تسونامي عام 2022 HFi Hack ، الأسباب والأسباب الوقائية

منذ ظهوره منذ أكثر من عقد مضى ، كانت مساحة DeFIi محورية في تطور القطاع المالي. وأدخل التمويل اللامركزي الأصول الافتراضية ، والعقود الذكية ، وإدارة عمليات إدارة عمليات حفظ النظام ، وغيرها من العروض التي تيسر العمليات التي تعتمد على سلسلة عمليات الحصار.

ويلغي نموذج "ديفي" ومكوناته الحاجة إلى كيان مركزي كوسيط أثناء العمليات المالية. وقد دفعت الأزمة الاقتصادية في عام 2008 إلى إنشاء هذا النظام الجديد للتمويل الذي وضع المستخدمين في السيطرة على أصولهم. وعلى مدى السنوات القليلة الماضية ، نما قطاع ديفي على نطاق واسع ؛ وقد تسبب ذلك في العديد من فوائده في أن يسخر الملايين من المشاركين في جميع أنحاء العالم. ووفقا لشركة تشايليسيس ، بلغت القيمة الإجمالية للسوق ذروتها عندما بلغت 256 مليار دولار ، وهو رقم كبير.

ومع ذلك ، فإن التوسع الإجمالي في التمويل اللامركزي ينطوي على مستوى كبير من المخاطر. وهناك المزيد من مشاريع ديفي المفتوحة أمام الاستغلال من قبل الجهات الفاعلة التي تشكل تهديدا ، وقد أدت الأشهر الأربعة الماضية من عام 2022 إلى تسليط الضوء على هذا الأمر أكثر من أي وقت مضى. تشير تقارير Chainalysis إلى أن بروتوكولات DeFi شكلت 97٪ من العملات المشفرة المسروقة هذا العام.

صنع قراصنة Lazarus التاريخ منذ أكثر من شهر بقليل بعد أن قاموا باستغلال 625 مليون دولار على جسر Ronin في Axie Infinity ، وهي أكبر عملية سرقة لـ شهدت blockchain و crypto space.

نحن سننظر في الارتفاع الهائل في أكوام ومآثر التي جاءت مع 2022. كيف يعمل ديفي ، ولماذا هذا القطاع هو الهدف الأساسي ؟ هل من الممكن ايقاف تشغيل أموال المستخدم من التسريب أيا كانت الثقوب التي وجدها القراصنة ؟

ولمعالجة الجوانب المختلفة لهذا الموضوع ، يتعين علينا أن نسمر بعض النقاط الأساسية. للبدء في ؛


ما هي "DeFi" التي يتم القيام بها ، وكيف يمكن حدوثها ؟

---

ويحدث اختراق أو استغلال عندما يستغل فاعل خبيث بنجاح الثغرات أو نقاط الضعف في العقد الذكي أو النظام الأمني لبروتوكول أو منصة ديفي ؛ ويحصل الفرد أو المجموعة على أبواب خلفية للوصول إلى أموال المستخدم ، مما يؤدي عادة إلى سرقة الأصول التي تم ذكرها.

وفي الربع الأول من هذا العام ، كانت الجهات الفاعلة في الفضاء الإلكتروني قد تم ربطها بما قيمته 1,3 مليار دولار من السرداب المسروقة في الربع الأول من هذا العام. رقم هائل مقارنة ب ـ 154 مليون دولار فقدت في الربع الأول من العام. وكما تشير تقارير وول ستريت ، فإن المتسللين حقلا هذا بضرب الصناعة بإختراق لمدة أسبوع.

وبين عامي 2020 و 2021 ، ارتفع عدد السود إلى ضعف القيمة الأولية ، من 117 إلى 250 ؛ ولا يمكن إنكار أن مآثر دي فاي تحول إلى ظاهرة عادية. وفي السنوات التي أصبح فيها التمويل اللامركزي أمرا ، استخدم المتسللون سلسلة من الأساليب ، والتي تم استخدامها خلال الأشهر الأربعة الماضية ؛

مدى الأمن

يحدث خرق أمني عندما يحصل طرف الانترنت على حق الوصول غير المشروع إلى نظم وبيانات المنصة. يقوم Chinallsis بوصفه بأنه "الذي يعادل crypto-panketing of pick-pocketing ،" وتقول شركة التحليل أيضا أن هذه الهجمات خلف 35% من كل أموال الشفرات المسروقة من 2020 حتى تاريخه.

يعتبر استغلال Ronin مثالاً على ذلك ، حيث قام المتسلل بسحب السرقة من خلال الاستيلاء على 5 من عقد التحقق من 9 sidechain.


