Cryptonews

استغلال Drift Protocol بقيمة 285 مليون دولار على Solana يثير تساؤلات حول أمان التمويل اللامركزي

المصدر
cryptonewstrend.com
نُشر في
استغلال Drift Protocol بقيمة 285 مليون دولار على Solana يثير تساؤلات حول أمان التمويل اللامركزي

باختصار

يعكف الباحثون والخبراء على دراسة تصميم Drift، ويتساءلون عما إذا كانت بعض ميزات التصميم أو الإجراءات قد أحبطت استغلاله الذي تبلغ قيمته 285 مليون دولار.

يُظهر الحادث عدد مشاريع التمويل اللامركزي التي تعطي الأولوية للأمن الفني على نظافة الأمن السيبراني، وفقًا لما ذكره ديفيد شويد، مدير العمليات في SVRN.

جادل المتفرجون بأن "القفل الزمني" كان من شأنه أن يمنح Drift الفرصة للتدخل ومنع المهاجم من سرقة الأموال.

عندما يتم سرقة ملايين الدولارات من العملات المشفرة من بروتوكول التمويل اللامركزي، غالبًا ما تتبع ذلك أسئلة صعبة - ولا يختلف استغلال Drift Protocol الذي تبلغ قيمته 285 مليون دولار يوم الأربعاء.

تم تسليط الضوء على المشروع الذي يقع مقره في Solana، حيث يدرس الباحثون والخبراء تصميمه، مما يثير تساؤلات حول ما إذا كانت ميزات أو إجراءات تصميم معينة يمكن أن تمنع شخصًا ما من تنفيذ واحدة من أكثر هجمات التمويل اللامركزي ربحًا في الماضي القريب.

في منشور على X، قالت Drift إن ممثلًا خبيثًا حصل على وصول غير مصرح به إلى منصته من خلال "هجوم جديد"، والذي منح صلاحيات إدارية على ما يسمى بمجلس الأمن الخاص بـ Drift. وأضافوا أن الهجوم على الأرجح ينطوي على درجة معينة من "الهندسة الاجتماعية المتطورة".

وتعتمد عملية السرقة، التي تعد من أكبر عمليات DeFi في التاريخ الحديث، على إدخال أصل رقمي مزيف في البورصة اللامركزية وتعديل حدود السحب للمنصة. وبعد تضخيم قيمة الرمز الخبيث، اكتسب المهاجم القدرة على استنزاف السيولة الحقيقية من Drift بسرعة عن طريق إساءة استخدام آليات الاقتراض.

وقالت شركة الاستخبارات blockchain Elliptic في تقرير يوم الخميس إن هناك دلائل تشير إلى أن الاستغلال مرتبط بجمهورية كوريا الشعبية الديمقراطية. وأشاروا إلى سلوك المهاجم على السلسلة، ومنهجيات غسيل الأموال، والمؤشرات على مستوى الشبكة.

مع تأثر إيداعات المستخدمين - وتجميد البروتوكول كإجراء احترازي - يركز المتفرجون أيضًا على عنصر أساسي في تصميم Drift: محفظة متعددة التوقيع، حيث مكّنت التوقيعات الناتجة عن مفتاحين خاصين المهاجم من الحصول على صلاحيات كاسحة.

تمثل المحافظ متعددة التوقيع نقطة مركزية للعديد من مشاريع التمويل اللامركزي، ويكشف الحادث عن الحقيقة غير المريحة المتمثلة في أن عمليات تدقيق العقود الذكية لا يمكنها إلا أن تمنع الكثير من الضرر، وفقًا لما ذكره ديفيد شويد، خبير العمليات في SVRN وخبير أمان blockchain.

وقال لـ Decrypt أن Drift أصبح أحدث مثال على كيفية اعتماد الخدمات التي تسعى إلى استبدال الوسطاء الماليين بالكود في كثير من الأحيان على فرق صغيرة ونقاط مركزية مثل المحافظ متعددة التوقيع التي تشكل مخاطر الأمن السيبراني.

وقال: "يركز جميع المهندسين اليوم على الجانب التكنولوجي للأمن، ولا يركزون على الأشخاص المشاركين في هذه العملية". "لذا، نعم، البروتوكول لا مركزي، لكن إدارته مركزية ضد خمسة أشخاص."

"مرة أخرى"

قارن شويد فشل Drift في مجال الأمن بواحد من أكثر عمليات اختراق التمويل اللامركزي شهرة، حيث سرق قراصنة مرتبطون بكوريا الشمالية ما يزيد عن 625 مليون دولار من الأصول الرقمية في عام 2022. واستهدفوا Ronin، وهي سلسلة جانبية من Ethereum تم تطويرها للعبة NFT الناجحة Axie Infinity. اعتمد الهجوم على الوصول إلى خمسة مفاتيح خاصة، وفقًا لشركة أمن البلوكتشين تشيناليسيس.

وبينما يرى محللو البلوكتشين بصمات الدولة القومية، يرى آخرون أن دقة الهجوم تشير إلى معرفة أكثر حميمية بالبروتوكول. شكك شويد في أن يكون المتسللون المرتبطون بكوريا الشمالية متورطين في الاختراق ضد Drift لأنه يبدو أن المهاجم، ربما من الداخل، "يعرف من يستهدف".

وتكهن المتفرجون بأن "قفل الوقت" كان من الممكن أن يمنع حدوث الاستغلال بهذه السرعة. تعمل ميزة العقد الذكي على تقييد تنفيذ المعاملات أو الوصول إلى الأموال حتى يتم الوصول إلى وقت مستقبلي محدد، مما قد يوفر لفريق Drift نافذة للتدخل.

قال ستيفان باير، الشريك الإداري في شركة Oak Security، لـ Decrypt: "إن الأقفال الزمنية مفيدة لكسب الوقت للرد على مثل هذا الهجوم، وكان من الممكن أن تساعد هنا - لكن هذا ليس السبب الجذري". "كانت المشكلة الأكبر هي أنه - مرة أخرى - تم اختراق المفتاح المميز."

ومع ذلك، قال دان هونغفي، مؤسس ورئيس شركة Neo Blockchain، إن البروتوكولات مثل Drift التي تضم أموالاً بملايين الدولارات لا ينبغي أن تكون قابلة للاستنزاف على الفور.

وفي منشور على X، قال إن الأقفال الزمنية المرتبطة بالإجراءات الحاسمة مثل إدراج الأصول عالية المخاطر يجب فرضها "لمنع المهاجم من إكمال سلسلة الاستغلال بأكملها في غضون ثوانٍ".

وقد ردد أور دادوش، مؤسس شركة Venn Network، مزود البنية التحتية لأمن العملات المشفرة، هذا الشعور. وأشار أيضًا إلى قواطع الدائرة الأوتوماتيكية، التي تمكن المشاريع من إيقاف العمليات مؤقتًا على الفور في حالة اختراق سرعة التدفق غير الطبيعية أو عتبات الحجم.

راهن العديد من خبراء الأمن على أن Drift لن يكون آخر مشروع DeFi يتعرض لاستغلال مثل الذي حدث يوم الأربعاء. وأشاروا إلى أن الجهات الفاعلة السيئة تتجه بشكل متزايد إلى الذكاء الاصطناعي، باستخدام الخوارزميات للحصول على فهم شامل لمستقبلهم