Cryptonews

تُشير Chaina Analysis إلى نقطة عمياء حرجة في أمان DeFi حيث أن الاستغلال بقيمة 292 مليون دولار يتجاوز التحقق من الحرق

المصدر
cryptonewstrend.com
نُشر في
تُشير Chaina Analysis إلى نقطة عمياء حرجة في أمان DeFi حيث أن الاستغلال بقيمة 292 مليون دولار يتجاوز التحقق من الحرق

يؤدي استغلال DeFi بقيمة 292 مليون دولار إلى تكثيف المخاوف بشأن نقاط الضعف المخفية في الأنظمة عبر السلسلة. ويسلط هذا الحادث الضوء على كيف يمكن لافتراضات الثقة المعيبة أن تسمح للمدخلات التي تم التلاعب بها بتجاوز الضمانات والتسبب في إصدار أصول على نطاق واسع لم يتم اكتشافها.

الوجبات السريعة الرئيسية:

تشير Chaina Analysis إلى استغلال KelpDAO الذي يكشف فشلًا فادحًا في افتراضات الثقة عبر السلسلة.

أظهر التحليل أن عيوب تصميم Layerzero يمكن أن تسمح لمدقق واحد بتجاوز ضمانات DeFi.

تواجه البروتوكولات مخاطر متصاعدة حيث يشير تحليل تشيناليسيس إلى أن حالات الفشل الخفية قد تتجنب اكتشافها.

تكشف عيوب الجسر عبر السلاسل عن المخاطر الأمنية للتمويل اللامركزي

سلطت شركة تحليلات بلوكتشين تشيناليسيس الضوء على استغلال التمويل اللامركزي (DeFi) بقيمة ٢٩٢ مليون دولار يوم ٢٠ أبريل، مما كشف عن نقاط الضعف الحرجة في تصميم الجسور عبر السلسلة. أظهر الحادث الذي يتعلق بالبنية التحتية rsETH الخاصة بـ KelpDAO كيف يمكن للمدخلات التي تم التلاعب بها تجاوز أنظمة التحقق من الصحة. تشير هذه الحالة إلى مخاوف متزايدة بشأن افتراضات الثقة المضمنة في بروتوكولات السلاسل المتعددة.

صرحت Chainalogy على منصة التواصل الاجتماعي X:

"إن استغلال جسر KelpDAO / rsETH بقيمة 292 مليون دولار تقريبًا يسلط الضوء على نقطة عمياء حرجة في أمان التمويل اللامركزي."

وأوضحت الشركة أن الاختراق نشأ من طبقة ثقة معيبة وليس من العقود الذكية المعيبة. استهدف المهاجمون البنية التحتية لـ LayerZero التي تدعم KelpDAO، مستغلين نصاب التحقق من الصحة 1 من 1. يعتمد هذا التكوين على نقاط نهاية محدودة لاستدعاء الإجراء البعيد، مما يؤدي إلى إنشاء نقطة فشل واحدة. وبمجرد اختراق هذا المسار، فقد أتاح الحصول على موافقات غير مصرح بها دون إجماع أوسع. وصف مزود التحليلات كيف قبل النظام الشروط التي تم التلاعب بها على أنها صالحة، مما سمح للاستغلال بالمضي قدمًا دون أن يتم اكتشافه بواسطة الضمانات القياسية.

تسلط حالات الفشل الثابتة الضوء على الحاجة إلى المراقبة في الوقت الفعلي

اخترق المهاجم مدخلات بيانات المدقق من خلال اختراق نقاط نهاية RPC. تسببت المعلومات الخاطئة في قيام النظام بتسجيل حدث حرق ملفق على سلسلة المصدر.

"بناءً على هذه الحالة الخاطئة، وافق الجسر على الرسالة وأصدر 116,500 rsETH على إيثريوم للمهاجم. في الواقع، لم يحدث أي حرق مماثل على الإطلاق. وقد أخطأ الأمان القياسي هذا تمامًا لأن المعاملات تم تنفيذها تمامًا كما تم تصميمها على مستوى الكود،" أوضحت تشيناليسيس. أدى هذا التسلسل إلى كسر جسر أساسي ثابت يتطلب التكافؤ بين الأصول المحروقة والرموز الصادرة. على الرغم من التنفيذ الصحيح للتعليمات البرمجية، فإن الاعتماد على تكامل البيانات الخارجية مكّن الاستغلال من النجاح.

واختتم تشيناليسيس بتحذير أوسع نطاقًا، قائلاً:

"يثبت هذا الهجوم أن اكتشاف التعليمات البرمجية الضارة ليس كافيًا؛ يجب أن تكتشف البروتوكولات متى يدخل النظام في حالة مستحيلة."

وأشارت الشركة إلى الحاجة إلى أنظمة مراقبة مستمرة قادرة على التحقق من الاتساق عبر السلسلة في الوقت الفعلي. يمكن لأدوات مثل أطر التتبع الثابتة تحديد التناقضات بين الأصول المقفلة والأموال المحررة. قد تسمح هذه الآليات للبروتوكولات بإيقاف العمليات قبل تصاعد الخسائر، مما يعزز أهمية التحقق من الحالة على مستوى النظام بدلاً من الاعتماد فقط على عمليات تدقيق التعليمات البرمجية.