هنگامی که میلیون‌ها دلار رمزارز از یک پروتکل مالی غیرمتمرکز (دی‌فای) به سرقت می‌رود، اغلب سوالات دشواری مطرح می‌شود — و اکسپلویت ۲۸۵ میلیون دلاری پروتکل Drift در روز چهارشنبه نیز از این قاعده مستثنی نیست.

این پروژه مبتنی بر سولانا در کانون توجه قرار گرفته است؛ زیرا محققان و کارشناسان در حال بررسی دقیق طراحی آن هستند و این سوال را مطرح می‌کنند که آیا ویژگی‌های طراحی یا رویه‌های خاصی می‌توانستند از وقوع یکی از سودآورترین حملات دی‌فای در گذشته نزدیک جلوگیری کنند.

در پستی در ایکس (X)، Drift اعلام کرد که یک عامل مخرب از طریق یک «حمله نوآورانه» به پلتفرم آن دسترسی غیرمجاز پیدا کرده است، که اختیارات مدیریتی را بر شورای امنیتی Drift به او اعطا کرده است. آنها اضافه کردند که این حمله به احتمال زیاد شامل درجه‌ای از «مهندسی اجتماعی پیچیده» بوده است.

این سرقت، که از بزرگترین سرقت‌های دی‌فای در تاریخ اخیر است، بر اساس معرفی یک دارایی دیجیتال جعلی در صرافی غیرمتمرکز و تغییر محدودیت‌های برداشت پلتفرم متکی بود. پس از بالا بردن ارزش توکن مخرب، مهاجم توانست با سوءاستفاده از مکانیسم‌های وام‌گیری، نقدینگی واقعی را به سرعت از Drift تخلیه کند.

شرکت اطلاعات بلاکچین Elliptic در گزارشی در روز پنجشنبه اعلام کرد که شواهدی وجود دارد که این اکسپلویت به جمهوری دموکراتیک خلق کره مرتبط است. آنها به رفتار مهاجم در زنجیره، روش‌های پولشویی و شاخص‌های سطح شبکه اشاره کردند.

با تحت تأثیر قرار گرفتن سپرده‌های کاربران — و توقف پروتکل به عنوان یک اقدام احتیاطی — ناظران همچنین بر یک عنصر اصلی از طراحی Drift تمرکز دارند: یک کیف پول چند امضایی (multisignature wallet)، که در آن امضاهای تولید شده توسط دو کلید خصوصی، مهاجم را قادر ساخت تا اختیارات گسترده‌ای به دست آورد.

به گفته دیوید شولد، مدیر عملیات SVRN و کارشناس امنیت بلاکچین، کیف پول‌های چند امضایی برای بسیاری از پروژه‌های دی‌فای یک نقطه تمرکز محسوب می‌شوند، و این حادثه واقعیت ناخوشایندی را آشکار می‌کند که ممیزی‌های قرارداد هوشمند تنها می‌توانند تا حدی از آسیب جلوگیری کنند.

او به Decrypt گفت که Drift به جدیدترین نمونه‌ای تبدیل شده است که نشان می‌دهد چگونه خدماتی که به دنبال جایگزینی واسطه‌های مالی با کد هستند، اغلب به تیم‌های کوچک و نقاط تمرکزی مانند کیف پول‌های چند امضایی که خطرات امنیت سایبری را به همراه دارند، متکی هستند.

او گفت: «امروزه تمام مهندسان بر جنبه فناوری امنیت تمرکز دارند، نه بر افراد در فرآیند.» «بنابراین بله، پروتکل غیرمتمرکز است، اما حاکمیت آن در برابر پنج نفر متمرکز شده است.»

«باز هم»

شولد نقص امنیتی Drift را با یکی از بدنام‌ترین هک‌های دی‌فای مقایسه کرد، جایی که در سال ۲۰۲۲ بیش از ۶۲۵ میلیون دلار دارایی دیجیتال توسط هکرهای مرتبط با کره شمالی به سرقت رفت. آنها رانین (Ronin)، یک سایدچین اتریوم که برای بازی موفق NFT Axie Infinity توسعه یافته بود را هدف قرار دادند. این حمله، بر اساس گزارش شرکت امنیت بلاکچین Chainalysis، بر دسترسی به پنج کلید خصوصی متکی بود.

در حالی که تحلیلگران بلاکچین ردپای یک دولت ملی را می‌بینند، برخی دیگر استدلال می‌کنند که دقت حمله نشان‌دهنده دانش عمیق‌تر از پروتکل است. شولد تردید داشت که هکرهای مرتبط با کره شمالی در حمله به Drift دخیل بوده‌اند، زیرا به نظر می‌رسد مهاجم، احتمالا یک فرد خودی، «می‌دانست چه کسی را هدف قرار دهد.»

ناظران حدس زده‌اند که یک «قفل زمانی» می‌توانست از وقوع سریع اکسپلویت جلوگیری کند. این ویژگی قرارداد هوشمند، اجرای تراکنش‌ها یا دسترسی به وجوه را تا رسیدن به زمان مشخصی در آینده محدود می‌کند و به طور بالقوه پنجره‌ای برای تیم Drift فراهم می‌کند تا وارد عمل شوند.

استفان بایر، شریک مدیریتی در Oak Security، به Decrypt گفت: «قفل‌های زمانی برای کسب زمان واکنش به چنین حمله‌ای مفید هستند و در اینجا نیز کمک می‌کردند — اما این ریشه اصلی مشکل نیست.» «بزرگترین مسئله این بود که — باز هم — یک کلید با امتیاز بالا به خطر افتاده بود.»

با این حال، دن هانگفی، بنیانگذار و رئیس Neo Blockchain، استدلال کرد که پروتکل‌هایی مانند Drift که میلیون‌ها دلار وجوه را نگهداری می‌کنند، نباید به سرعت قابل تخلیه باشند.

او در پستی در ایکس (X) گفت که قفل‌های زمانی مرتبط با اقدامات حیاتی مانند لیست کردن دارایی‌های پرخطر باید اعمال شوند تا «از تکمیل کل زنجیره اکسپلویت توسط مهاجم در عرض چند ثانیه جلوگیری شود.»

این دیدگاه توسط اور دادوش، بنیانگذار شرکت ارائه‌دهنده زیرساخت‌های امنیتی رمزارز Venn Network نیز تکرار شد. او همچنین به «مدارشکن‌های خودکار» اشاره کرد که به پروژه‌ها امکان می‌دهند در صورت نقض آستانه‌های غیرعادی سرعت یا حجم خروجی، عملیات را فوراً متوقف کنند.

چندین کارشناس امنیتی پیش‌بینی کردند که Drift آخرین پروژه دی‌فای نخواهد بود که از اکسپلویتی مشابه آنچه روز چهارشنبه رخ داد، رنج می‌برد. آنها خاطرنشان کردند که بازیگران مخرب به طور فزاینده‌ای به هوش مصنوعی روی می‌آورند و از الگوریتم‌ها برای کسب درک جامع از هدف بعدی خود استفاده می‌کنند.

دادوش به Decrypt گفت: «ما به سطحی رسیده‌ایم که یک عامل مخرب می‌تواند صدای مادرتان را در یک تماس تلفنی جعل کند.» «ما در عصر جدیدی زندگی می‌کنیم که حملات مالی می‌توانند در مکان‌ها و قالب‌هایی ظاهر شوند که حتی یک سال پیش هم نمی‌توانستیم تصور کنیم.»