يقوم المتسللون باستغلال بروتوكولات Defi المدققة: ما هو مفقود؟
الإفصاح: الآراء والآراء المعبر عنها هنا تنتمي فقط إلى المؤلف ولا تمثل وجهات نظر وآراء تحرير crypto.news.
Defi تتعرض للهجوم – ولكن ليس من التهديدات التي تستخدم الصناعة للدفاع ضدها. في حين أن المطورين يقومون بمسح خطوط الكود بدقة من أجل نقاط الضعف ، فقد قام المهاجمون بتغيير التكتيكات ، واستغلوا نقاط الضعف الاقتصادية التي تكمن دون أن يلاحظها أحد تحت البرمجة الخالية من العيوب.
على سبيل المثال ، يعد مثالاً رئيسياً على الرمز المميز لـ Hyperledger ، حيث تمكن المهاجمون من سيفون أكثر من 6 ملايين دولار من صندوق التأمين في Hyperledger. لم يكن هذا الاستغلال ناتجًا عن أخطاء الترميز على الإطلاق ، ولكن من خلال حوافز قابلة للعب ومخاطر غير مقدمة لم يتم فحصها أحد.
لقد قطعت الأمن السيبراني Defi شوطًا طويلاً. إن عمليات تدقيق العقد الذكي – المصممة لالتقاط الأخطاء في رمز البرنامج – هي المعيار في الوقت الحاضر. لكننا نحتاج بشكل عاجل إلى توسيع نطاقه إلى ما وراء مجرد خطوط الكود. عمليات تدقيق العقود الذكية غير كافية بشكل أساسي ما لم تحلل أيضًا المخاطر الاقتصادية ونظرية اللعبة. إن الاعتماد المفرط في الصناعة على عمليات التدقيق في التعليمات البرمجية فقط قديم وخطير ، مما يترك المشاريع عرضة لدورة لا تنتهي من الهجمات.
الهجمات الأخيرة تدفع إلى المنزل خطر المآثر الاقتصادية
في مارس 2025 ، تعرضت تبادل Hyperleliquid ، الذي تم تدقيق عقودها ، كمينًا من خلال استغلال بقيمة 6 ملايين دولار يتضمن رمزها الهلامي. كيف؟ لم يجد المهاجمون خطأ في الكود ؛ قاموا بتصميم ضغط قصير من خلال إساءة استخدام منطق التصفية الخاص بـ Hyperleliber ، وضخ سعر Jelly ، والتلاعب بمعلمات المخاطر في المنصة.
وبعبارة أخرى ، لم يكن مصممو Hyperleliid في سلوكيات معينة في السوق – وهي عملية إشراف لم تتلقها عمليات التدقيق التقليدية. تُظهر حالة HyperLiviid أن التعليمات البرمجية التي لا تشوبها شائبة لا يمكنها توفير مشروع مبني على افتراضات اقتصادية مهزوزة.
قبل فترة وجيزة من حادث الهلام ، تم استنزاف Polter Finance ، وهو بروتوكول إقراض على Fantom ، بمبلغ 12 مليون دولار من خلال هجوم قرض فلاش، نوع آخر شائع من الهجوم الذي يعتمد على الاقتصاد ، وليس ترميز نقاط الضعف. أخرج المهاجم قروض الفلاش وتلاعب بسعر المشروع ، وخداع النظام لعلاج ضمانات لا قيمة لها حيث كانت مليارات القيمة.
فعل الرمز بالضبط ما كان من المفترض أن يكون عليه ، لكن التصميم كان معيبًا ، مما يجعل من الممكن أن يتأرجح الأسعار الشديد لإفلاس المنصة. أثبت الاستغلال أنه مدمر لدرجة أن Polter Finance ، وهو مشروع واعد ، اضطر إلى وقف العمليات.
هذه ليست هجمات/أحداث معزولة ؛ إنهم جزء من نمط متزايد في Defi. في حالة بعد الحالة ، يستغل الخصوم الأذكياء البروتوكولات من خلال معالجة مدخلات السوق أو الحوافز أو آليات الحوكمة لإحداث نتائج لم يتوقعها المطورون. لقد رأينا مزارع العائد التي تم تدميرها بواسطة ثغرات المكافآت ، وهاجم أوتاد Stablecoin من خلال تحركات السوق المنسقة ، وصناديق التأمين التي تم تصريفها بسبب التقلب الشديد.
