تأملات عميقة حول حادثة هجوم هاكر على بروتوكول سيتوس

أصدر بروتوكول معين تقرير "مراجعة" أمنية بعد تعرضه لهجوم هاكر مؤخرًا. على الرغم من أن التقرير يظهر أداءً ممتازًا في التفاصيل الفنية واستجابة الطوارئ، إلا أنه يبدو متجنبًا عند تفسير الأسباب الجذرية للهجوم.

تتناول التقرير بشكل رئيسي الأخطاء في فحص دالة checked_shlw في مكتبة integer-mate، وتصنفها على أنها "سوء فهم دلالي". على الرغم من أن هذا السرد ليس به مشكلة من الناحية التقنية، إلا أنه يبدو أنه يهدف إلى تحويل التركيز إلى عوامل خارجية، كما لو أن البروتوكول نفسه هو أيضًا ضحية لهذا العيب الفني.

ومع ذلك، عند تحليل مسار الهجوم الهاكر بعناية، سيتبين أن نجاح الهجوم يتطلب تلبية أربعة شروط في وقت واحد: فحص تجاوز غير صحيح، عمليات إزاحة كبيرة، قاعدة التقريب للأعلى، ونقص في التحقق من الجدوى الاقتصادية. وقد حدثت إغفالات كبيرة في بروتوكول عند كل "شرط تحفيز".

بروتوكول يجب أن يعيد التفكير في القضايا الحقيقية التي تشمل:

1. لماذا لم يتم إجراء اختبارات أمان كافية عند استخدام المكتبات الخارجية العامة؟ على الرغم من أن هذه المكتبة مفتوحة المصدر وتستخدم على نطاق واسع، يجب على فريق البروتوكول أن يكون لديه فهم أعمق لحدود أمان المكتبة والمخاطر المحتملة عند إدارة الأصول الكبيرة.

2. لماذا يُسمح بإدخال أرقام فلكية غير معقولة دون وضع حدود معقولة؟ على الرغم من أن اللامركزية هي الهدف، إلا أن الأنظمة المالية الناضجة تحتاج إلى حدود واضحة أكثر. هذا يعكس أن الفريق قد يفتقر إلى المواهب في إدارة المخاطر الذين يمتلكون حدسًا ماليًا.

3. لماذا لم يتم اكتشاف أي مشاكل بعد العديد من عمليات التدقيق الأمني؟ هذا يكشف عن سوء فهم شائع: الاعتماد المفرط على التدقيق الأمني مع تجاهل مسؤولية المشروع نفسه. تتعلق أمان DeFi الحديثة بعلوم الرياضيات والتشفير والاقتصاد، وهذا هو بالضبط ما يشكل منطقة العمى الحالية في التدقيق الأمني.

تسلط هذه الحادثة الضوء على الثغرات النظامية في أمان صناعة DeFi: الفرق ذات الخلفية التقنية البحتة غالبًا ما تفتقر إلى "حس المخاطر المالية" الأساسي.

في هذا الصدد، يجب على فريق DeFi:

• استقدام خبراء في إدارة المخاطر المالية لسد الفجوات المعرفية في الفريق الفني
• إنشاء آلية مراجعة التدقيق متعددة الأطراف، بما في ذلك تدقيق الشيفرة وتدقيق النموذج الاقتصادي
• تطوير "حاسة المال"، محاكاة سيناريوهات الهجوم المختلفة ووضع تدابير للتعامل معها
• كن حذرًا للغاية من العمليات غير العادية

مع تطور الصناعة، ستقل الأخطاء التقنية البحتة تدريجياً، بينما ستصبح "أخطاء الوعي" في المنطق التجاري غير الواضح والمهام الغامضة التحدي الأكبر. يمكن لشركات تدقيق الأمان التأكد من عدم وجود أخطاء في الشيفرة، لكن كيفية تحقيق "وجود حدود للمنطق" تتطلب من فرق المشاريع فهم جوهر الأعمال بشكل أعمق وقدرة على التحكم.

مستقبل DeFi ينتمي إلى الفرق التي لا تتمتع فقط بتقنية قوية، ولكن أيضًا بفهم عميق للمنطق التجاري. فقط من خلال تطوير وعي حقيقي بالمخاطر الأمنية لدى "مهندسي المالية" يمكن الوقوف بثبات في هذا المجال سريع التطور.