الصفحة الرئيسية
الأخبار
التفاصيل

خرق KelpDAO بقيمة 294 مليون دولار يثير جدلاً حول مخاطر الأمان المرتبطة بالموثوق الوحيد

iconAMBCrypto
مشاركة
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconملخص

expand icon
عانت KelpDAO من اختراق بقيمة 294 مليون دولار في 18 أبريل بعد أن استغل المهاجمون نظام مُحقق واحد. تُظهر البيانات على السلسلة أن عقد RPC ضارة تجاوزت العقد الصحيحة، مما سمح بإجراء معاملات عبر سلاسل احتيالية. يثير هذا الحادث مخاوف بشأن أمان العقود في بروتوكولات عبر السلاسل. ويقوم المطورون حاليًا بالدفع نحو نماذج متعددة المحققين لمنع هجمات مشابهة.

بدأ حادث KelpDAO الأخير على مستوى البنية التحتية، وليس داخل العقود الذكية، مما سمح له بتجاوز فحوصات الأمان المتوقعة. استهدف المهاجمون نظام الرسائل الذي يتحقق من التحويلات عبر السلسلة، وليس منطق العقد نفسه.

لقد أغرقوا العقد RPC الصالحة وأدخلوا عقدًا خبيثة، مما أجبر النظام على الاعتماد على مدخلات بيانات مُشوَّهة. وفقًا لـ LayerZero، نجح الهجوم لأن KelpDAO استخدمت DVN واحدًا، مما أزال أي طبقة تحقق احتياطية.

بمجرد أن ثق النظام بالرسالة الكاذبة، أطلق حوالي 116,500 rsETH، بقيمة تقارب 294 مليون دولار، دون دعم. اكتملت العملية خلال دقائق، مما يبرز مدى سرعة تفاقم مثل هذه الأعطال. وهذا يشير إلى أن الأنظمة متعددة السلاسل تواجه مخاطر هيكلية، حيث يمكن لتصميم التحقق الضعيف أن يُحفز خسائر سريعة ويُضعف ثقة السوق.

AD

خرق البنية التحتية يسبب الفشل

يشير الحادث في 18 أبريل إلى عملية منسقة، على الأرجح مرتبطة بوحدة TraderTraitor التابعة لمجموعة Lazarus، والتي تستهدف طبقة البيانات في النظام. بدلاً من الهجوم على العقود الذكية، ركزت المجموعة على عقد RPC، التي توفر بيانات المعاملات للشبكة.

LayerZero على X

تُزوّد هذه العقد نظام DVN، وهو نظام تحقق يتحقق من صحة التحويلات بين السلاسل. من خلال اكتساب السيطرة على بعض عقد RPC، غيّر المهاجم البيانات المرسلة للتحقق مع الحفاظ على ردود طبيعية لأدوات المراقبة.

بينما ظلت التدابير الوقائية نشطة، عطلت العقد السليمة، مما اضطر النظام إلى الاعتماد على بيانات مخترقة. وهذا سمح للعمليات الكاذبة بالمرور كعمليات صحيحة.

يُظهر هذا النهج أن الأنظمة الآمنة يمكن أن تفشل إذا تم الثقة بمصادر بياناتها دون فحوصات احتياطية كافية.

هل لا يزال يمكن لـ DeFi الاعتماد على أنظمة المُحقق الواحد؟

أدى حادث KelpDAO إلى تحويل النقاش من كيفية حدوث الهجوم إلى ما إذا كان تصميم النظام نفسه لا يزال قابلاً للتطبيق. اعتمد الجسر على مدقق واحد، مما قلل التكلفة وحسّن السرعة، لذا اعتمدت العديد من البروتوكولات ترتيبات مشابهة. ومع ذلك، افترض هذا التصميم أن مصدرًا واحدًا موثوقًا سيتصرف دائمًا بشكل صحيح.

بمجرد فشل هذا الافتراض، تضاعفت الخسائر بسرعة لتصبح قريبة من 294 مليون دولار، مما يُظهر مدى هشاشة هذا الهيكل. هذا الناتج يُبرز أن الكفاءة جاءت على حساب المرونة، خاصة مع زيادة حركة القيمة عبر السلاسل.

يُعزز المحلل Darkfost هذا التحول، ملاحظًا أن LayerZero لن تدعم بعد الآن الإعدادات الأحادية 1/1 DVN، مما يشير إلى ابتعاد عن التكوينات الضعيفة. وهذا يعني أن DeFi قد تُفضل الآن التكرار، حتى لو زاد التكلفة وأبطأ التنفيذ.

الملخص النهائي

  • يُظهر اختراق KelpDAO كيف مكّن تصميم المُحقق الواحد من خسارة بقيمة 294 مليون دولار، وكشف عن ثغرات أمنية هيكلية في أنظمة التحقق بين السلاسل.
  • يدفع الحادث DeFi نحو أمان متعدد المُحققين، حيث إن الاعتماد على نقاط ثقة واحدة يزيد من المخاطر النظامية ويضعف الثقة.
المصدر:عرض النسخة الأصلية
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة قد حصلت عليها من أطراف ثالثة ولا تعكس بالضرورة وجهات نظر أو آراء KuCoin. يُقدّم هذا المحتوى لأغراض إعلامية عامة فقط ، دون أي تمثيل أو ضمان من أي نوع ، ولا يجوز تفسيره على أنه مشورة مالية أو استثمارية. لن تكون KuCoin مسؤولة عن أي أخطاء أو سهو ، أو عن أي نتائج ناتجة عن استخدام هذه المعلومات. يمكن أن تكون الاستثمارات في الأصول الرقمية محفوفة بالمخاطر. يرجى تقييم مخاطر المنتج بعناية وتحملك للمخاطر بناء على ظروفك المالية الخاصة. لمزيد من المعلومات، يرجى الرجوع إلى شروط الاستخدام واخلاء المسؤولية.