كشف خرق أمني كارثي في Humanity Protocol عن نقاط ضعف أساسية في كيفية حماية منصات الهوية اللامركزية للبنية التحتية الحرجة. فقدت البروتوكول 36 مليون دولار بعد أن حصل المهاجمون على السيطرة على المفاتيح الخاصة من خلال جهاز كمبيوتر موظف مخترق، مما أدى إلى انهيار مدمر بنسبة 73% في التوكن الأصلي للمشروع.
متجه الهجوم يمثل تذكيراً مريعاً بأنه حتى الأنظمة المفترضة لامركزية تبقى عرضة لحالات فشل الأمن السيبراني التقليدي. وفقاً لإفصاح البروتوكول، حدث الخرق عندما حصل العناصر الخبيثة على الوصول إلى جهاز كمبيوتر موظف، وقاموا لاحقاً بالسيطرة على جسور المنصة والحصول على القدرة على سك التوكنات بدون قيود. سمحت هذه القدرة على السك غير المحدود للمهاجمين بإغراق السوق بتوكنات جديدة تم إنشاؤها بينما كانوا يستنزفون احتياطيات البروتوكول في نفس الوقت.
يسلط الحادث الضوء على تناقض حرج في قلب العديد من بروتوكولات "اللامركزية". بينما يوضع Humanity Protocol نفسه كحل هوية لامركزي، فإن تركيز الوصول إلى المفاتيح الخاصة بين الموظفين خلق نقطة فشل واحدة أثبتت أنها كارثية. القدرة على جهاز واحد مخترق لفتح تحكم الجسور ووظائف سك التوكنات توحي بامتيازات إدارية مركزية تقوض بشكل أساسي ادعاءات البروتوكول باللامركزية.
ظهرت جسور Cross-chain كمكون البنية التحتية الأكثر عرضة في نظام العملات المشفرة، مع سرقة أكثر من 2.5 مليار دولار من بروتوكولات الجسور في عام 2022 وحده. يتبع خرق Humanity Protocol نمطاً مألوفاً حيث يستهدف المهاجمون آليات الحفظ التي تمكن من نقل الأصول بين شبكات البلوكتشين المختلفة. عادة ما تتطلب هذه الجسور محافظ التوقيع المتعدد أو آليات أمان أخرى لتفويض المعاملات، لكن التنازل عن المفاتيح الإدارية قد يتجاوز هذه الحماية بالكامل.
يعكس انهيار سعر التوكن بنسبة 73% ليس فقط الضرر المالي الفوري بل أيضاً مخاوف السوق الأوسع بشأن قابلية حياة البروتوكول وهيكل الحكم. تواجه بروتوكولات الهوية فحصاً خاصاً بشأن ممارسات الأمان لأنها تتعامل مع بيانات شخصية حساسة إلى جانب الأصول المالية. القدرة على معالجة الهجمات للتلاعب بإمدادات التوكن من خلال السك غير المصرح به يضرب في صميم قيمة العرض الأساسية لأي عملة مشفرة، مما يجعل النموذج الاقتصادي عديم القيمة بشكل فعلي.
يثير هذا الخرق أيضاً أسئلة محرجة حول ممارسات أمان الموظفين عبر قطاع التمويل اللامركزي. حقيقة أن المفاتيح الخاصة الحرجة كانت في متناول جهاز كمبيوتر موظف واحد توحي بعدم كفاية العزل بين المواد التشفيرية الحساسة. عادة ما تتضمن أفضل الممارسات الصناعية وحدات أمان الأجهزة، أو الحساب متعدد الأطراف، أو أنظمة إدارة مفاتيح متقدمة أخرى تمنع أي جهاز واحد من المساس بالبروتوكولات الكاملة.
يؤكد الحادث التوتر المستمر بين الكفاءة التشغيلية والأمان في بروتوكولات التشفير. بينما قد تمنع إدارة المفاتيح اللامركزية الحقيقية نقاط الفشل الفردية، فإنها غالباً ما تأتي على حساب دورات التطوير الأبطأ والمرونة التشغيلية المنخفضة. تختار العديد من البروتوكولات نهجاً أكثر مركزية خلال المراحل الأولى، وتعد بلامركزية الحكم وإدارة المفاتيح مع نضجها. يوضح خرق Humanity Protocol المخاطر المرتبطة بهذا النهج.
بالنظر إلى المستقبل، من المحتمل أن يؤدي هذا الحادث إلى تسريع اعتماد الصناعة لممارسات إدارة مفاتيح أكثر قوة وهياكل حكم توقيع متعدد. يطالب المستثمرون والمستخدمون بشكل متزايد بالشفافية حول الامتيازات الإدارية والممارسات الأمنية، خاصة بالنسبة للبروتوكولات التي تتعامل مع أصول Cross-chain أو بيانات هوية شخصية. تخدم خسارة 36 مليون دولار في Humanity Protocol كدرس مكلف حول التكاليف الحقيقية للبنية الأمنية غير الكافية في الأنظمة اللامركزية.
كتبه الفريق التحريري — صحافة مستقلة بدعم من Bitcoin News.