استعراض حادثة هاكر Cetus: ثغرات الأمان تكشف عن نقاط الضعف النظامية لمشاريع التمويل اللامركزي 

أصدر بروتوكول Cetus مؤخرًا تقريرًا عن أمان الهجمات من هاكر، مما أثار متابعة واسعة في الصناعة. يكشف التقرير بالتفصيل عن التفاصيل التقنية وعملية الاستجابة الطارئة، ويعتبر بمثابة دليل دراسي. ومع ذلك، عند شرح جذور الهجوم، يبدو أن التقرير يتجنب الخوض في التفاصيل الهامة.

تقرير يركز بشكل رئيسي على الأخطاء في فحص دالة checked_shlw في مكتبة integer-mate، ويعتبرها "سوء فهم دلالي". على الرغم من أن هذا الوصف صحيح من الناحية الفنية، إلا أنه يبدو أنه ينقل المسؤولية إلى الخارج، ويصور Cetus كضحية لهذا العيب الفني.

ومع ذلك، بعد التحليل العميق، تم اكتشاف أن نجاح هجمات هاكر يتطلب تلبية عدة شروط في وقت واحد: فحص الفائض الخاطئ، عمليات الإزاحة الكبيرة، قواعد التقريب للأعلى، وغياب التحقق من الجدوى الاقتصادية. من المدهش أن Cetus يعاني من ثغرات واضحة في كل مرحلة.

على سبيل المثال، قبل النظام أرقامًا فلكية مثل 2^200 كمدخلات من المستخدم، وطبق عمليات نقل شديدة الخطورة بشكل كبير، معتمدًا بالكامل على آلية التحقق من المكتبات الخارجية. والأسوأ من ذلك، عندما حسب النظام نسبة التبادل غير المنطقية، نفذها مباشرة دون أي فحص للمعرفة الاقتصادية.

كشفت هذه الحادثة عن وجود نقص في فريق Cetus في عدة جوانب:

1. ضعف الوعي بأمان سلسلة التوريد: على الرغم من استخدام مكتبات مفتوحة المصدر وتستخدم على نطاق واسع، إلا أنه لم يتم فهم حدود أمانها بشكل كاف، ولم يتم إعداد بدائل مناسبة.

2. نقص في المواهب في إدارة المخاطر المالية: السماح بإدخال أرقام فلكية غير معقولة، مما يظهر أن الفريق يفتقر إلى القدرة على إدارة المخاطر مع حدس مالي.

3. الاعتماد المفرط على تدقيق الأمان: تفويض المسؤولية الأمنية إلى شركات التدقيق، مما يتجاهل المسؤولية الأساسية الخاصة بهم في مجال الأمان.

تُظهر هذه الحالة الثغرات الأمنية النظامية الشائعة في صناعة DeFi: الفرق ذات الخلفية التقنية الخالصة غالبًا ما تفتقر إلى الوعي الأساسي بمخاطر المال.

لمواجهة هذه التحديات، ينبغي على فرق مشاريع DeFi أن:

• إدخال خبراء في إدارة المخاطر المالية لسد الفجوات المعرفية في فريق التكنولوجيا.
• إنشاء آلية مراجعة تدقيق متعددة الأطراف، لا تقتصر فقط على تدقيق الكود، بل يجب أيضًا الاهتمام بتدقيق النموذج الاقتصادي.
• تطوير "حاسة المال"، محاكاة سيناريوهات الهجوم المختلفة ووضع استراتيجيات مناسبة، والبقاء في حالة تأهب عالية تجاه العمليات غير العادية.

مع تطور الصناعة، ستتقلص الثغرات التقنية على مستوى الأكواد البحتة تدريجياً، بينما ستصبح "ثغرات الوعي" الناتجة عن عدم وضوح الحدود وغموض المسؤوليات في المنطق التجاري هي أكبر تحدٍ. يمكن لشركات التدقيق التأكد من عدم وجود أخطاء في الأكواد، لكن كيفية تحقيق "وجود حدود للمنطق" تتطلب من فرق المشاريع فهمًا أعمق وقدرة على التحكم في جوهر الأعمال.

في المستقبل، سيكون نجاح صناعة DeFi من نصيب الفرق التي تتقن تقنيات البرمجة وتفهم بعمق منطق الأعمال.