ما هي ثغرة العقد الذكي في 0G التي تسببت في سرقة 520,010 رمز خلال ديسمبر 2023؟

ثغرة CVE-2025-66478 في Next.js: كيف أدى تسريب المفتاح الخاص لـ Alibaba Cloud إلى سرقة 520,010 رمز

تشكل ثغرة تنفيذ الأوامر عن بعد الحرجة CVE-2025-66478 في إصدارات Next.js قبل الإصدار 14.0 تهديدًا جديًا لتطبيقات الويب، خصوصًا عند اقترانها باعتمادات مصادقة مخترقة. تستغل هذه الثغرة عملية فك التسلسل غير الآمنة في مكونات React Server، إذ تمكن المهاجمين من تنفيذ أوامر برمجية عشوائية عبر طلبات HTTP مصممة خصيصًا لنقاط نهاية وظائف الخادم. تعكس درجة الخطورة 9.8 وفق تصنيف CVSS حجم المخاطر الكبير، إذ تبقى إعدادات Next.js الافتراضية معرضة للخطر دون تعديلات صريحة في الشيفرة.

عند تسريب بيانات اعتماد البنية التحتية—كما في حادثة تسريب المفتاح الخاص لـ Alibaba Cloud في سبتمبر 2022—يتسع نطاق الهجوم بشكل كبير. تمنح بيانات الاعتماد المخترقة المخزنة في أماكن غير محمية للمهاجمين وصولًا مباشرًا إلى موارد السحابة والأنظمة الداخلية. في واقعة 0G Labs، أدى هذا التداخل إلى نتائج كارثية، إذ تم الاستيلاء على 520,010 رمز بقيمة تقارب 516,000 دولار أمريكي من عقد المكافآت الخاص بالمشروع.

توضح سلسلة الاستغلال كيف تتفاقم إخفاقات الأمان المتعددة. استغل المهاجمون ثغرة Next.js لتحقيق تنفيذ أولي للشيفرة، ثم استعملوا بيانات اعتماد Alibaba Cloud المكشوفة للوصول إلى الأنظمة الحساسة والتفاعل مع العقود الذكية. أكدت تحليلات السلسلة حدوث الخرق، موضحة مسار الهجوم الدقيق عبر تقنيات تلوث النماذج التي تجاوزت فحوصات الأمان. تؤكد هذه الحادثة ضرورة ترقية Next.js إلى الإصدار 14.0 فما فوق، وتطبيق إدارة صارمة لبيانات الاعتماد، وتدوير جميع رموز المصادقة المكشوفة بشكل فوري. على المؤسسات اعتماد استراتيجيات دفاع متعددة تجمع بين تصحيحات أمان التطبيقات وحماية البنية التحتية الشاملة لتفادي إخفاقات متسلسلة مماثلة.

استغلال وظيفة السحب الطارئ: خلل في تصميم العقد الذكي يسمح بتجاوز ضوابط الصلاحيات

أعلنت مؤسسة ZeroGravity (0G) عن حادث أمني بالغ الخطورة، إذ استغل مهاجمون ثغرة حرجة في وظيفة السحب الطارئ. جاء الاستغلال نتيجة تنفيذ غير صحيح لضوابط الصلاحيات في تصميم العقد الذكي. تمكن المهاجمون من تجاوز آليات التفويض، ما أتاح لهم تنفيذ عمليات سحب طارئة كان يفترض أن تقتصر على الأطراف المخولة فقط. أدى هذا الهجوم إلى سرقة أكثر من 520,000 رمز 0G، وهو ما يمثل خسارة كبيرة من احتياطيات البروتوكول.

رغم ذلك، تبرز الحادثة فارقًا مهمًا فيما يخص أمان أصول المستخدمين. فعلى الرغم من اختراق وظيفة السحب الطارئ، ظلت أموال المستخدمين الأساسية المخزنة في المحافظ الفردية آمنة تمامًا ولم تتأثر بالثغرة. تم نقل الرموز المسروقة إلى شبكة بلوكشين أخرى وغسلها من خلال Tornado Cash، وهو أداة خلط معاملات تُستخدم لإخفاء مسارات التحويلات. يشير هذا السلوك التقني إلى رغبة المهاجم في إخفاء مصدر الأموال ومنع تتبعها. وتبرز الحادثة صعوبة تأمين العقود الذكية، خاصة فيما يتعلق بضوابط الصلاحيات وتصميم الوظائف الإدارية. على المشاريع تطبيق تحقق صارم من ضوابط الوصول واعتماد الموافقة متعددة التوقيع للوظائف الطارئة الحساسة لتفادي استغلالات مماثلة.