تعزيز التدقيقات مع التحليل الاقتصادي ونظرية اللعبة
تحقق عمليات التدقيق التقليدية ما إذا كان الكود ما يفترض به “، ولكن من الذي يتحقق مما إذا كان” ما من المفترض أن يفعله “أمر منطقي في ظل ظروف الخصومة؟ على عكس برنامج مغلق ، تعيش بروتوكولات Defi في بيئة ديناميكية عدوانية. تتقلب الأسعار ، وتكييف المستخدمين الاستراتيجيات ، والبروتوكولات المترابطة بطرق معقدة.
في حين أن معظم فرق Web3 مزودة بمهندسين يمكنهم التقاط أخطاء البرمجيات أثناء التطوير ، إلا أن القليل منهم لديهم خبرة اقتصادية داخلية ، مما يجعل من الأهمية بمكان أن تملأ هذه الفجوة وتحديد نقاط الضعف في تصميم الحوافز والمنطق الاقتصادي.
تشمل عمليات التدقيق الصارمة حقًا التحليل النظري والاقتصادي للعبة ، والذي يتضمن تدقيق أشياء مثل ميكانيكا الرسوم ، وصيغ التصفية ، ومعلمات الجانبية ، وعمليات الحوكمة. إنهم يجبرون المدققين على التفكير في: “بالنظر إلى هذه القواعد ، كيف يمكن لشخص ما أن يستفيد من ثنيهم؟”
على سبيل المثال ، خلال التدقيق الذي أجرته Oak Security ، اكتشفنا أن صندوق التأمين الخاص بمنصة المقايضات الدائمة يمكن استنزافه تمامًا بسبب التقلبات لأنه لم يسبق له مثيل “مخاطر Vega” – حساسية البروتوكول تجاه التقلب – في نموذج التسعير الخاص به. لم يكن هذا خطأ رمزًا على الإطلاق – لقد كان عيبًا في التصميم كان من شأنه أن يسبب انهيارًا في الأسواق المضطربة. فقط اللعبة النظرية والاقتصادية ، تم اكتشافها-ولحسن الحظ ، تمكنا من الإشارة إلى القضية قبل الإطلاق.
هذه المآثر الاقتصادية موثقة جيدًا ، وليس من الصعب تحديدها بشكل رهيب-ولكنها فقط تظهر عندما يطرح المراجعون الأسئلة الصحيحة ، والتفكير وراء الكود في الصفحة.
يجب على المؤسسين طلب المزيد من المدققين
يجب على مؤسسي البروتوكول أن يطلبوا من مراجعي الحسابات فحص جميع مكونات نظام التداول ، بما في ذلك المنطق الضمني والمكونات خارج السلسلة ، لضمان أمان شامل. في أفضل السيناريو ، سيتم إحضار جميع المنطق المهمة المهمة على السلسلة.
إذا كنت مؤسسًا أو مستثمرًا ، فمن الأهمية بمكان أن تسأل مدققائك: ماذا عن معالجة Oracle؟ ماذا عن سيناريوهات أزمة السيولة؟ هل قمت بتحليل الرمز المميز لمتجهات الهجوم؟ إذا كانت الإجابة صمتًا أو تلويحًا يدويًا ، فأنت بحاجة إلى الحفر بشكل أعمق.
إن تكلفة هذه البقع العمياء مرتفعة للغاية-لا تدمج التحليل الاقتصادي ونظرية اللعبة مجرد “لطيف إلى حد” ؛ إنها مسألة بقاء لمشاريع Defi. نحتاج إلى تنمية ثقافة حيث تسير مراجعة الكود والمراجعة الاقتصادية جنبًا إلى جنب لكل بروتوكول رئيسي.
دعونا نرفع الشريط الآن-قبل أن يفرض درس آخر على ملايين الدولارات يدنا.
