عندما يتم اختراق منصة DeFi، غالبًا ما تقع الشكوك على المطلعين الذين هم الأكثر دراية بالعقود الذكية والإجراءات الأمنية، وبالتالي، من المرجح أن يكونوا قادرين على ابتكار استغلال. ولكن هل المطلعون مسؤولون حقًا عن معظم عمليات اختراق التمويل اللامركزي؟
بدا الأمر وكأنه سبق صحفي كبير للمحقق Librehash الموجود على السلسلة. في سبتمبر 2022، أفاد أن اختراق Wintermute، وهي منصة DeFi مقرها المملكة المتحدة، بقيمة 160 مليون دولار، كان على الأرجح عملاً داخليًا.
لقد استغلت خطأً في العقد الذكي الذي استخدمه Wintermute لإنشاء عناوين المحفظة المخصصة.
وفقًا لـ Librehash (الاسم الحقيقي James Edwards)، في تحليل مطول للاختراق، فإن المعاملات ذات الصلة التي بدأها العنوان المملوك خارجيًا (EOA) الذي أجرى المكالمة بشأن العقد الذكي المخترق “توضح أن المتسلل كان على الأرجح عميلاً داخليًا”. عضو في فريق وينترموت.”
“إن المعرفة المطلوبة لتنفيذ هذا الاختراق تمنع احتمال أن يكون المتسلل كيانًا خارجيًا عشوائيًا.”
وخلص المحقق في تغريدة على تويتر إلى أن الاختراق “كان نتاج عمل داخلي وليس مهاجمًا خارجيًا يستغل EOA بمفتاح خاص ضعيف”.
لكن ما بدا وكأنه قضية مفتوحة ومغلقة بالنسبة لشركة ليبرهاش، لم يكن من السهل إثباته للعالم بأسره. وقد رفض وينترموت، صانع السوق الآلي (AMM)، نظريته بشدة، مشيرًا إلى أنها انبثقت من “شائعة لا أساس لها من الصحة من صفحة متوسطة تحتوي على معلومات غير دقيقة في الواقع وفنية مرتبطة بالادعاءات المقدمة”.
وكتبت شركة أمن بلوكتشين بلوك سيك تحليلًا لتحليل ليبرهاس، وخلصت إلى أن “التقرير ليس مقنعًا بما يكفي لاتهام مشروع وينترموت”.
7/ بهذا ينتهي تحليلي لـ “اختراق” عقد Wintermute الذكي ولماذا توصلت إلى استنتاج مفاده أن هذا كان نتاج عمل داخلي وليس مهاجم خارجي يستغل EOA بمفتاح خاص ضعيف بسبب استخدام أداة مولد Addy Vanity الخاطئة
– جيمس إدواردز (@librehash) 26 سبتمبر 2022
إن الدليل القاطع على الوظائف الداخلية أمر صعب
ليس من المستغرب أن تقرير ليبرهاش، على الرغم من خصوصيته الفنية، لم يمر دون منازع.
في عالم اختراقات التمويل اللامركزي (DeFi) الغامض، لم يكن هناك سوى عدد قليل منهم نهائيا منسوبة إلى المطلعين. كان هناك الكثير من الشكوك والتخمينات حول الوظائف الداخلية والتكهنات حول مدى عمق المشكلة، ولكن حتى الآن، كان تثبيت الاختراق على أحد المطلعين يشبه في كثير من الأحيان محاولة تثبيت ذيل على حمار سريع الحركة.
يقول لي وو، كبير مسؤولي التكنولوجيا في BlockSec: “إن عدم الكشف عن الهوية الذي توفره أنظمة blockchain، إلى جانب إساءة استخدام خدمات تعزيز الخصوصية مثل Tornado Cash من قبل جهات فاعلة ضارة، يجعل من الصعب التأكد من هويات هؤلاء الجناة”.
هناك بعض الأمثلة المعروفة عن المطلعين الذين يُزعم أنهم يتصرفون بشكل سيئ. تم القبض على جون كاروني، الرئيس التنفيذي لشركة SafeMoon، واثنين من زملائه الشهر الماضي بتهمة نهب شركة العملات المشفرة في ولاية يوتا للحصول على رموز بقيمة “ملايين الدولارات” لشراء سيارات فاخرة وعقارات. وفي الوقت نفسه، كشفت شركة Remilia Corp، منشئة NFT، في سبتمبر أن المطور الذي عمل على مجموعة Bonkler الخاصة بها “اتخذ خطوات سمحت له بتحويل” أكثر من مليون دولار من الرسوم المولدة.
