Cryptonews

بعد 16.5 مليار دولار من الثغرات، تضطر DeFi الآن إلى اتباع الضوابط التي قاومتها ذات يوم

Source
CryptoNewsTrend
Published
بعد 16.5 مليار دولار من الثغرات، تضطر DeFi الآن إلى اتباع الضوابط التي قاومتها ذات يوم

أدت أزمة rsETH إلى ديون معدومة بقيمة 200 مليون دولار في دفاتر Aave، على الرغم من عدم وجود سطر واحد من عقودها يسيء التصرف.

في 18 أبريل، قام المهاجمون الذين ربطتهم تشيناليسيس بشكل مبدئي بـ لازاروس باختراق البنية التحتية لـ RPC، وأجبروا على تجاوز الفشل في العقد المسمومة عبر DDoS، وقاموا بإدخال بيانات خاطئة في تكوين DVN 1 من 1 على جسر rsETH الخاص بـ KelpDAO.

أصدرت الرسالة المزورة ما يقرب من 116,500 rsETH، وأكد تقرير حادثة Aave أن Ethereum قبلت nonce 308 بينما لم تتقدم نقطة نهاية مصدر Unichain أبدًا بعد 307.

قام المهاجم بتزويد Aave بـ rsETH المخترق واقترضه مقابلها، مما أدى إلى ديون معدومة وكان بمثابة إطار للحالة الحالية لأمن DeFi.

انتزع المستغلون أكثر من 635 مليون دولار عبر 28 حادثة في أبريل، وهو أسوأ إجمالي شهري منذ أكثر من عام. تقدر DefiLlama التكلفة التاريخية التراكمية للاختراقات بمبلغ 16.5 مليار دولار، منها 7.7 مليار دولار تستهدف التمويل اللامركزي على وجه التحديد.

أدت عمليات الاستغلال رفيعة المستوى على Drift وجسر KelpDAO إلى خسارة DeFi ما يقرب من 11 مليار دولار من القيمة الإجمالية التي تم إغلاقها الشهر الماضي.

حدث هذا الانكماش عندما اكتسبت العملات المستقرة، وسندات الخزانة الرمزية، وطبقات التسوية المنظمة زخمًا مؤسسيًا في نفس أسواق رأس المال.

استخرج مستغلو التمويل اللامركزي 635 مليون دولار عبر 28 حادثة في أبريل، وهي أسوأ خسارة شهرية للقطاع منذ أكثر من عام، في حين وصل إجمالي الاختراقات التاريخية التراكمية إلى 16.5 مليار دولار.

كيف انتهى DeFi هنا؟

صرح ميتشل أمادور، الرئيس التنفيذي لشركة Immunefi، لـ CryptoSlate أن التمويل اللامركزي قد كافأ تاريخيًا النمو والتكامل والسيولة والسرعة على النضج الأمني.

البروتوكول الذي يضيف أصلًا جديدًا أو جسرًا أو أوراكل أو محولًا أو تبعية خارجية يكتسب فائدة فورية. لا تنتج المخاطر التي يحملها التكامل أي إشارة واضحة للسعر حتى تتحقق برمجية إكسبلويت، لأن غياب الحادث يكون غير مرئي أثناء استمراره.

أدى هذا التباين إلى إبقاء دورات التدقيق وممارسات العزل ثانوية بالنسبة لسرعة الشحن لسنوات، حتى أبريل/نيسان الذي أدى إلى تركيز العواقب في شهر واحد.

وقال أمادور إن أكثر الممارسات التي تم التغاضي عنها كانت النظافة والإدارة المتعددة العلامات، وتقوية سلسلة التوريد، والمراقبة في الوقت الحقيقي، وإجراءات الاستجابة للطوارئ.

تعاملت العديد من الفرق مع multisig كحل أمني في حد ذاته، في حين أن قوته الفعلية تعتمد على عدد الموقعين، واستقلالية هؤلاء الموقعين، وإعداداتهم التشغيلية، والعمليات المتعلقة بمراجعة المعاملات.

