اختراق KelpDAO يكشف الثغرات في أمان الويب 3

أظهر اختراق KelpDAO العديد من الخطوط الضعيفة في أمان الويب 3. كانت المشكلة الأكبر هي تنفيذ البلوكتشين للمعاملات بشكل مثالي استنادًا إلى بيانات معيبة.

لا يزال أمان الويب 3 في الصدارة، كوسيلة لإعادة بناء الثقة في بروتوكولات التمويل اللامركزي. كان لاختراق KelpDAO تداعيات دائمة على الإقراض اللامركزي وأثار قضايا تتعلق بتعزيز أمان الويب 3.

وصلت عمليات الاختراق في التمويل اللامركزي إلى أعلى مستوى لها خلال عام في أبريل، مما فتح نقاشًا حول مخاطر الويب 3 وطرق أفضل لاعتراض الاختراقات. | المصدر: DeFiLlama.

قد تجعل موجة الاختراقات الأخيرة في أبريل التطبيقات تعيد تقييم طريقة وصولها إلى البيانات والسماح بالمعاملات. استمرت اختراقات مماثلة في مايو، مع $930K المفقودة حتى تاريخه في الشهر. مؤخرًا، فقد بروتوكول Bisq $858K استنادًا إلى منطق بروتوكول معيب وهجوم عميل مزيف، وفقًا لبيانات DeFiLlama.

تواجه تطبيقات الويب 3 مشكلة في التحقق من البيانات

وفقًا لفيكتور فاي من أورمي لابز، فإن اختراق KelpDAO هو مثال واضح على كيف يمكن لتطبيق أن يظل يعمل، حتى لو لم يتطابق حالة البلوكتشين مع البيانات.

وأوضح فاي أن التطبيقات لا تشير دائمًا مباشرة إلى البلوكتشين. بدلاً من ذلك، تعتمد على وسطاء مثل عقد RPC، بدلاً من البيانات الخام على السلسلة. هذا مطلب لEthereum وسلاسل أقدم أخرى، والتي لم تعد قابلة للوصول مباشرة لمعظم التطبيقات.

مع مصدر محدود للبيانات، يمكن للجسر الاعتماد فقط على مجموعة صغيرة من عقد RPC. عندما يتم اختراق بعض المصادر أو تصبح غير متاحة، قد يعمل التطبيق على بيانات سيئة، بينما لا تزال السلسلة الأساسية تعتبر المعاملات صحيحة.

معظم تطبيقات الويب 3 الحديثة لا تصل مباشرة إلى السلسلة، بل تعتمد على أشكال من الفهرسة لجلب المعلومات ذات الصلة. يمكن أن تعرض الفهرسة بيانات معيبة أو تصبح نقطة هجوم مباشرة.

كشف استغلال KelpDAO عن هذه الثغرة بشكل كامل. وثقت عملية التحقق بعدد محدود من مصادر RPC، واستولى المهاجمون على بعض تلك المصادر. مع طبقة بيانات معيبة، عالجت البلوكتشين المعاملات كالمعتاد وأنفقت عملات حقيقية مقابل رصيد زائف.

تصبح المشكلة أكثر خطورة إذا سمح لوكلاء الذكاء الاصطناعي بالتصرف استنادًا إلى طبقة بيانات محدودة ومعيبة محتملة.

ما الذي يمكن أن يعزز أمان الويب 3؟

أكبر عيب في اختراق KelpDAO، وبروتوكول Drift، وغيرها من الاختراقات الأخيرة هو سرعة التنفيذ. حدثت معظم المعاملات على الفور وتم تأكيدها في الكتلة التالية، بدون فترة تبريد أو فحوصات إضافية. أعلنت الويب 3 عن قدرتها على إجراء معاملات سريعة بدون إذن، لكنها تتيح أيضًا للمهاجمين تنفيذ عمليات سرقتهم بسرعة.

قال فلاديسلاف سيروتين، رئيس التحقيقات في جلوبال ليدجر لـ Cryptopolitan: “مستقبل أمان الويب 3 يعتمد على السرعة. تظهر بياناتنا أن الاختراق وغسل الأموال سريعان ورخيصان، في حين أن استجابة الفرق بطيئة ومكلفة.”

يعتقد سيروتين أن مشاريع الويب 3 يجب أن تقلل من زمن الكشف للكشف عن التدفقات غير العادية، والانخفاض المفاجئ في السيولة، أو استدعاءات العقود الذكية المشبوهة.

وفقًا لسيروتين، يجب أن تكون التنبيهات والحظر مؤتمتة خلال ثانية واحدة بعد الهجوم، وأن تكون تقارير الضحايا وتصنيف البيانات جاهزة خلال 10 دقائق. حاليًا، يستغرق الأمر ساعات أو أيام لتجميع إجمالي الخسائر وتتبع مجموعات المحافظ للمهاجمين.

وأضاف أن إطارًا زمنيًا أبطأ، مع تنبيهات خلال 30 ثانية وتصنيف خلال أربع ساعات، يمكن أن يساعد في منع حوالي نصف الحوادث وتقليل الخسائر.

لا تكتفِ بقراءة أخبار العملات الرقمية. افهمها. اشترك في نشرتنا الإخبارية. إنها مجانية.