يقول نيفيل غريتش، المؤسس المشارك لشركة ديدوب لأمن البلوكتشين: “من الواضح أن هناك العديد من المشاريع التي كانت صعبة”، في إشارة إلى “السحب البساط” الذي يستنزف فيه مطورو العملات المشفرة مشاريعهم الخاصة من أموال المستثمرين.
“بعيدًا عن عمليات السحب، كانت هناك حالات تم فيها اختراق المشاريع بعد ساعات قليلة من إجراء إصلاح لقاعدة تعليمات برمجية عامة – ولكن لم يكن من الممكن نشر الإصلاح بعد – لذلك، ربما كان أحد المتابعين المتحمسين للمشروع متضمن.”
ال تعني شفافية DeFi أنه مع قليل من العمل، يمكن لأي مجرم إلكتروني ماهر بما فيه الكفاية تحديد الثغرات في العقود. أشارت تشيناليسيس في تقريرها عن جرائم العملات المشفرة لعام 2023 إلى أن هذه الشفافية هي “ما يجعل التمويل اللامركزي DeFi ضعيفًا للغاية – يمكن للمتسللين فحص كود التمويل اللامركزي بحثًا عن نقاط الضعف والهجوم في الوقت المناسب لتعظيم سرقتهم”.
ولكن عندما يتعلق الأمر باستغلال مثل هذه الفرص، يقول غريتش، فإن المطلعين على بواطن الأمور يتمتعون “بمزايا معرفية، مثل الوصول إلى تعليمات برمجية لم يتم التحقق منها، وتقييمات أمنية، ومعرفة فنية عميقة حول تشغيل المشروع ونقاط الضعف المحتملة”.
لكنه يضيف أن هذا سلاح ذو حدين. “يمكن اكتشاف المطلعين بسهولة أكبر نظرًا لأن أعضاء الفريق سيكونون قريبين منهم ويمكنهم بسهولة تخمين تصرفاتهم.”
الاختراقات الأخرى حيث يشتبه في وجود المطلعين
تتضمن عمليات اختراق DeFi المنسوبة إلى المطلعين ما يلي:
في ديسمبر 2022، أعلن بروتوكول التمويل اللامركزي Ankr أن محفظة موزع العقود الذكية aBNBc الخاصة به قد تعرضت للاختراق، مما سمح للمتسلل بصك ستة كوادريليون من رموز aBNBc، والتي تم تحويلها في النهاية إلى ما يقرب من 5 ملايين دولار. وفقًا لأنكر، “تصرف أحد أعضاء الفريق السابق (الذي لم يعد يعمل مع Ankr) بشكل ضار لإجراء مجموعة من الهجمات على الهندسة الاجتماعية وسلسلة التوريد، حيث قام بإدخال حزمة تعليمات برمجية ضارة كانت قادرة على اختراق مفتاحنا الخاص بمجرد إجراء تحديث شرعي صنع.”
وقالت أنكر إنها تعمل مع سلطات إنفاذ القانون “لمحاكمة عضو الفريق السابق وتقديمه للعدالة”. ولسوء الحظ، يمكن للجهات الفاعلة السيئة الداخلية التأثير على أي بروتوكول ونحن نعمل … على تعزيز وضعنا الأمني للمضي قدمًا. حتى الآن، يبدو أنه لم يتم توجيه أي اتهامات، ولم يستجب المؤسسان المشاركان لشركة Ankr، ستانلي وو وتشاندلر سونج، لطلبات التعليق على حالة القضية.
شكوك iToken
في أكتوبر، نبهت شركة أمان blockchain PeckShield إلى أن محفظة العملات المشفرة iToken، المعروفة سابقًا باسم Huobi Wallet، “يشتبه في أنها قد استنزفت” حوالي 260 ألف دولار من أموال المستخدمين، والتي حولها المتسلل إلى ما يقرب من 2.9 مليون من رموز TRX قبل تحويلها إلى عملات مشفرة. التبادلات ChangeNOW وBinance. وتكهن المجتمع بأن أحد المطلعين هو المسؤول، ويرجع ذلك جزئيًا إلى أنه قبل ثلاثة أسابيع، ذكرت وسائل الإعلام الصينية أن أساليب تقوية مستخدم iToken والمفاتيح الخاصة قد تم اختراقها من قبل موظف سابق، مما أدى إلى خسارة قدرها 1.39 مليون دولار. “تم التحقيق مع الموظف من قبل الشرطة”، حسبما أفاد المحقق على السلسلة Wu Blockchain.
