لقد تواكبت للتو مع حادثة Resolv من قبل بضعة أسابيع وبصراحة، فهي تذكير صارخ بكيفية أن تصبح تعقيدات التمويل اللامركزي أكبر مسؤولية لها.

إذن إليك ما حدث في 22 مارس. Resolv، بروتوكول التمويل اللامركزي الذي خضع لـ 18 تدقيق أمني، تعرض للاختراق. لكن ليس من خلال خطأ في العقد الذكي. بدلاً من ذلك، تمكن المهاجمون من الوصول إلى بيئة AWS KMS الخاصة بهم حيث كان البروتوكول يخزن مفاتيح التوقيع المميزة. من هناك، كانت الهجمة بسيطة بشكل مخجل تقريبًا: قاموا بعمل إصدار 80 مليون عملة USR مستقرة غير مضمونة وسحبوا حوالي 25 مليون دولار من القيمة قبل أن يتمكن أحد من إيقافهم.

الآليات تستحق الفهم لأنها تكشف عن خلل تصميم أساسي. لم تكن عملية إصدار USR من Resolv مكتملة على السلسلة. عندما يرغب المستخدمون في إصدار USR، كانوا يودعون USDC عبر requestSwap، ثم خدمة خارج السلسلة يسيطر عليها مفتاح خاص كانت تصادق على كمية الإصدار الفعلي عبر completeSwap. العقد الذكي نفسه لم يكن لديه حد أعلى على الإصدار — فقط كان يتحقق من صحة التوقيع. هذا هو الثغرة الأمنية هناك.

قام المهاجمون بإيداع ربما 100-200 ألف دولار من USDC عبر عدة معاملات. ثم استخدموا المفتاح الموقع المخترق للموافقة على إصدار 50 مليون USR في معاملة واحدة، ثم 30 مليون في أخرى. مع معاملتين، 80 مليون رمز، تقريبًا بدون ضمانات حقيقية تدعمها. من هناك، حولوا إلى wstUSR (مشتق من الرهان)، تبادلوا إلى عملات مستقرة أخرى، عبروا إلى ETH، واختفوا بما يقرب من 24 مليون دولار من ETH وبعض المراكز المتبقية.

ما يثير الدهشة هو تأثير السوق. انهارت قيمة USR بنسبة 80% عندما حدث هذا — انخفضت إلى 0.20 دولار قبل أن تتعافى إلى حوالي 0.56 دولار. اضطر البروتوكول إلى تعليق جميع العمليات على الفور. والشيء الذي يبرز حقًا هو أن هذا الهجوم بأكمله تم خلال دقائق. بحلول الوقت الذي لاحظ فيه أحد أن هناك خطبًا، كانت الأضرار قد وقعت.

هذا هو نوع الحادث الذي ينبغي أن يعيد تشكيل طريقة تفكيرنا حول بنية تحتية التمويل اللامركزي. العقود الذكية عملت تمامًا كما هو مخطط لها. المشكلة كانت أن افتراضات أمان النظام كانت تعتمد بشكل مفرط على البنية التحتية السحابية والمكونات خارج السلسلة. عندما يتم اختراق تلك الطبقة، لا يهم الكود على السلسلة. أنت بحاجة إلى آليات كشف استجابة تلقائية في الوقت الحقيقي — ليست مجرد ميزات إضافية، بل ضرورات مطلقة.

تشير المقالة إلى كيف كان يمكن لأنظمة المراقبة أن تلتقط هذا. إذا كانت هناك قاعدة تثير التنبيهات عندما تتجاوز نسب الإصدار القيم الطبيعية بمقدار 1.5 مرة، لكانت هاتان المعاملتان الضخمتان قد تم الإبلاغ عنهما على الفور. أو إذا كانت هناك وظيفة إيقاف تلقائية مرتبطة بأحداث إصدار غير معتادة، لكان البروتوكول قد توقف النزيف قبل أن تصل 80 مليون عملة إلى السوق.

لهذا أكرر القول: افترض أن الاختراقات ستحدث. افترض أن المفاتيح ستتم سرقتها. افترض أن البنية التحتية ستفشل. السؤال ليس إذا، بل متى. وعندما يحدث ذلك، تحتاج إلى آليات يمكنها الكشف والاستجابة بسرعة تفوق قدرة المهاجمين على الاستغلال. كان لدى Resolv التدقيقات، والإجراءات الأمنية القياسية، لكن لم يكن لديها طبقة دفاع في الوقت الحقيقي ربما كانت ستفرق بين حادثة محتواة وخسارة بقيمة 25 مليون دولار.