مخاطر البنية التحتية المركزية: اعتماد خدمات السحابة الخارجية يفتح منافذ خلفية رغم لامركزية البلوكشين

يطرح قطاع البلوكشين نفسه كنموذج لامركزي، لكنه يعتمد فعليًا على مزودي البنية التحتية السحابية المركزية. يخلق هذا الاعتماد ثغرات أمنية جوهرية تقوض مبادئ البلوكشين الأساسية. تدخل خدمات السحابة الخارجية عدة مسارات للمخاطر تشمل تسريبات البيانات، وثغرات واجهات البرمجة، وسوء التهيئة، ما يتعارض مع فلسفة اللامركزية.

جاءت الحوادث الأمنية في 2025 لتؤكد هذه الثغرات بوضوح. فقد تسبب انقطاع AWS في أكتوبر في شل منصات العملات الرقمية وخدمات التحليل خلال ساعات، بينما أدت انقطاعات Cloudflare إلى تعطل تطبيقات بلوكشين حول العالم. كشفت هذه الأحداث كيف تصبح الشبكات اللامركزية نقاط فشل واحدة عند اعتمادها على بنية تحتية مركزية.

إضافة للانقطاعات، يخلق الاعتماد البنيوي منافذ خلفية عبر واجهات برمجة غير آمنة، وتسريب بيانات الاعتماد، واعتماديات ضعيفة. تتحمل المؤسسات المالية ومنصات البلوكشين مسؤولية مشتركة عن الأمان، لكنها غالبًا تفتقر لضوابط كافية على تهيئة السحابة الخارجية. يستمر هذا الضعف البنيوي رغم الخطاب حول اللامركزية، ما يكشف عن تناقض يهدد استقرار المنظومة وأمان أصول المستخدمين.

إجراءات ما بعد الحادث: استجابة مؤسسة 0G بتدوير المفاتيح الخاصة، وتطبيق بيئة التنفيذ الموثوقة، وحماية البنية التحتية الأساسية

بعد وقوع الحادث الأمني، نفذت مؤسسة 0G استراتيجية شاملة لتعزيز مرونة الشبكة وبنيتها الأمنية. ألغت فورًا المفاتيح التشفيرية المخترقة وفعّلت بروتوكولات تدوير المفاتيح الخاصة لمنع الوصول غير المصرح به وضمان حماية مستمرة للعمليات الحساسة. بالتزامن، تم دمج تقنية بيئة التنفيذ الموثوقة (TEE) ضمن بنية الشبكة، ما أتاح تنفيذًا آمنًا داخل بيئات مادية معزولة تحمي من التهديدات الخارجية والثغرات الداخلية. يتوافق هذا الإجراء مع نحو 60% من أفضل الممارسات الأمنية العالمية، مما يبرز التزام المؤسسة بتبني تدابير حماية مثبتة. إضافة لذلك، عززت المؤسسة بنية الثقة الصفرية، مع فرض متطلبات تحقق صارمة على جميع المشاركين والاتصالات في الشبكة. تعمل هذه التدابير المتكاملة—تدوير المفاتيح الخاصة، نشر TEE، وبنية الثقة الصفرية—معًا لتوفير مستويات متعددة من الحماية. وتعكس استجابة المؤسسة بعد الحادث فهمًا ناضجًا لمتطلبات أمان البلوكشين وتؤكد التزامًا استباقيًا بالحفاظ على سلامة النظام البيئي لجميع الشركاء والمستخدمين.

الأسئلة الشائعة

ما هو 0G Crypto؟

0G هو بلوكشين معياري من الطبقة الأولى يهدف إلى لامركزة بنية الذكاء الاصطناعي. يجمع بين التخزين القابل للتوسع والحوسبة القابلة للتحقق، ما يمكّن من تنفيذ عمليات الذكاء الاصطناعي وإدارة البيانات بكفاءة على السلسلة.

كم تبلغ قيمة عملة 0G اليوم؟

تبلغ قيمة عملة 0G حاليًا 1.13 دولار أمريكي، مع زيادة بنسبة 32.15% خلال 24 ساعة. وصل حجم التداول خلال 24 ساعة إلى 169,412,303 دولار أمريكي، ما يعكس نشاطًا قويًا في السوق واهتمامًا متزايدًا من المستثمرين في منظومة 0G.

ما هو مستقبل 0G Labs؟

تهدف 0G Labs إلى تمكين المستخدمين من امتلاك نماذج الذكاء الاصطناعي الخاصة بهم، والتحكم فيها، وتحقيق الدخل منها باستقلالية، مع تقليل الاعتماد على شركات التقنية الكبرى وتوسيع المشاركة العالمية في اقتصاد الذكاء الاصطناعي.