تمت سرقة الملايين عندما استغل الهجوم السيبراني الثغرة الأمنية في المكون الرئيسي لمنصة DeFi

خسر Garden Finance، وهو بروتوكول جسر عبر السلسلة، ما يقرب من 11 مليون دولار بعد أن قام أحد الحلول المخترقة باستنزاف الأموال من المنصة.

وقد عرض البروتوكول مكافأة قدرها 10% مقابل إعادة الأموال المسروقة. كما أنها تطلب المساعدة في فهم كيفية حدوث الاستغلال بالضبط.

ماذا حدث ولماذا يهم

استهدف الهجوم أداة حل المشكلات الخاصة بشركة Garden Finance، وهي في الأساس آلية صانع السوق التي تسهل المعاملات عبر السلسلة. تقوم الجسور بنقل الأصول بين سلاسل الكتل المختلفة، ويكون القائمون على الحل هم الوسطاء الذين يطابقون تلك الصفقات وينفذونها.

ذكرت Garden Finance أن أموال المستخدمين لم تتأثر بالاستغلال، مما يشير إلى أن الثغرة الأمنية تم عزلها عن البنية التحتية التشغيلية للبروتوكول بدلاً من الأصول المودعة من قبل المستخدم.

إعلان

أثار الباحثون الأمنيون مخاوف بشأن ما إذا كان الحل المخترق هو حقًا طرف ثالث مستقل أو جزء من البنية التحتية الداخلية الخاصة بـ Garden. إذا كان الأمر الأخير، فإن الثغرة الأمنية لم تكن من جهة فاعلة خارجية مارقة تستغل نظامًا غير مسموح به، بل كانت بالأحرى فشلًا في إدارة المفاتيح الرئيسية للبروتوكول والأمن التشغيلي.

تعتمد العديد من بروتوكولات الجسور على عدد صغير من الجهات الفاعلة الموثوقة للتحقق من الرسائل ونقلها بين السلاسل. عندما يتم اختراق تلك الجهات الفاعلة، سواء من خلال الهندسة الاجتماعية، أو سوء النظافة الأساسية، أو الوصول إلى المعلومات الداخلية، يمكن للنظام بأكمله أن ينهار.

تظل الجسور هي الهدف الأضعف للعملات المشفرة

وقد حذر محللو الأمن مراراً وتكراراً من أن العديد من بنيات الجسور هشة بطبيعتها، وتعتمد على التحقق الضعيف من الرسائل والإدارة المركزية للمفاتيح. تقع الجسور عند تقاطع نماذج الثقة المتعددة، ويجب على الجسر نفسه التوفيق بين هذه الاختلافات في كثير من الأحيان من خلال أجهزة الترحيل خارج السلسلة أو مخططات multisig التي تقدم مخاطر المركزية.

وصلت ثغرة Garden Finance في نفس الوقت تقريبًا الذي وقعت فيه حادثة جسر أخرى تتعلق بجسر Ronin، والتي شهدت سحب 11.33 مليون دولار بواسطة روبوت القيمة القصوى القابلة للاستخراج (MEV). وأكدت شركة Sky Mavis، الشركة التي تقف وراء Ronin، أن احتياطيات الجسر الأساسية ظلت آمنة.

كان جسر رونين في السابق هدفًا لواحدة من أكبر عمليات استغلال التمويل اللامركزي على الإطلاق، وهي سرقة بقيمة 620 مليون دولار مرتبطة بقراصنة من كوريا الشمالية، والتي أصبحت دراسة حالة توضح السبب وراء خلق الثقة المركزية في مجموعة صغيرة من المدققين نقاط فشل فردية كارثية. عانى جسر Wormhole من استغلال منفصل بقيمة 322 مليون دولار.

ماذا يعني هذا بالنسبة للمستثمرين

يهدف عرض المكافأة بنسبة 10% الذي تقدمه Garden Finance إلى تحفيز المهاجم على تفضيل دفع تعويضات مضمونة على خطر تعقبه أو محاكمته. تشير حقيقة أن جاردن يطلب المساعدة في الوقت نفسه لفهم السبب الجذري للاستغلال إلى أن الفريق لا يزال يجمع الأخطاء التي حدثت.

يعد كل تفاعل للجسر رهانًا ضمنيًا على أن البنية التحتية خارج السلسلة وإدارة المفاتيح ومنطق العقد الذكي للجسر تعمل جميعها بشكل صحيح، في وقت واحد، في ظل ظروف عدائية.