تشارلز هوسكينسون يشير إلى كاردانو وميدنايت كحل لمشاكل التوافق بين السلاسل التي تسببت في اختراق KelpDAO

النقاط الرئيسية:

• استغل مهاجم جسر KelpDAO عبر السلاسل في 18 أبريل، وسرق 116,500 إيثر معاد استثماره بقيمة تقارب 292 مليون دولار.
• أدى الاختراق إلى تدفقات خارجية من DeFi TVL تجاوزت قيمتها 13 مليار دولار في غضون 48 ساعة، مما أثر على Aave وCompound وMorpho وما لا يقل عن 9 بروتوكولات أخرى.
• يقول تشارلز هوسكينسون إن إثباتات عدم المعرفة والحساب متعدد الأطراف في Midnight يمكن أن تمنع تكرار هذا النوع من الهجمات.

هوسكينسون يشرح لماذا يتجنب الرهان غير الوديع في كاردانو مخاطر إعادة الرهان

قام تشارلز هوسكينسون، مؤسس Cardano والمؤسس المشارك لـ Ethereum، بتحليل الهجوم في مقطع فيديو نُشر من وايومنغ، حيث أطلع المشاهدين على موقع ويب مخصص لتقارير الحوادث تم إنشاؤه بواسطة الذكاء الاصطناعي (AI).

قال هوسكينسون: "يفترض نموذج التهديد القياسي لـ DeFi أن أخطاء العقود الذكية هي الخطر السائد." "هذا لم يعد صحيحًا."

وأضاف:

"يمكن أن تكون الجسور مشكلة كبيرة. المدقق الفردي ليس جيدًا. لا تفعل ذلك. ثم المشكلة هي أنه إذا سرقوا المال، فإن إقراض DeFi هو شرط الخروج. لذا، بشكل أساسي، يمكنك الإيداع، ويمكنك الإقراض، وعندما تحصل على تلك الرموز، فإنك تحصل على رموز غير مرتبطة بالسرقة، ويكون الضمان ملوثًا فعليًا."

أرسل المهاجم رسالة مزيفة من Layerzero وصلت إلى عقد نقطة النهاية v2 المتصل بمحول إعادة الرهان الخاص بـ Kelp، والذي أطلق بعد ذلك الرموز من حساب ضمان إيثريوم. ادعت الحزمة المزيفة أن معرف نقطة النهاية 30320 في Uni-Chain هو مصدرها. اعتمد تكوين Kelp عبر السلاسل على شبكة تحقق لامركزية واحدة، وهو إعداد واحد مقابل واحد أعطى المهاجم نقطة واحدة للاختراق.

لم تُباع الرموز المسروقة مباشرةً على منصات التبادل اللامركزية (DEX)، الأمر الذي كان سيؤدي إلى انهيار السعر. قام المهاجم بإيداع ETH المعاد استثماره كضمان في أسواق الإقراض مثل Aave قبل أن تتمكن Kelp أو شركاؤها من تجميد المراكز، واقترض إيثر مغلف سائل مقابل ذلك وخرج بأصول غير مرتبطة بالسرقة الأصلية. بقي الضمان الملوث داخل أسواق الاقتراض.

أكد تقرير الحادث المشترك الصادر عن Llamarisk، والذي نُشر في 20 أبريل، وجود ما يعادل 83,471 ETH موزعة على سبع محافظ للمهاجمين على Ethereum core و Arbitrum. حدد التقرير سيناريوهين للحل. الأول يوزع خسارة بنسبة 15.12% على جميع حاملي ETH المعاد استثمارها، مما ينتج عنه ما يقرب من 123 مليون دولار من الديون المعدومة التي تمتصها احتياطيات Ethereum core. والثاني يعزل الخسائر على مستوى الطبقة الثانية (L2)، ويعيد تسعير الرموز إلى دعم بنسبة 26.46٪ ويولد حوالي 230 مليون دولار من الديون المعدومة المركزة عبر Mantle و Arbitrum و Base، مع ترك Ethereum core دون مساس.

شهدت Aave وحدها تدفقات خارجية تتراوح بين 6.6 مليار دولار و8.45 مليار دولار. وصلت مجمعات ETH الملفوفة على Arbitrum وBase وMantle وLinia وPlasma إلى نسبة استخدام تقارب 100 في المائة، مما أدى فعليًا إلى منع عمليات السحب. تم تصنيف ما لا يقل عن تسعة بروتوكولات DeFi على أنها متأثرة بشكل مباشر، بما في ذلك Compound وMorpho وLido وEthena وPendle وEuler وBeefy وLombard Finance.