بعد أن كشفت Boy X Highspeed، وهي بورصة لامركزية عبر السلاسل، في أكتوبر 2021 عن تعرضها للسرقة بمبلغ 139 مليون دولار، قال الرئيس التنفيذي نيو وانغ إن الاختراق ربما كان وظيفة داخلية حيث قام أحد الموظفين باختراق المفتاح الخاص للمسؤول عن طريق إصابة منصة BXH ببرامج ضارة. فيروس ثم استخدم المفتاح لاقتحام عنوان BNB Smart Chain الخاص به. وفقًا لوانغ، رفعت BXH قضية إلى وحدة الشرطة الصينية التي تحقق في الجرائم الرقمية. ولا تزال نتيجة القضية مجهولة.
اقرأ أيضا
سمات
DeFi مقابل CeFi: اللامركزية من أجل الفوز؟
سمات
يتم إنفاق المليارات على تسويق العملات المشفرة لعشاق الرياضة – هل يستحق الأمر ذلك؟
تعد قرصنة DeFi عملاً متناميًا
ليس هناك شك في أن منصات DeFi كانت بمثابة أرض صيد سعيدة لقراصنة العملات المشفرة بشكل عام. وفقًا لـ Chaina Analysis، شكلت مشاريع DeFi 82.1٪، أو 3.1 مليار دولار، من الرقم القياسي البالغ 3.8 مليار دولار الذي سرقه المتسللون في عام 2022. وهذه زيادة عن 73.3٪ المسجلة في عام 2021.
فاق عدد عمليات اختراق التمويل اللامركزي عدد عمليات الاختراق غير المتعلقة بالتمويل اللامركزي بنسبة 3.5:1، مع كون استغلال جسر شبكة Ronin Network الذي يركز على الألعاب بقيمة 625 مليون دولار هو الأكبر على الإطلاق.
تعكس الزيادة في قرصنة التمويل اللامركزي، جزئيًا، النمو الهائل للقطاع. قبل الانخفاض خلال السوق الهابطة، ارتفعت القيمة الإجمالية المقفلة في بروتوكولات DeFi بنسبة 1,222٪ في عام 2021 إلى 247.8 مليار دولار، وفقًا لمنصة التحليلات DefiLlama.
إذن، من الذي ينفذ هذه الاختراقات؟ ويشكل المتسللون المرتبطون بكوريا الشمالية، مثل أولئك الموجودين في نقابة مجرمي الإنترنت في مجموعة لازاروس، عاملاً كبيرًا. أفادت تشيناليسيس أن كوريا الشمالية هي “إحدى القوى الدافعة وراء اتجاه قرصنة التمويل اللامركزي DeFi الذي اشتد في عام 2022”.
وبطبيعة الحال، هناك الكثير من المبرمجين الغامضين الذين يتمتعون بالمهارات اللازمة لمهاجمة البروتوكول.
في اختراق خارجي حديث، اتهمت السلطات الأمريكية في يوليو شكيب أحمد، وهو مهندس أمني سابق في أمازون، باستخدام مهاراته التقنية لسرقة الملايين من الأصول من بورصة عملات مشفرة لامركزية في عام 2022. واعترف بأنه مذنب هذا الأسبوع وسيتعين عليه مصادرة 12.3 دولار. مليون دولار في العملة المشفرة ويواجهون عقوبة السجن لمدة تصل إلى خمس سنوات.
يقول وو إن الثغرات الأمنية في التعليمات البرمجية ذاتية التنفيذ، أو العقود الذكية، على منصات DeFi blockchain “تتراوح من المشكلات التقليدية مثل تجاوز الأعداد الصحيحة وأخطاء إعادة الدخول إلى الأخطاء المنطقية الفريدة لبروتوكولات DeFi”. إن المطلعين على بواطن الأمور على دراية وثيقة بالعديد من نقاط الضعف هذه، ولكن يمكن العثور على نقاط الضعف من خلال جهات خارجية أيضًا.
الجرائم الإلكترونية الأكثر وضوحًا التي يرتكبها المطلعون تأتي في شكل “سحب البساط”.
يقول ريتشارد ما، الرئيس التنفيذي لشركة Quantstamp لأمن blockchain: “في كل يوم تقريبًا، هناك عمليات جذب صغيرة”.
“تميل وسائل الإعلام وCrypto Twitter إلى مناقشة عمليات الاختراق الكبيرة ولكن ليس هذه البساطات الصغيرة التي تبلغ قيمتها عشرات الآلاف من الدولارات.”