هجمات القروض السريعة
في 18 فبراير ، DeFi القائم على Ethereum وقع مشروع Beanstalk ضحية لمآثر الحوكمة التي استنزفته 182 مليون دولار.

وتمكن المهاجم من تنفيذ الخرق بالحصول على قرض بقيمة 1B من منصة الإقراض (AAVE) ، ثم قام بشراء كمية كبيرة من الرمز الأصلي ل ـ "بانستك" الأصلي وحصل على نسبة 67% من حكم المشروع. وأعطى المخترق الضوء الأخضر على مقترحين خبيرين كانا قد أصدراهما سابقا وجفلا الأموال إلى محفظة خارجية.

وحصل القراصنة على قرض عاجل ، وهو مبلغ كبير يحتفظ به المقترض لفترة زمنية قصيرة دون الحاجة إلى ضمانات. القروض الوميض يقصد بها لأغراض أكثر أخلاقية ، ولكن كما هو الحال في مزارع بانستك ، يمكن لممثل سيئ استخدام المال للاستفادة من الفرص في العقد الذكي أو ، في سياق نموذجي ، التلاعب بأسعار السوق للحصول على الربح. هجمات القروض السريعة هي مجرد مثال واحد على مآثر الكود.




المآثر عبر السلاسل


نفذت الأطراف الخبيثة بعضًا من أكبر عمليات السرقة في عام 2022 من خلال استهداف الجسور عبر السلاسل . ولكي نفهم كيف يمكن لهذه الأنواع من الرموز أن تنفجر ، يجب علينا أولا أن ننظر في أهدافهم ، وعبر الجسور عبر السلاسل.

ويمكن وصف الجسر عبر سلسلة عبر تقاطع السلسلة بأنه مسار بين اثنين من شبكات اغلاق السلسلة. فهي تسهل نقل الأصول بين سلاسل الحصار ؛ ولكن في هذه العملية ، يتم تقييد كمية ضخمة من الأموال في مكان واحد ، مما يجعلها جذابة بالنسبة لقراصنة الكمبيوتر.

وفي شباط / فبراير ، كان أحد الأمثلة على المهاجمين الذين يستغلون نقطة الضعف الشاملة لعدة سلاسل () مع البوابة حاجز النقطة الفعالة (brokchain). وقد أدى الهجوم إلى خسارة المنصة لمبلغ 325 مليون دولار وساهم في تزايد الانتقادات الموجهة إلى تكنولوجيا شاملة لعدة سلاسل.


لماذا يتم زيادة عدد HFi Hacks في التكرارية

---

زيادة اعتماد DeFi

والسبب الأول والأكثر وضوحا لهذه الزيادة في الهجمات هو أن صناعة التمويل اللامركزية قد تطورت إلى هدف جذاب. ومع توسع قاعدة مستخدمي هذا القطاع ، فإن المئات من المشاريع قد قدمت أول ظهور لها ، وهناك ببساطة المزيد من الأموال التي يتعين عليها أن تسرقها. التدفق النقدي في تزايد ، والأفراد الكبيدون يدركون جيدا هذا.

عدم كفاية الضوابط & مستوى السرية

وفقا للبيانات الخاصة بلوحة الراكروت ، 8 من 10 مشاريع كانت ضحية لأكبر مآثر لم تخضع للمراجعة الأمنية. وتستلزم المراجعة الأمنية إجراء استعراض شامل لمدونة البروتوكول لكشف البق والفرص المحتملة في العقد الذكي. وعادة ما تحدث هذه قبل البدء في تنفيذ المشروع وتشكل جانبا أمنيا رئيسيا في التمويل اللامركزي. مع هذا النوع من تقييم التهديدات ، يمكن للمطورين قطع الهجمات المحتملة وتقليل مخاطر المستثمر.



ثغرات أمنية في العقد / أخطاء في الترميز

---

من الآثار السلبية الأخرى لزيادة شعبية DeFi التدفق الهائل للمشاريع سيئة التصميم. إن المهاجمين ليسوا الأفراد الوحيدين الذين أحاتم علما بالطبيعة المربحة للتمويل اللامركزي. ويحرص العديد منهم على المشاركة في هذه الصناعة المزدهرة ، ويبدو أنه لا يوجد لدى المطورين غير المؤهلين أي وازع حول المشاريع التي تبدأ من تلقاء نفس
.
ومن المعروف أن المجرمين السيبراني يستغلون شفرة المصدر المفتوح لبروتوكولات ديفي. ويتطلب المخترقون بعض الوقت للبحث عن نقاط ضعف بالغة الأهمية لاستغلالها ، ومع وجود المطورين غير المؤهلين الذين يقومون بمشاريع سيئة البناء ، فليس من الصعب العثور على هذه المشاريع.