تم نشر ثلاث تحليلات لاحقة منفصلة من قبل KelpDAO و Layerzero و Llamarisk. لم يتفق أي منها على من يقع عليه المسؤولية. أعلنت Layerzero في 20 أبريل أنها لن تقوم بعد الآن بتوقيع أو التصديق على الرسائل لأي تطبيق يعمل بتكوين DVN واحد مقابل واحد، مما دفع إلى ترحيل على نطاق البروتوكول إلى إعدادات متعددة المصادقين. تؤكد Kelp أن التكوين الافتراضي لـ Layerzero يأتي مع التحقق من مصدر واحد عبر Ethereum و BNB Chain و Polygon و Arbitrum و Optimism، وأن ما بين 40% إلى 50% من جميع تطبيقات OFT الخاصة بـ Layerzero تستخدم حاليًا نفس الإعداد الفردي.

تشير التحليلات الجنائية على السلسلة إلى وجود صلات بمجموعة Lazarus، وهي مجموعة قرصنة مدعومة من الدولة ومرتبطة بكوريا الشمالية. لم تصدر أي شركة تحليل جنائي مستقلة أي إسناد رسمي، ولم يعلق مكتب التحقيقات الفيدرالي (FBI) علنًا.

هوسكينسون: "إذا كنت في عالم كاردانو، فما عليك سوى النقر على "تفويض"… نحن سائلون وغير أمناء"

أشار هوسكينسون إلى الهجوم كدليل على أن فشل التحقق من الجسور قد حل محل أخطاء العقود الذكية باعتباره ناقل التهديد الرئيسي لـ DeFi. واستشهد بفترة الـ 46 دقيقة بين الاستنزاف الأولي والتوقف الطارئ لـ Kelp كدليل على أن الاستجابة للحوادث مهمة ولكنها لا يمكن أن تتفوق على السرعة التي يمكن بها نشر الأصول المسروقة في أسواق الإقراض.

"ما يجعل هذا الأمر جديدًا هو العدوى"، أوضح هوسكينسون في الفيديو الخاص به. "لم يكن مجرد اختراق للجسر. لقد انتشر إلى الإقراض، مما أدى إلى انتشار الديون المعدومة داخل بروتوكولات الإقراض هذه. تسبب ذلك في حدوث اندفاع على البنوك، وشهدنا سحب 13 مليار دولار من TVL في فترة زمنية قصيرة جدًا بسبب اختراق بقيمة 290 مليون دولار. هذه أزمة ثقة."

وصف انخفاض تعرض كاردانو على أنه نتيجة لتصميمه السائل وغير الوديعي للمشاركة، والذي يلغي الحاجة إلى سلسلة التغليف من المشاركة إلى المشاركة السائلة إلى إعادة المشاركة التي خلقت سطح الهجوم في كيلب. جادل هوسكينسون بأن ميدنايت، السلسلة الجانبية لكاردانو التي تركز على الخصوصية، تعالج نقاط الضعف الأساسية المعنية.

يقوم بروتوكول Nightstream الخاص بها بدمج حالات السلسلة بأكملها في إثباتات تنتقل جنبًا إلى جنب مع الرسائل عبر السلاسل، مما يجعل الرسائل المزورة قابلة للتحقق قبل قبولها. وقال: "عندما يرسل الناس رسائل، يمكنهم التحقق من صحة ما يرونه". سيسمح دعم الحوسبة متعددة الأطراف على Midnight لشركة Layerzero بنشر تكوينات DVN جاهزة للاستخدام بنظام اثنين من ثلاثة أو خمسة من سبعة مع احتكاك تشغيلي أقل.

ستعمل إثباتات المعرفة الصفرية على حظر الرسائل الملوثة في طبقة التحقق. سيجعل إخفاء هوية الشبكة مكون DDoS من هذه الفئة من الهجمات أكثر صعوبة في التنفيذ. قال إن أدوات الذكاء الاصطناعي، بما في ذلك نماذج frontier التي يُقال إن مجموعة Lazarus يمكنها الوصول إليها من خلال موظفين داخليين تم رشوتهم في مختبرات الذكاء الاصطناعي الكبرى، تمكّن المهاجمين من فحص قواعد البيانات البرمجية بالكامل بحثًا عن نقاط الضعف الناشئة التي لن يكتشفها أي مراجع بشري بمفرده.

وقال: "الاختراقات جزء من الحياة، وستصبح أسوأ بكثير بالنسبة للجميع".