اختراق KelpDAO كشف عن مشاكل كبيرة في أمان Web3. المشكلة الأكبر كانت أن البلوكتشين نفذت المعاملات بشكل مثالي لكن بناءً على بيانات خاطئة.
أمان Web3 لا يزال في المقدمة كطريقة لإعادة بناء الثقة في تطبيقات التمويل اللامركزي (DeFi). اختراق KelpDAO ترك آثاراً طويلة المدى على إقراض DeFi وأثار تساؤلات حول تعزيز أمان Web3.
موجة الاختراقات الأخيرة في أبريل قد تجعل التطبيقات تعيد النظر في طريقة وصولها للبيانات والسماح بالمعاملات. اختراقات مشابهة استمرت في مايو، بخسائر بلغت 930 ألف دولار حتى الآن. مؤخراً، خسر بروتوكول Bisq 858 ألف دولار بسبب منطق بروتوكول خاطئ وهجوم عميل مزيف، حسب بيانات DeFiLlama.
تطبيقات Web3 تعاني من مشكلة في التحقق من البيانات
بحسب فيكتور في من Ormilabs، اختراق KelpDAO مثال واضح على كيف يمكن لتطبيق أن يستمر في العمل حتى لو كانت حالة البلوكتشين لا تتوافق مع البيانات.
في أوضح أن التطبيقات لا ترجع دائماً إلى البلوكتشين بشكل مباشر. بدلاً من ذلك، تعتمد على وسطاء مثل عُقد RPC، بدلاً من البيانات الخام على السلسلة. هذا مطلوب لإيثيريوم والسلاسل الأقدم الأخرى، التي لم يعد من الممكن الوصول إليها مباشرة لمعظم التطبيقات.
مع مصدر بيانات محدود، الجسر يمكنه الاعتماد فقط على مجموعة صغيرة من عُقد RPC. عندما يتم اختراق بعض المصادر أو تصبح غير متاحة، قد يعمل التطبيق على بيانات خاطئة، بينما السلسلة الأساسية ستظل تعتبر المعاملات صالحة.
معظم تطبيقات Web3 الحديثة لا تصل إلى السلسلة مباشرة، بل تعتمد على أشكال من الفهرسة لجلب المعلومات ذات الصلة. الفهرسة يمكنها عرض بيانات خاطئة أو تصبح ناقل هجوم مباشر.
استغلال KelpDAO كشف هذه الثغرة بالكامل. عملية التحقق وثقت في عدد محدود من مصادر RPC، واختطف المهاجمون بعض هذه المصادر. بطبقة بيانات خاطئة، قامت البلوكتشين بمعالجة المعاملات كالمعتاد وصرفت عملات حقيقية مقابل رصيد مزيف.
المشكلة تصبح أكثر خطورة إذا سمح لوكلاء الذكاء الاصطناعي بالتصرف بناءً على طبقة بيانات محدودة وربما خاطئة.
ما الذي يمكن أن يعزز أمان Web3؟
أكبر عيب في اختراق KelpDAO و Drift Protocol والاختراقات الأخيرة الأخرى هو سرعة التنفيذ. معظم المعاملات حدثت فوراً وتمت تسويتها في الكتلة التالية، بدون فترة تهدئة أو فحوصات إضافية. Web3 أعلنت عن قدرتها على المعاملات السريعة دون إذن، لكنها أيضاً تسمح للممثلين السيئين بتنفيذ سرقتهم بسرعة.
سيروتين يعتقد أن مشاريع Web3 يجب أن تقلل وقت اكتشافها لالتقاط التدفقات الخارجة غير المعتادة، أو انخفاض السيولة المفاجئ، أو استدعاءات العقود الذكية المشبوهة.
بحسب سيروتين، يجب أن تكون التنبيهات والحظر آلية خلال ثانية واحدة بعد الهجوم، وتقارير الضحايا وتصنيف البيانات جاهزة خلال 10 دقائق. حالياً، يستغرق الأمر ساعات أو أيام لحساب إجمالي الخسائر وتعقب مجموعات محافظ المهاجمين.
أضاف سيروتين أنه حتى إطار زمني أبطأ، مع تنبيهات كل 30 ثانية وتصنيف خلال 4 ساعات، يمكن أن يساعد في منع حوالي نصف الحوادث وتقليل الخسائر.
الأسئلة الشائعة
- س: ما هي المشكلة الرئيسية التي كشفها اختراق KelpDAO؟
ج: المشكلة الرئيسية هي أن تطبيقات Web3 تعتمد على بيانات من وسطاء مثل عُقد RPC بدلاً من البلوكتشين مباشرة، مما يسمح بتنفيذ معاملات صحيحة بناءً على بيانات خاطئة. - س: كيف يمكن تحسين أمان Web3 لمنع الاختراقات؟
ج: يمكن تحسين الأمان بتقليل وقت اكتشاف الهجمات عبر تنبيهات آلية وحظر سريع خلال ثوانٍ، وتصنيف البيانات خلال دقائق بدلاً من ساعات. - س: ما هو تأثير سرعة التنفيذ على أمان Web3؟
ج: سرعة التنفيذ غير المقيدة تسمح للمهاجمين بتنفيذ عملياتهم بسرعة دون فحوصات أو فترات تهدئة، مما يجعل من الصعب إيقاف الخسائر في الوقت المناسب.
