ما يقارب 180,000 دولار) من المبيعات - الرصيد المتبقي للمهاجم: قريب من تريليون MAPO، والذي لا يزال يهدد حاويات وسيطات أخرى وقوائم البورصات - التأثير على السعر: انخفض MAPO من حوالي 0.003 دولار إلى ما يقارب 0.0001 دولار خلال ساعات (انهيار بنسبة 96%)، وفقًا لـ CoinGecko - مصدر الثغرة: خطأ في عقد Solidity في طبقة OmniServiceProxy V3.1 للجسر، وليس سرقة مفاتيح أو فشل في التحقق من عميل خفيف كيف عمل الاستغلال (تحليل تقني مختصر) أظهر تحقيق Blockaid أن المهاجم قدم أولًا رسالة موقعة من قبل متعدد التوقيعات للـ oracle بشكل قانوني، ثم نشر عقدًا خبيثًا في عنوان محدد. ثم أعاد إرسال رسالة متعددة السلاسل بطلب "إعادة المحاولة" مع تعديل دقيق في حمولتها. وبما أن الجسر كان يُ authenticates عمليات إعادة المحاولة باستخدام keccak256(abi.encodePacked(...)) عبر عدة حقول متغيرة الطول، فإن التجميع أنتج حدودًا غامضة (حيث يحذف abi.encodePacked بادئات الطول)، مما سمح بحدوث تصادم جعل إعادة المحاولة المُعدلة تبدو صالحة. وقبل الجسر الرسالة ونفذ طباعة غير مصرح بها. وتشير Blockaid إلى أن هذا كان ثغرة كلاسيكية في ترميز Solidity، وليس نتيجة اختراق مفاتيح خاصة أو فشل في التحقق التشفيري. رد بروتوكول ماب أكد بروتوكول ماب أن الخطأ يكمن في تنفيذ عقد Solidity، وقال إن عميله الخفيف ومتعدد التوقيعات للـ oracle لم يتعرضا للاختراق. وقد اتخذ الفريق الإجراءات التالية: - أوقف عمليات التشغيل الرئيسية وبدأ عملية الهجرة - أعلَن أن عنوان العقد الجديد وجدول زمني لأخذ لقطة الأصول سيتم نشرهما منفصلين - أوضح أن الرموز المخزنة في المحافظ المرتبطة بالمهاجم ستُستبعد من أي أحداث تحويل مستقبلية وتُلغى أثناء الهجرة السياق الأوسع: لا تزال مخاطر الجسور مرتفعة لقد كانت الجسور متعددة السلاسل هدفًا متكررًا هذا العام. وقارنت Blockaid وشركات أمنية أخرى هذا الحادث مع حالات فشل حديثة وسابقة حيث سمح إرسال رسائل مزورة أو غير مُحقَّقة بشكل صحيح بطباعة أو تحويل غير مصرح به — بما في ذلك استغلال جسر Verus (أكثر من 11.5 مليون دولار) وحوادث Nomad وWormhole عام 2022. ومن بين الهجمات الأخرى الحديثة على الجسور: استغلال TON-TAC بقيمة 2.68 مليون دولار في مايو (وتعافت المشروع من حوالي 80% من الأصول) وأحداث أمنية أبلغت عنها مشاريع مثل THORChain وTransit Finance وTrustedVolumes وEcho Protocol وEkubo وRetoSwap. ما الذي يفعله بروتوكول ماب بروتوكول ماب هو شبكة متعددة السلاسل مصممة لربط البيتكوين مع نظم مثل Ethereum وBNB Chain وTron وSolana، وتيسير التحويلات متعددة السلاسل للبيتكوين والعملات المستقرة والأصول المُرمّزة. ويؤكد هذا الحادث على المخاطر النظامية الكامنة في البنية التحتية للتفاعلية، حيث يمكن أن تؤدي دقة ترميز الرسائل ومنطق إعادة المحاولة والتحقق إلى تعطيلات كبيرة وسريعة. ما الذي يجب مراقبته بعد ذلك - جدول زمني لهجرة بروتوكول ماب وإعلان عن عنوان العقد الجديد - ما إذا كانت البورصات ومزوّدو السيولة سيقومون بإزالة أو حظر رموز MAPO التي يسيطر عليها المهاجم - أي تفاصيل إضافية من Blockaid أو مدققين مستقلين تؤكد نطاق الثغرة وإجراءات التصحيح هذا الحادث تذكير آخر بأن التحقق الآمن من رسائل الجسور وممارسات ترميز Solidity الآمنة لا تزال حاسمة لأمن الجسور.