يوضح ما أنه في مثل هذه الاختراقات، يستخدم منشئ المشروع “بابًا خلفيًا في العقد الذكي لسك العملات الرقمية وبيعها في Uniswap أو يستخدم بابًا خلفيًا لسرقة الأموال”.
الحالة الغريبة لـ Multichain
ما قد يكون أحد أكبر عمليات سحب السجادة ظهر إلى النور في يوليو عندما أعلنت Multichain، وهي منصة تسهل المعاملات عبر السلاسل، على تويتر أنها توقفت عن العمل بعد أن تم قفل أصول المستخدم على عناوين الحوسبة متعددة الأطراف (MPC) الخاصة بها ” وتم نقلهم إلى عناوين مجهولة بشكل غير طبيعي”.
كما ذكر الإعلان الغامض إلى حد ما أن Multichain فقدت الوصول إلى خوادم عقدة MPC الخاصة بها في مايو الماضي بعد أن ألقت الشرطة الصينية القبض على مديرها التنفيذي، Zhaojun He. وقالت إن الخوادم كانت تعمل ضمن حساب الخادم السحابي الشخصي لـ Zhaojun، ولم يتمكن أي عضو آخر في فريق Multichain من الوصول إلى هذا الحساب.
وقالت Multichain: “منذ بداية المشروع، كانت جميع الأموال التشغيلية والاستثمارات من المستثمرين تحت سيطرة Zhaojun”. “وهذا يعني أيضًا أن جميع أموال فريق (Multichain) والوصول إلى الخوادم هي في حوزة Zhaojun والشرطة.”
وفقًا لـ Multichain، تم أيضًا القبض على أخت Zhaojun وقيل إنها “احتفظت” بأصول المستخدم المتبقية عن طريق تحويلها إلى المحافظ التي تسيطر عليها. وقالت Multichain: “إن حالة الأصول التي احتفظت بها غير مؤكدة”.
وقدرت شركة Chainalogy أنه تم استنزاف أكثر من 125 مليون دولار من الأصول في الاختراق. وأضافت تشيناليسيس: “على الرغم من أنه من الممكن أن يكون متسلل خارجي قد استولى على مفاتيح (MPC)، إلا أن العديد من خبراء الأمن والمحللين الآخرين يعتقدون أن هذا الاستغلال يمكن أن يكون وظيفة داخلية أو عملية جذب بساط”.
ومع ذلك، فقد تم تطوير نظريات أخرى حول اختراق Multichain. أحدهما هو أنه تم القبض على تشاو جون وتم الاستيلاء على الأصول كجزء من عملية صينية لمكافحة غسيل الأموال. وبدلاً من ذلك، يقول غريتش، “التفسير المعقول هو أن مؤسس المشروع فقد مفاتيحه الخاصة أمام ضباط إنفاذ القانون (المارقين المزعومين)” بعد إلقاء القبض عليه.
لم تسلط السلطات الصينية أي ضوء على لغز Multichain، ولم تكن هناك تحديثات حول حالة Zhaojun وشقيقته.
أيًا كان مرتكبو السلاسل المتعددة، فإن مذبحة التمويل اللامركزي تظهر بعض علامات التراجع. في الأشهر الستة الأولى من هذا العام، سرق مجرمو الإنترنت 480 مليون دولار من خلال اختراقات التمويل اللامركزي للعقود الذكية، بانخفاض 75٪ عن نفس الفترة من عام 2022، وفقًا لشركة PeckShield. قال مزود تحليل بلوكتشين إليبتيك في تقرير حديث إن “النشاط الأخير لمجموعة لازاروس يشير إلى أنها حولت تركيزها منذ العام الماضي من الخدمات اللامركزية إلى الخدمات المركزية”.
لكن التهديد الداخلي لا يزال يمثل تهديدًا خبيثًا بشكل خاص لقطاع التمويل اللامركزي. ويتمسك ليبرهاش بتحليله لاختراق وينترموت. وقال في منشور على التلغرام:
“لم يتم فضح أي شيء لأن هذه القناة لا تنشر نظريات المؤامرة أو تدفع بأفكار غير مدروسة وسيئة البحث من أجل توليد نقرات أو مشاهدات أو غير ذلك.”
يشترك
القراءات الأكثر جاذبية في blockchain. يتم تسليمها مرة واحدة في الأسبوع.
ماثيو هيلر
ماثيو هيلر، مراسل وكالة أنباء سابق، يعمل الآن كمحقق وصحفي مستقل.













