عاجل! تم تفريغ بروتوكول DeFi آخر بطريقة كلاسيكية، تبخر 23 مليون دولار! لم يفعل المهاجم المعلوماتي سوى شيء واحد: سرق مفتاحاً.

إخواني، لقد حدثت مرة أخرى! قبل أيام قليلة، قام بروتوكول DeFi يُدعى Resolv، خلال دقائق، بطباعة 80 مليون دولار بشكل وهمي، ثم سحب حوالي 25 مليون دولار من ETH. الآن سعر العملة المستقرة USR، انخفض مباشرة من دولار إلى 20 سنتًا، وكأنه قطع من الكاحل. تظن أن المشكلة في ثغرة كبيرة في العقود الذكية؟ لا. الكود يعمل بشكل جيد، تمامًا كما هو مصمم. أين المشكلة إذن؟ قد لا تصدق إذا قلت لك، إنها ببساطة مفتاح واحد! مفتاح توقيع مخزن على خادم سحابي، سرقه شخص ما. الأمر بسيط هكذا. هذا يشبه ماذا؟ أن يكون لديك ثمانية عشر باب حماية من اللصوص في بيتك، ثم يقتحم اللص من النافذة، ويكتشف أن مفتاح الخزنة موجود على الحائط. هذه العملية، تعتبر درسًا قاسيًا لكل مشاريع DeFi حول الأمان. تظن أنك تلعب على بلوكشين، وأن الكود هو القانون؟ عمرها ما كانت بسيطة جدًا! أنت في الواقع تلعب في “دورة أمان مزود الخدمة السحابية” و"أساسيات إدارة المفاتيح الخاصة". كيف قام الهاكر بذلك؟ قولها بصراحة، إنه مخجل. الخطوة الأولى، دخل إلى خدمة AWS السحابية التي يستخدمها Resolv، ووجد المفتاح الذي يمنح صلاحية طباعة النقود. الخطوة الثانية، باستخدام هذا المفتاح، وضع حوالي 100-200 ألف دولار من USDC في البروتوكول، ثم وقع على أمر، وقال: “موافق، اطبع له 50 مليون USR”. بعد قليل، وقع مرة أخرى، وقال: “اطبع 30 مليون أخرى”. عندما نظر العقد على السلسلة، رأى أن التوقيع صحيح، والموافقة من المدير، فبدأ الطباعة! لا فحوصات ضمانات، ولا أسعار أوتوماتيكية، ولا حد أقصى للسك. العقد بسيط جدًا، يكتفي بالتوقيع ولا يهمه الأرقام. 80 مليون دولار، تم إنشاؤها من لا شيء. قد تسأل، إذا طبعوا هذا القدر، ألا يبيعونه مباشرة في السيولة، ويخترق السوق بسرعة؟ الهاكر أذكى من ذلك. الخطوة الثالثة، حولوا كل USR المثير للجدل إلى نوع من الأصول المشتقة المسمى wstUSR، وهو أكثر أمانًا من حيث السيولة، لأنه أقل تعرضًا. وأخيرًا، استمروا في التبديل، إلى عملات مستقرة أخرى، ثم إلى ETH، عبر العديد من DEXs وجسور عبر السلسلة، ليغسلوا الأموال. الآن، لا يزال هذا الشخص يحتفظ بأكثر من 10 آلاف ETH، بقيمة 24 مليون دولار، وهو في غاية الارتياح. أما المستثمرون الذين يحملون USR؟ فشاهدوا فجأة زيادة 80 مليون عملة، وانخفض السعر بشكل حاد، وفقدوا 80%. فريق المشروع اضطر لإيقاف كل شيء بشكل عاجل، لكن الأموال ضاعت. يا لها من سخرية. يُقال إن Resolv خضع لثمانية عشر تدقيق أمني! ثمانية عشر مرة! تكاليف التدقيق كانت تكفي لشراء سيارة رياضية، أليس كذلك؟ ومع ذلك، لم يتمكنوا من حماية الكود من الهجمات المباشرة، لكنهم فشلوا في حماية الخدمة السحابية والمفاتيح الخاصة. ماذا يعلمنا هذا؟ في عالم DeFi، مهما كانت الكودات جميلة، وتقارير التدقيق كثيرة، طالما أن هناك نقطة ضعف خارج السلسلة، مثل الخوادم، أو إدارة المفاتيح، أو خدمات طرف ثالث، فإن النظام كله هش. الهاكرز الآن لا يهاجمون الكود مباشرة، بل يختارون الثغرات الخارجية. خلال دقائق، ملايين الدولارات تضيع. وعندما تدرك الأمر، يكون الوقت قد فات. تحليل السوق يشير إلى أن هذه الكوارث كان يمكن تجنبها. مثلا، يمكن وضع نظام مراقبة فوري، يكتشف عمليات غريبة مثل “إيداع 10 آلاف وطباعة 50 مليون”، ويوقف العقد تلقائيًا أو يرسل إنذارًا. أو، يمكن إضافة خطوات تحقق على السلسلة لعمليات المديرين المهمين. لكن، هل تنفع النصائح الآن؟ كلها بعد فوات الأوان. المشروع متوقف، والأسعار انهارت، والهاكر يضحك. بقي لدينا أسئلة كثيرة: كم من المشاريع تعتمد على مفتاح سحابي واحد لسيطرة كاملة على حياتها وموتها؟ نحن ندرس الشموع، والأساسيات، والقصص، هل كنا ندرس في الاتجاه الخطأ؟ أكبر خطر قد لا يكون على السلسلة، بل في تلك الخوادم المخبأة في مراكز البيانات التي لا نراها ولا نلمسها. مع عمق الليل، وأنا أراقب مخطط العملة المستقرة المفصول، أفكر: من سيكون التالي الذي يُخترق بمفتاح واحد؟