التقنيات المركبة

ويشمل النظام الإيكولوجي لديفي مختلف المكونات ، التي تطورت إلى جانبها ، مع تطور الصناعة على مر السنين. ويسعى القطاع المالي اللامركزي إلى تعزيز سهولة استخدامه وسهولة الوصول إليه وفي الوقت نفسه تزويد المستعملين بعائدات كبيرة. والتطبيقات الأكثر تعقيدا (مثل الجسور العابرة للسلسلة) عرضة للاستغلال ، ومن السهل أن تتغاضى أوجه القصور المحتملة.


الانعكاسات ل ـ 2022's Rush of DeFi Explonations

---

المفرقعات والمستثمرين والمطورين على حد سواء يتبع المال وهم يحولون انتباههم إلى صناعة التمويل اللامركزية. وهو يبين أن هذه الصناعة قد شهدت زيادة كبيرة ، كما قيل في وقت سابق. ومع ذلك ، فإن الدخس لا تشير فقط إلى أن المهاجمين وغيرهم من الأفراد هم من تتبع الأموال.

وفي مقابلة مع شركة ياهو المالية ، صرح ميتشل أمدور مؤسس شركة "مودور" لأمن قطاع الحصار ومديرها التنفيذي بأنه ينبغي للمشاركين في شركة "ديفي" أن يتوقعوا هجمات متطورة مثل هذه الهجمات لكي تنمو بشكل أكثر شيوعا. وتقوم الجهات الفاعلة في مجال التهديد ، مثل قراصنة لازاروس في كوريا الشمالية ، ببناء المزيد من الخبرات في مجال الجريمة السيبرانية داخليا.

ومن المهم أن نلاحظ أن الارتفاع في عدد الوجبات الخفيفة هو انتقال من الأكباش التي بدت وكأنها تهيمن على الصناعة في العام الماضي. وازداد وعي المشاركين في ديفي بالأساليب الاحتيالية وبالتالي يمكنهم تجنبها. وتشكل الانتهاكات والرموز الأمنية التهديدات الأكثر أهمية الآن ، وتقع الحاجة إلى الأمن على المنصات والبروتوكولات.

ويشكل الانتظام المثير للقلق للأكواخ تهديدا خطيرا لكل قطاع ديفي ؛ وهو يثير تساؤلات بشأن موثوقية التمويل اللامركزي ويمكن أن يعوق نمو الصناعة. دعونا نلقي نظرة على بعض من الطرق التي يمكن أن تمنع مجموعات البرامج من خلالها.

تدابير لتجنب مجموعات Hacks

يعد أحد الجوانب الرئيسية للعنوان هو سرية العقد الذكية. إن المراجعات المقررة لقانون أي مشروع سيكون لها طريق طويل في منع السود لأنها تساعد المطورين في تحديد نقاط الضعف والفتحات التي يمكنهم حلها في الوقت المحدد.

وبطبيعة الحال ، لا يمكن لهذا أن يمنع 100% من الهجمات التي تستلزم اتخاذ تدابير إضافية مثل تحليل سلسلة الحصار التي يمكن أن تساعد الباحثين في رصد تحركات السوق المشتبه بها. قدم Chainalyis بيانات حول كيفية غسل المتسللين للأموال بعد السرقة على مدار السنوات الماضية.


توفر هذه المعلومات نظرة عامة على التدفق النقدي ، والتي يمكن أن تساعد المحللين على تتبع الأموال المسروقة للمساعدة في الاسترداد. ومن خلال هذا ، استعيد فريق "سكاي انفينيتي" (Axie Infinity) سكاي مافيس جزء صغير من الأموال المسروقة.

ومن المهم أن نلاحظ دور المركزية في هذه الأكواخ. وقد أدى اختراق رونين إلى تنشيط المناقشات بشأن الحاجة إلى تحقيق اللامركزية الحقيقية في قضية الدفي. وقد تركت عملية التحقق المركزية (تسعة عقد للتحقق فقط) الجسر ضعيف. وفي أعقاب الهجوم ، أصبح من الواضح أن اللامركزية هي أكثر من مجرد شكل من أشكال الإيديولوجية ، ولكنها حاجة عملية إلى تأمين سلامة السلسلة.


المؤلف : Gate.o المراقب M. Olatunji
Disمطالبين :
* هذه المقالة تمثل فقط مشاهدات من المراقبين ولا تشكل أي اقتراحات للاستثمار.
يحتفظ *Gate.io بكل الحقوق لهذه المادة. وسيسمح بإعادة نشر هذه المادة شريطة أن يتم الرجوع إلى Gate.io. في كل الحالات الأخرى ، سيتم اتخاذ تصرف قانوني بسبب التعدي على حقوق النشر