يمكن أن تصبح التوقيعات المتعددة ذات العتبة المنخفضة، أو أمان المُوقع الضعيف، أو الجسر أو Oracle الذي يتم مراقبته بشكل سيئ بمثابة تعرض نظامي لأن بروتوكولات DeFi قابلة للتكوين بشكل افتراضي. في هذا المشهد، تنتقل المخاطر من خلال عمليات التكامل بنفس كفاءة انتقال السيولة.

وبينما كانت تلك الثقافة تتشكل داخل التمويل اللامركزي، تم بناء نموذج مختلف بالتوازي.

قام بن ناداريسكي، الرئيس التنفيذي لشركة Solstice Finance، بتقييم ما يلي:

"إن الفجوة في الناتج لكل شخص تخبرك بما يحدث عندما تتخلص من كل ما لا يمثل الوظيفة المالية الأساسية. ستكون الفرق التي تفوز في هذه الجولة هي تلك التي بنيت على الامتثال والأمن منذ اليوم الأول، وتكون جاهزة للشحن بشكل أسرع مما يمكن للبنك أن يدعو إلى اجتماع حول هذا الموضوع".

قامت DeFi ببناء قضبان قابلة للتركيب لأكثر من نصف عقد من الزمن قبل أن تعترف بها وول ستريت باعتبارها طبقة البنية التحتية الفعلية للنظام المالي التالي.

وكانت تكلفة هذا الوضع المبكر في السوق عبارة عن ثقافة أمنية تمت معايرتها للسرعة بدلاً من الانضباط التشغيلي.

يحدد كاسبر باولوفسكي، المدير الفني التنفيذي لشركة Euler Finance، بُعد الحوكمة لنفس الفشل في تحليله بعد الحادث.

قال:

"يتعامل التمويل اللامركزي DeFi مع تقييم المخاطر باعتباره قرارًا يتم اتخاذه لمرة واحدة، بينما تكون المخاطر في الواقع ديناميكية."

كان تكوين DVN 1 من 1 الذي مكّن استغلال KelpDAO موجودًا في الإنتاج لسنوات. يقول Kelp إنه كان LayerZero الافتراضي الذي تم شحنه ومراجعته عبر اجتماعات تكامل متعددة، بينما يقول LayerZero إن Kelp قام بالرجوع إليه.

ومهما كان الحساب دقيقًا، فقد استمر التكوين بدون علامة خلال كل تكامل مع كل بروتوكول انتقال البيانات. قامت LayerZero منذ ذلك الحين بحظر التكوين على أساس البروتوكول بأكمله، معترفة بأن السماح لـ DVN الخاص بها بالعمل كمدقق وحيد للمعاملات ذات القيمة العالية كان خطأً.

المرحلة

ماذا حدث

لماذا يهم

تم اختراق البنية الأساسية لـ RPC

قام المهاجمون باختراق البنية التحتية لـ RPC المرتبطة بإعداد جسر rsETH

بدأ الهجوم خارج العقود الذكية الأساسية، مما يوضح كيف يمكن للبنية التحتية خارج السلسلة أن تصبح نقطة الدخول

DDoS فرض تجاوز الفشل

تم دفع حركة المرور إلى العقد المسمومة من خلال تجاوز الفشل القسري

يتيح ذلك للمهاجمين التحكم في بيئة البيانات التي يراها مدقق الجسر

تم إدخال بيانات خاطئة في 1 من 1 DVN

قامت العقد المسمومة بتغذية بيانات خاطئة إلى تكوين DVN أحادي التحقق

يعني إعداد أداة التحقق 1 من 1 عدم وجود فحص مستقل لإيقاف الرسالة المزورة

تم قبول رسالة الجسر المزورة

أصدرت الرسالة المزورة حوالي 116,500 rsETH

تم سك الضمانات المزيفة بشكل فعال في التداول

تم توفير rsETH المزيف إلى Aave

قام المهاجم بإيداع rsETH المخترق في Aave كضمان

Aave تعامل مع الأصل أ