لقد كلّف جهاز حاسوب واحد مخترق Humanity Protocol مبلغ 36 مليون دولار في ما يبدو أنه أحد أغلى فشل الأمان التشغيلي في سجل البنية التحتية عبر السلاسل مؤخراً. نشأ الاستغلال الذي استنزف الأموال من بروتوكول الجسر الخاص بالمشروع من ما وصفه تيرينس كووك، ممثل Humanity Protocol، بأنه مفاتيح multisig تم "نسخها احتياطياً بطريق الخطأ إلى جهاز مخترق أثناء الإعداد."
يكشف الحادث عن ضعف أساسي في كيفية تعامل حتى المشاريع البلوكتشين المتطورة مع أكثر مواردها الحساسة—المواد التشفيرية. بينما أصبحت الجسور أهدافاً رئيسية للمهاجمين بسبب تعقيدها وحمامات الأصول الكبيرة التي تؤمنها، يتميز هذا الاختراق بالذات بنقطة منشأه العادية—فشل أمني كان يمكن منعه بممارسات صحة تشغيلية أساسية.
يكشف اعتراف كووك بأن مفاتيح multisig انتهت بها الحال على جهاز حاسوب مخترق عن انهيار حرج في بروتوكولات الأمان الخاصة بالمشروع أثناء مرحلة إعداد البنية التحتية. محافظ multisig مصممة على وجه التحديد لمنع نقاط الفشل الفردية، وتتطلب توقيعات متعددة من حاملي المفاتيح المنفصلين قبل الموافقة على المعاملات. ومع ذلك، إذا تم تخزين مفاتيح متعددة من نفس إعداد multisig على نفس الجهاز المخترق، ينهار نموذج الأمان بالكامل.
يمثل خسارة 36 مليون دولار أكثر من مجرد ضرر مالي—فهو يؤكد على الثغرات الأمنية التشغيلية المستمرة عبر نظام التمويل اللامركزي. بروتوكولات الجسر، التي تسهل تحويلات الأصول بين شبكات البلوكتشين المختلفة، أصبحت أهدافاً جذابة بشكل متزايد للمهاجمين المتطورين. لقد نما الإجمالي المقفل في بروتوكولات الجسر بشكل جوهري على مدى العامين الماضيين، مما يجعلها أهدافاً عالية القيمة تتطلب ممارسات أمنية على مستوى عسكري.
يتبع هذا الحادث نمطاً مقلقاً من استغلالات الجسور التي استنزفت بشكل جماعي مليارات من النظام البيئي. ومع ذلك، بخلاف استغلالات العقود الذكية المتطورة أو الهجمات التشفيرية المعقدة، يبدو أن اختراق Humanity Protocol ينبع من فشل صحة أمنية أساسية أثناء عملية الإعداد الأولي. تشير حقيقة أن المفاتيح التشفيرية الحساسة انتهى بها الحال على جهاز محتمل أن يكون مصاباً بالبرامج الضارة إلى ثغرات في إجراءات التدقيق الأمني وإدارة المفاتيح للمشروع.
يثير توقيت هذا الإفصاح أسئلة إضافية حول الاستجابة للحوادث والشفافية داخل المشروع. بينما يوفر شرح كووك بعض الوضوح حول متجه الهجوم، تبقى الآثار الأوسع للمستخدمين والعمليات المستقبلية للمشروع غير واضحة. تتطلب بروتوكولات الجسر ثقة مطلقة من المستخدمين الذين يودعون أصولاً متوقعين تحويلات آمنة عبر السلاسل، والفشل التشغيلي بهذا الحجم يمكن أن يضر بتلك الثقة بشكل دائم.
بالنسبة لقطاع البنية التحتية للبلوكتشين الأوسع، يخدم حادث Humanity Protocol كتذكير صارخ بأن حتى أكثر الحماية التشفيرية تطوراً يمكن أن تضعفها الأخطاء التشغيلية الأساسية. مع استمرار نضج البنية التحتية عبر السلاسل والتعامل مع أحجام أكبر من الأصول، يجب أن يمتد تركيز الصناعة إلى ما بعد أمان العقود الذكية ليشمل ممارسات أمنية تشغيلية شاملة تأخذ في الاعتبار كل جانب من توليد المفاتيح وتخزينها وإدارتها.
توضح خسارة 36 مليون دولار في Humanity Protocol أنه في البنية التحتية للبلوكتشين، الأمان قوي فقط مثل أضعف حلقة تشغيلية—وأحياناً تكون تلك الحلقة بسيطة جداً مثل جهاز حاسوب مخترق في المكان والوقت الخاطئ.
كتبها الفريق التحريري — صحافة مستقلة مدعومة من Bitcoin News.