كلفت حاسوب محمول واحد مخترق Humanity Protocol 36 مليون دولار في ما يبدو أنه أحد أكثر فشل الأمان التشغيلي تكلفة في تاريخ البنية التحتية عبر السلاسل الحديثة. جاء الاستغلال، الذي استنزف الأموال من بروتوكول الجسر الخاص بالمشروع، من ما وصفه Terence Kwok، ممثل Humanity Protocol، بأنه مفاتيح multisig تم "نسخها احتياطياً بطريق الخطأ إلى جهاز مخترق أثناء الإعداد."
يكشف الحادث عن ضعف أساسي في كيفية تعامل حتى المشاريع المتطورة في البلوكتشين مع أكثر مواداتهم الكريبتوغرافية حساسية. بينما أصبحت الجسور أهدافاً أساسية للمهاجمين بسبب تعقيدها والمجموعات الكبيرة من الأصول التي تحميها، يتميز هذا الاختراق بالذات بنقطة منشأه البسيطة—فشل أمني كان يمكن منعه باتباع النظافة التشغيلية الأساسية.
يكشف اعتراف Kwok بأن مفاتيح multisig وجدت طريقها إلى حاسوب محمول مخترق عن انهيار حرج في بروتوكولات الأمان الخاصة بالمشروع خلال مرحلة إعداد البنية التحتية. محافظ multisig مصممة خصيصاً لمنع نقاط الفشل الفردية، وتتطلب توقيعات متعددة من حاملي مفاتيح منفصلين قبل الموافقة على المعاملات. ومع ذلك، إذا تم تخزين مفاتيح متعددة من نفس إعداد multisig على نفس الجهاز المخترق، ينهار نموذج الأمان برمته.
يمثل فقدان 36 مليون دولار أكثر من مجرد ضرر مالي—فهو يسلط الضوء على فجوات أمان تشغيلي مستمرة عبر نظام التمويل اللامركزي. بروتوكولات الجسور، التي تسهل تحويل الأصول بين شبكات البلوكتشين المختلفة، أصبحت أهدافاً متزايدة الجاذبية للمهاجمين المتطورين. القيمة الإجمالية المقفولة في بروتوكولات الجسور نمت بشكل كبير على مدى السنتين الماضيتين، مما يجعلها أهدافاً عالية القيمة تتطلب ممارسات أمان بمستوى عسكري.
يتبع هذا الحادث نمط مقلق من استغلالات الجسور التي استنزفت بشكل جماعي مليارات من النظام البيئي. ومع ذلك، بخلاف عمليات استغلال العقود الذكية المتطورة أو الهجمات الكريبتوغرافية المعقدة، يبدو أن اختراق Humanity Protocol ينبع من فشل النظافة الأمنية الأساسية خلال عملية الإعداد الأولية. حقيقة أن المفاتيح الكريبتوغرافية الحساسة انتهت بها الحال على آلة قد تكون مصابة ببرامج ضارة تشير إلى فجوات في إجراءات التدقيق الأمني وإدارة المفاتيح الخاصة بالمشروع.
يثير توقيت هذا الكشف أسئلة إضافية حول الاستجابة للحوادث والشفافية داخل المشروع. بينما يوفر شرح Kwok بعض الوضوح حول متجه الهجوم، تبقى الآثار الأوسع لمستخدمي المشروع وعملياته المستقبلية غير واضحة. بروتوكولات الجسور تتطلب ثقة مطلقة من المستخدمين الذين يودعون أصولاً متوقعين تحويلات آمنة عبر السلاسل، وفشل تشغيلي من هذا الحجم يمكن أن يضر بهذا الثقة بشكل دائم.
بالنسبة لقطاع البنية التحتية للبلوكتشين الأوسع، يخدم حادث Humanity Protocol كتذكير صارخ بأن حتى أكثر الحمايات الكريبتوغرافية تطوراً يمكن تقويضها بأخطاء تشغيلية أساسية. مع استمرار نضوج البنية التحتية عبر السلاسل والتعامل مع أحجام أكبر من الأصول، يجب أن ينصب تركيز الصناعة خارج أمان العقود الذكية ليشمل ممارسات أمان تشغيلي شاملة تأخذ في الحسبان كل جانب من جوانب توليد المفاتيح وتخزينها وإدارتها.
يوضح فقدان 36 مليون دولار في Humanity Protocol أنه في بنية البلوكتشين التحتية، الأمان يكون قوياً فقط بقدر أضعف حلقة تشغيلية—وفي بعض الأحيان تلك الحلقة بسيطة مثل حاسوب محمول مخترق في المكان والزمان الخاطئين.
كتبها الفريق التحريري — صحافة مستقلة مدعومة من قبل Bitcoin News.