رئيس التقنية في ريبل: تقييم RLUSD كشف نفس الخطر الذي استنزف 292 مليون دولار من كيلب داو
أثار ديفيد شوارتز، كبير المسؤولين التقنيين السابق في ريبل، نقطة مهمة هذا الأسبوع بعد تعرض جسر كيلب داو لاختراق تسبب في خسائر تقارب 292 مليون دولار.
لقد توقع حدوث شيء كهذا. ليس هذا الهجوم بالتحديد، ولكن الظروف التي جعلته ممكناً.
وكتب على منصة إكس: “لقد قمت بتقييم الكثير من أنظمة الجسور في التمويل اللامركزي لاستخدامها من قبل ريبل. وكان تركيزي بشكل شبه حصري على جانب الأمان والمخاطر. شيء واحد لاحظته هو أن معظم الأنظمة كانت مصممة بشكل جيد جداً ولديها آليات قوية متاحة للحماية من نفس نوع الهجوم الذي يبدو أنه تسبب في حادثة كيلب داو”.
عروض التسويق التي طمست ميزات الأمان
ما وصفه شوارتز هو نمط واجهه مراراً خلال عملية التقييم. حيث كان مقدمو خدمات الجسور يروجون لميزاتهم الأمنية المتقدمة بشكل بارز، ثم يقترحون على الفور تقريباً أن تلك الميزات اختيارية وأن معظم العملاء يختارون عدم استخدامها.
وكتب: “كانوا بشكل عام يوصون بعدم تكبد عناء استخدام أهم آليات الأمان لأنها تتضمن تكاليف تعقيد تشغيلي وتؤثر على الراحة. كانوا يروجون لنا لسهولة وبساطة إضافة سلاسل جديدة مع افتراض ضمني بأننا لن نزعج أنفسنا باستخدام أفضل ميزات الأمان التي يمتلكونها”.
وقال: “كان عرضهم التسويقي هو أن لديهم أفضل ميزات الأمان ولكن من السهل استخدامها والتوسع بها، بافتراض أنك لن تستخدم ميزات الأمان نفسها”.
ما حدث بالفعل مع كيلب داو
في 19 أبريل، اكتشفت كيلب داو نشاطاً مريباً عبر السلاسل يتضمن عملتها rsETH وعلقت العقود عبر الشبكة الرئيسية وعدة شبكات من الطبقة الثانية. تم سحب ما يقارب 116,500 من عملة rsETH من خلال استدعاءات عقد مرتبطة بلايرزيرو، بقيمة تقارب 292 مليون دولار بالأسعار الحالية.
أرجعت تحليلات سلسلة الكتل من D2 Finance السبب الجذري إلى تسرب مفتاح خاص على السلسلة المصدر، مما خلق مشكلة ثقة مع عقد OApp استغلها المهاجم للتلاعب بالجسر.
قدم شوارتز فرضيته الخاصة حول ما حدث على مستوى البروتوكول. وكتب: “لدي شعور غريب بأن جزءاً من المشكلة سيكون شيئاً مثل اختيار كيلب داو عدم استخدام ميزات الأمان الرئيسية في لايرزيرو بدافع الراحة”.
تقدم لايرزيرو نفسها آليات أمان قوية تشمل شبكات تحقق لامركزية. السؤال الذي يفحصه المحققون الآن هو ما إذا كانت كيلب داو قد قامت بتكوين تنفيذها باستخدام إعداد أمان بسيط، وتحديداً نقطة فشل وحيدة مع مختبرات لايرزيرو كمتحقق وحيد، بدلاً من الخيارات الأكثر تعقيداً ولكنها أكثر أماناً بكثير والمتاحة.
الأسئلة الشائعة
ما الذي تعرضت له كيلب داو؟
تعرض جسر كيلب داو لاختراق أدى إلى سرقة حوالي 292 مليون دولار من عملة rsETH، بسبب تسرب مفتاح خاص واستغلال ثغرة أمنية.
ما هي المشكلة الرئيسية التي أشار إليها ديفيد شوارتز؟
أشار إلى أن العديد من مزودي جسور التمويل اللامركزي يروجون لميزات أمان متقدمة، لكنهم في نفس الوقت يشجعون عملياً على عدم استخدامها بسبب تعقيدها، مما يترك النظام ضعيفاً.
كيف يمكن تجنب مثل هذه الاختراقات في المستقبل؟
من خلال عدم التضحية بميزات الأمان الأساسية من أجل الراحة أو البساطة، واستخدام خيارات التحقق القوية والمتعددة المتاحة في البروتوكولات بدلاً من الاعتماد على نقطة فشل وحيدة.
