تعرضت شبكة Port3 للاختراق وانخفضت قيمتها إلى الصفر! انهيار PORT3 بنسبة 82%، والإدارة تعلن الإلغاء والإصدار من جديد

شبكة Port3، وهي شبكة بيانات AI لامركزية، تعرضت لهجوم من قِبل قراصنة استغلوا ثغرة في التحقق من شروط الحدود في حل CATERC20 للرموز عبر السلاسل، ما سمح لهم بسك مليار عملة PORT3 بشكل غير قانوني وإغراق السوق، مما أدى إلى انهيار سعر العملة بنسبة 82% خلال ساعة واحدة. تواصلت Port3 مع منصات التداول المركزية لتجميد تدفق الرموز المشبوهة، وقررت إعادة إصدار الرمز ونشر عقد ذكي جديد. عملة PORT3 أصبحت شبه معدومة القيمة، وستعلن الإدارة عن توقيت التقاط الأصول وتوجيهات الإجراءات للمستخدمين.

ثغرة CATERC20 حولت اللامركزية إلى باب خلفي قاتل

أعلنت شبكة Port3 في 23 نوفمبر عبر منصة X عن سبب الاختراق، كاشفة كيف يمكن أن يتحول حل عبر السلاسل يبدو آمنًا إلى ثغرة كارثية. كان هدف PORT3 دعم التطوير على عدة سلاسل، لذا اعتمدت حل الرموز عبر السلاسل CATERC20 من @nexa_network. نظريًا، يسمح هذا الحل بتداول الرموز بين سلاسل البلوكشين المختلفة، ما يجعله جذابًا للمشاريع التي ترغب في بناء نظام بيئي متعدد السلاسل.

مع ذلك، يوجد في CATERC20 ثغرة في التحقق من شروط الحدود: عند التخلي عن ملكية الرمز (renounce ownership)، تقوم الدالة ذات الصلة بإرجاع القيمة 0، ما يصادف أنه يطابق شرط التحقق من المالك. هذا العيب التصميمي خطير جدًا في مجال العقود الذكية لأنه يفسر حالة “عدم وجود مالك” بشكل خاطئ على أنها “أي شخص يمكن أن يكون المالك”.

أوضحت Port3 أنها، لتعزيز اللامركزية، تخلت عن صلاحيات مدير العقد طواعية، لكنها دون قصد تركت بابًا خلفيًا للقراصنة. هذا القرار يتماشى مع روح العملات الرقمية، إذ غالبًا ما تتخلى المشاريع اللامركزية في مرحلة ما عن صلاحية المدير لإثبات أن الفريق لا يمكنه التلاعب بإمدادات الرموز أو وظائف العقد. لكن في تطبيق CATERC20، أصبح هذا الهدف النبيل نقطة ضعف قاتلة.

الأمر المقلق أكثر أن هذه الثغرة لم يتم اكتشافها في عمليات التدقيق الأمني السابقة، ما يكشف عن قصور تدقيق الأمن في البلوكشين حاليًا. كثير من شركات التدقيق تركز على أنماط الثغرات الشائعة، لكنها قد تفتقر لاختبار معمق لشروط الحدود في حلول عبر السلاسل المحددة. وبما أن CATERC20 حل محدود الانتشار نسبيًا، فقد لا يكون المنطق الخاص به واضحًا بالكامل لفريق التدقيق.

سير عملية استغلال ثغرة CATERC20

الخطوة الأولى: تخلت Port3 عن ملكية العقد بهدف اللامركزية

الخطوة الثانية: بعد renounce ownership، تعيد الدالة القيمة 0

الخطوة الثالثة: اكتشف القراصنة أن 0 يحقق شرط التحقق من المالك

الخطوة الرابعة: حصل القراصنة على صلاحية السك غير المشروع وسكوا مليار PORT3

الخطوة الخامسة: بيع كميات ضخمة في السوق تسبب بانهيار 82% خلال ساعة واحدة

انهيار 82% خلال ساعة وإيقاف عاجل للإيداع والسحب من المنصات

(المصدر: CoinMarketCap)

تسبب سك القراصنة مليار عملة PORT3 في ضربة مدمرة للسوق. في غضون ساعة واحدة فقط، انهار سعر العملة بنسبة 82%، وهو معدل هبوط نادر حتى في سوق العملات الرقمية. عادة، حتى الأخبار السلبية الكبيرة تحتاج ساعات أو أيام ليهضمها السوق. لكن عند تدفق رموز عديمة التكلفة بهذا الحجم، يصبح ضغط البيع فوريًا وساحقًا.

بعد الحادثة، أوضحت Port3 أنها تواصلت مع منصات التداول المركزية لتجميد تدفق الرموز المشبوهة. استجابت المنصات بسرعة وأوقفت عمليات الإيداع والسحب لرمز PORT3. تهدف هذه الإجراءات العاجلة لمنع القراصنة من تحويل الرموز غير القانونية إلى سيولة، وأيضًا لحماية مستخدمي المنصات من المزيد من الخسائر.

لكن لا يمكن إيقاف التداول في منصات التداول اللامركزية (DEX)، وهو أحد أسباب الانهيار السريع للسعر. قد يكون القراصنة باعوا كميات كبيرة عبر DEX قبل أن ينتبه المستثمرون، ما تسبب في خسائر فادحة. تظهر البيانات على السلسلة أن معظم التداولات حدثت في منصات مثل Uniswap، ولا يمكن عكسها أو تجميدها.

