ניצול DeFi בהיקף של 292 מיליון דולר מגביר את החששות מפני פגיעויות נסתרות במערכות בין-שרשרתיות. האירוע מדגיש כיצד הנחות אמון פגומות יכולות לאפשר לקלטים מניפולטיביים לעקוף מנגנוני הגנה ולהפעיל הנפקה רחבת היקף של נכסים ללא גילוי.
Chainalysis מציינת נקודת תורפה קריטית באבטחת DeFi כאשר ניצול בסך 292 מיליון דולר עוקף את אימות השריפה
נכתב ע"י
שתף
עיקרי הדברים:
- Chainalysis מציינת ניצול ב-KelpDAO החושף כשל קריטי בהנחות האמון בין שרשראות.
- הניתוח הראה כי פגמי תכנון ב-LayerZero יכולים לאפשר למאמת יחיד לעקוף מנגנוני הגנה של DeFi.
- פרוטוקולים ניצבים בפני סיכונים הולכים ומחריפים כאשר Chainalysis מאותתת שכשלים נסתרים עשויים לחמוק מגילוי.
ליקויים בגשרים בין-שרשרתיים חושפים סיכוני אבטחה ב-DeFi
חברת האנליטיקה לבלוקצ’יין Chainalysis הדגישה ב-20 באפריל ניצול פיננסים מבוזרים (DeFi) בהיקף של 292 מיליון דולר, שחשף חולשות קריטיות בתכנון גשרים בין-שרשרתיים. האירוע, שבו הייתה מעורבת תשתית rsETH של KelpDAO, הדגים כיצד קלטים שעברו מניפולציה יכולים לעקוף מערכות אימות. המקרה מאותת על חששות גוברים סביב הנחות אמון המוטמעות בתוך פרוטוקולים מרובי-שרשראות.
Chainalysis מסרה בפלטפורמת המדיה החברתית X:
“ניצול גשר KelpDAO / rsETH בהיקף של כ-292 מיליון דולר מדגיש נקודת עיוורון קריטית באבטחת DeFi.”
החברה הסבירה כי הפריצה נבעה משכבת אמון פגומה ולא מחוזים חכמים פגומים. התוקפים כיוונו לתשתית LayerZero התומכת ב-KelpDAO, תוך ניצול קוורום מאמתים של 1 מתוך 1. תצורה זו נשענה על נקודות קצה מוגבלות של קריאות RPC (Remote Procedure Call), ויצרה נקודת כשל יחידה. לאחר שנפרצה, אפשרה אותה תעלה אישורים בלתי מורשים ללא קונצנזוס רחב יותר. ספקית האנליטיקה תיארה כיצד המערכת קיבלה תנאים שעברו מניפולציה כתנאים תקפים, מה שאפשר לניצול להתקדם מבלי להתגלות על ידי מנגנוני ההגנה הסטנדרטיים.
כשלים באינווריאנטים מדגישים את הצורך בניטור בזמן אמת
התוקף חדר לקלטי הנתונים של המאמת באמצעות פגיעה בנקודות הקצה של ה-RPC. מידע שגוי גרם למערכת לרשום אירוע שריפה (burn) מפוברק בשרשרת המקור.
“בהתבסס על מצב שגוי זה, הגשר אישר את ההודעה ושחרר 116,500 rsETH באת’ריום לתוקף. בפועל, לא התרחשה כלל שריפה מקבילה. אבטחה סטנדרטית החמיצה זאת לחלוטין משום שהעסקאות בוצעו בדיוק כפי שתוכננו ברמת הקוד,” הסבירה Chainalysis. רצף זה שבר אינווריאנט מרכזי של הגשר, המחייב התאמה בין נכסים שנשרפו לבין טוקנים שהונפקו. למרות ביצוע נכון של הקוד, ההסתמכות על שלמות הנתונים החיצוניים אפשרה לניצול להצליח.
Chainalysis סיכמה באזהרה רחבה יותר, וציינה:
“המתקפה הזו מוכיחה שזיהוי קוד זדוני אינו מספיק; פרוטוקולים חייבים לזהות כאשר מערכת נכנסת למצב בלתי אפשרי.”
החברה הצביעה על הצורך במערכות ניטור רציפות המסוגלות לאמת עקביות בין-שרשרתית בזמן אמת. כלים כגון מסגרות למעקב אינווריאנטים יכולים לזהות פערים בין נכסים נעולים לבין כספים משוחררים. מנגנונים אלה עשויים לאפשר לפרוטוקולים לעצור פעילות לפני שההפסדים מסלימים, ולחזק את החשיבות של אימות מצב כלל-מערכתי במקום להסתמך רק על ביקורות קוד.
Layerzero טוענת להיעדר הדבקה לאחר פריצה בהיקף 290 מיליון דולר, בעוד שנרטיבים שנויים במחלוקת מעמיקים את הביקורת
אבטחת גשרי DeFi נמצאת תחת לחץ מוגבר לאחר שניצול משמעותי חשף חולשות מבניות בתכנון המאמת ובתלויות התשתית. ה read more.
קרא עכשיו
Layerzero טוענת להיעדר הדבקה לאחר פריצה בהיקף 290 מיליון דולר, בעוד שנרטיבים שנויים במחלוקת מעמיקים את הביקורת
אבטחת גשרי DeFi נמצאת תחת לחץ מוגבר לאחר שניצול משמעותי חשף חולשות מבניות בתכנון המאמת ובתלויות התשתית. ה read more.
קרא עכשיוLayerzero טוענת להיעדר הדבקה לאחר פריצה בהיקף 290 מיליון דולר, בעוד שנרטיבים שנויים במחלוקת מעמיקים את הביקורת
קרא עכשיואבטחת גשרי DeFi נמצאת תחת לחץ מוגבר לאחר שניצול משמעותי חשף חולשות מבניות בתכנון המאמת ובתלויות התשתית. ה read more.
