أفضل المعلومات حول العملات الرقمية تصلك مباشرة إلى بريدك الإلكتروني.
ما هي الثغرات الأمنية في Web3 التي كشف عنها اختراق KelpDAO؟
- كشفتdentأمن Web3 أن التطبيقات نادراً ما تتفاعل مع السلاسل بشكل مباشر، ولكنها تعتمد على بيانات RPC.
- قد تكون طبقة البيانات معيبة أو خاضعة للرقابة، مما يؤدي إلى تباين بين بيانات التطبيق والأرصدة الموجودة على سلسلة الكتل.
- يُعد أمان Web3 مسألة سرعة، ويجب أن تعمل البروتوكولات على أتمتة الاستجابة للمعاملات المشبوهة.
كشفت عملية اختراق KelpDAO عن عدة ثغرات في أمان Web3. تمثلت المشكلة الأكبر في تنفيذ سلاسل الكتل للمعاملات بسلاسة تامة، رغم اعتمادها على بيانات خاطئة.
لا تزال حماية Web3 في صدارة الأولويات، كوسيلة لإعادة بناء الثقة في DeFi . وقد خلّف اختراق KelpDAO تداعيات طويلة الأمد على DeFi إقراض التمويل ، وأثار تساؤلات حول تعزيز حماية Web3.
قد تدفع موجة الاختراقات الأخيرة في أبريل/نيسان التطبيقات إلى إعادة النظر في طريقة وصولها إلى البيانات والسماح بالمعاملات. واستمرت اختراقات مماثلة في مايو/أيار، حيث بلغت الخسائر 930 ألف دولار حتى الآن. ومؤخراً، خسرت منصة Bisq Protocol مبلغ 858 ألف دولار نتيجة خلل في منطق البروتوكول وهجوم عميل مزيف، وفقاً DeFiLlama لبيانات.
تواجه تطبيقات Web3 مشكلة في التحقق من البيانات
وفقًا لفيكتور فاي من شركة أورميلابز، فإن اختراق KelpDAO هو مثال واضح على كيفية استمرار التطبيق في العمل، حتى لو لم تتطابق حالة سلسلة الكتل مع البيانات.
أوضح فاي أن التطبيقات لا تعتمد دائمًا على سلسلة الكتل مباشرةً، بل تستخدم وسطاء مثل عقد RPC بدلاً من البيانات الخام الموجودة على السلسلة. وهذا شرط أساسي لشبكة Ethereum وغيرها من سلاسل الكتل القديمة، التي لم يعد من الممكن الوصول إليها مباشرةً لمعظم التطبيقات.
مع محدودية مصادر البيانات، لا يمكن للجسر الاعتماد إلا على مجموعة صغيرة من عُقد RPC. وعندما تتعرض بعض المصادر للاختراق أو تصبح غير متاحة، قد يعمل التطبيق ببيانات غير صحيحة، بينما ستظل السلسلة الأساسية تحسب المعاملات على أنها صحيحة.
لا تصل معظم تطبيقات Web3 الحديثة إلى سلسلة البيانات مباشرةً، بل تعتمد على بعض أشكال الفهرسة لجلب المعلومات ذات الصلة. وقد تُظهر هذه الفهرسة بيانات خاطئة أو تُصبح ثغرة أمنية مباشرة.
كشفت ثغرة KelpDAO عن هذه الثغرة الأمنية بالكامل. إذ اعتمدت عملية التحقق على عدد محدود من مصادر RPC، وتمكن المهاجمون من اختراق بعض هذه المصادر. وبفضل طبقة البيانات المعيبة، عالجت سلسلة الكتل المعاملات كالمعتاد، وأنفقت عملات حقيقية مقابل رصيد وهمي.
تصبح المشكلة أكثر خطورة إذا سُمح لوكلاء الذكاء الاصطناعي بالتصرف بناءً على طبقة بيانات محدودة وربما معيبة.
ما الذي يمكن أن يزيد من أمان Web3؟
أكبر عيوب KelpDAO وبروتوكول Driftوغيرهما من عمليات الاختراق الحديثة هي سرعة التنفيذ. فمعظم المعاملات تتم فورًا وتُنجز في الكتلة التالية، دون أي فترة انتظار أو فحوصات إضافية. صحيح أن Web3 روّج لقدرته على إجراء معاملات سريعة دون الحاجة إلى أذونات، إلا أنه يسمح أيضًا للمخترقين بتنفيذ عملياتهم بسرعة فائقة.
"إن مستقبل أمن Web3 يعتمد على السرعة. تُظهر بياناتنا أن القرصنة وغسيل الأموال سريعان وغير مكلفين، بينما استجابة الفرق بطيئة ومكلفة"، هذا ما علق به فلاديسلاف سيروتين، رئيس قسم التحقيقات في Global Ledger، لموقع Cryptopolitan.
يعتقد سيروتين أن مشاريع Web3 يجب أن تقلل من وقت اكتشافها لرصد التدفقات الخارجة غير العادية، أو الانخفاضات المفاجئة في السيولة، أو مكالماتtracالذكية المشبوهة.
بحسب شركة سيروتين، ينبغي أتمتة التنبيهات والحظر في غضون ثانية واحدة من وقوع الهجوم، وأن تكون تقارير الضحايا وتصنيف البيانات جاهزة في غضون 10 دقائق. أما الآن، فيستغرق الأمر ساعات أو أيامًا لحصر الخسائر الإجمالية tracمحافظ المهاجمين.
وأضاف سيروتين أن حتى الإطار الزمني الأبطأ، مع تنبيهات مدتها 30 ثانية ووضع العلامات في غضون أربع ساعات، يمكن أن يساعد في منع حوالي نصفdentوتقليل الخسائر.
إذا كنت تقرأ هذا، فأنت متقدم بالفعل. ابقَ متقدماً من خلال نشرتنا الإخبارية.
إخلاء مسؤولية: المعلومات الواردة هنا ليست نصيحة استثمارية. Cryptopolitanموقع أي مسؤولية عن أي استثمارات تتم بناءً على المعلومات الواردة في هذه الصفحة. ننصحtrondentdentdentdentdentdentdentdent /أو استشارة مختص مؤهل قبل اتخاذ أي قرارات استثمارية.
دورة
- أي العملات المشفرة يمكن أن تدر عليك المال
- كيفية تعزيز أمانك باستخدام المحفظة الإلكترونية (وأي منها يستحق الاستخدام فعلاً)
- استراتيجيات استثمارية غير معروفة يستخدمها المحترفون
- كيفية البدء في الاستثمار في العملات المشفرة (أي منصات التداول التي يجب استخدامها، وأفضل العملات المشفرة للشراء، إلخ)