حاليًا، أصبحت عملة PORT3 شبه عديمة القيمة، حيث هبطت من سعرها قبل الهجوم إلى ما يقارب الصفر. بالنسبة لحاملي العملة، كان هذا كارثة حقيقية. المستخدمون الذين اشتروا أو احتفظوا بالعملة قبل الهجوم فقدوا تقريبًا كل استثماراتهم. ولهذا قررت الإدارة إعادة إصدار الرمز كخيار وحيد متاح.

القرار الرسمي: إعادة إصدار الرمز وإعادة تشغيل النظام البيئي

أمام واقع انهيار العملة، اتخذت Port3 قرارًا مصيريًا: إعادة إصدار الرمز ونشر عقد ذكي جديد لمعالجة المشكلة. هذا يعني أن رمز PORT3 الحالي سيعتبر لاغيًا، وسيتم استبداله برمز جديد. ستعلن الإدارة عن توقيت التقاط الأصول وتوجيهات الإجراءات، ليتمكن المستخدمون من استبدال الرموز القديمة بالجديدة بنسبة محددة.

استراتيجية “إعادة التشغيل” ليست الأولى في تاريخ العملات الرقمية. بعد اختراق The DAO عام 2016، صوت مجتمع الإيثيريوم على تنفيذ هارد فورك لإلغاء المعاملات المسروقة، مما أدى إلى وجود Ethereum (ETH) وEthereum Classic (ETC). إلا أن حالة Port3 مختلفة — فهي ليست انقسامًا في البلوكشين، بل إعادة إصدار لرمز مشروع واحد.

هناك عدة مسائل أساسية في إصدار الرمز الجديد. أولها اختيار توقيت التقاط الأرصدة (snapshot). يجب أن تحدد الإدارة توقيتًا قبل الهجوم لتسجيل أرصدة جميع الحاملين كأساس لتوزيع الرمز الجديد. هذا التوقيت حاسم — لو كان مبكرًا جدًا قد يستثني معاملات طبيعية، ولو كان متأخرًا قد يشمل معاملات تلاعب بها القراصنة.

ثانيًا، نسبة الاستبدال. أكثر الخيارات عدلًا هي 1:1، أي أن كل حامل لـ PORT3 القديمة يحصل على وحدة من العملة الجديدة. لكن نظرًا لأن بعض المستخدمين اشتروا بأسعار منخفضة جدًا أثناء الهجوم (محاولة للشراء عند القاع)، قد تحتاج الإدارة لتصميم آلية توزيع أكثر تعقيدًا لتحقيق التوازن بين جميع الأطراف.

ثالثًا، أمان العقد الجديد. مصدر الهجوم كان خللًا في CATERC20، لذلك قد يلزم استخدام حل تقني مختلف للرمز الجديد. ربما تتخلى Port3 عن CATERC20 وتستخدم حل جسر عبر السلاسل أكثر نضوجًا، أو تركز أولًا على النشر على سلسلة واحدة حتى يصبح الحل متعدد السلاسل أكثر أمانًا.

ذكّرت الإدارة المستخدمين بعدم النقر على الروابط غير الرسمية أثناء فترة الاستبدال لتجنب الاحتيال. هذا التنبيه مهم جدًا، فغالبًا ما يستغل المحتالون الأزمات ويرسلون رسائل تصيد أو مواقع تبادل مزورة لخداع المستخدمين وسرقة مفاتيحهم. يجب على المستخدمين الاعتماد فقط على قنوات Port3 الرسمية على تويتر والموقع الرسمي وقنوات الإعلانات.

تحديات Port3 Network المستقبلية وإعادة بناء الثقة المجتمعية

تسبب هذا الهجوم في أضرار لـ Port3 Network ليست اقتصادية فقط، بل تمس الثقة أيضًا. قد يتساءل المستثمرون: إذا عجز الفريق عن اكتشاف خلل CATERC20 في المرة الأولى، كيف يمكنهم ضمان عدم تكرار ذلك مع الرمز الجديد؟ وإذا فشل التدقيق الأمني في كشف الثغرة، فما مدى مصداقية تدقيق الرمز الجديد؟

تحتاج Port3 Network لاتخاذ عدة خطوات لإعادة بناء الثقة. أولًا، نشر تقرير تحقيق شفاف يشرح تفاصيل الثغرة وتقنيات الهجوم وكيفية تعامل الفريق. ثانيًا، تعيين عدة شركات أمنية رائدة لتدقيق العقد الجديد ونشر نتائج التدقيق للعامة. ثالثًا، إطلاق برنامج مكافآت للثغرات لتشجيع قراصنة القبعات البيضاء على البحث عن مشاكل محتملة.

من منظور أوسع، قدمت هذه الحادثة درسًا لصناعة العملات الرقمية ككل. اللامركزية هي جوهر الفكرة، لكن يجب التأكد من اختبار العقود الذكية بالكامل وخلوها من ثغرات الحدود قبل التخلي عن صلاحيات المدير. وحلول عبر السلاسل توسع النظام البيئي، لكنها تتطلب فحصًا دقيقًا عند إدخال تقنيات طرف ثالث.