يواجه النظام البيئي للتمويل اللامركزي عبر البلوكتشين المتعدد (cross-chain DeFi) تدقيقاً متجدداً بعد الكشف عن أن THORChain ربما تجاهلت بحثاً أمنياً حساساً قبل أسابيع قليلة من تعرضها لاستغلال بقيمة 10.7 مليون دولار يستهدف ثغرات متطابقة تقريباً. يسلط هذا الحادث الضوء على تصاعد التوترات بين باحثي الأمن وفريق البروتوكول بشأن ممارسات الكشف المسؤول في صناعة تتسم بأن الأخطاء البرمجية قد تفرغ الخزائن بين عشية وضحاها.

تؤكد شركة الأمن V12 أنها حددت ثغرة تصريف الأموال وكشفت عنها بمسؤولية لفريق تطوير THORChain قبل أسابيع من استغلال المتسللين لعيب مشابه بقيمة 10.7 مليون دولار. وفقاً للباحثين، قامت THORChain بإصلاح صامت للثغرة المبلغ عنها دون الإقرار بعملهم أو تقديم تعويض من خلال برنامج مكافآت الأخطاء التابع للمشروع. عندما تابعت V12 طلبها، أخبرتهم THORChain على ما يبدو بأن برنامج المكافآت قد تم "إيقافه بشكل دائم".

يكشف تسلسل الأحداث عن ديناميات مقلقة في أمن البروتوكول عبر البلوكتشين. تعمل THORChain كبروتوكول سيولة لامركزي يمكّن المستخدمين من تبديل الأصول عبر بلوكتشينات مختلفة دون الحاجة إلى رموز مغلفة أو بورصات مركزية. يخلق هذا التعقيد متجهات هجوم عديدة، مما يجعل التدقيق الأمني الشامل ضرورياً. تعرض البروتوكول سابقاً لعدة استغلالات، بما في ذلك سلسلة من الهجمات في عام 2021 استنزفت جماعياً أكثر من 13 مليون دولار من خزينتها.

تشير مزاعم V12 إلى أن THORChain ربما استفادت من عمل الباحثين بينما تجنبت الالتزامات المالية المرتبطة عادة بالكشف المسؤول. تعمل برامج مكافآت الأخطاء كبنية أساسية حرجة في أمن البلوكتشين، وتحفز باحثي القبعة البيضاء على الإبلاغ الخاص عن الثغرات بدلاً من بيعها لجهات فاعلة خبيثة أو نشرها علناً. عندما تفشل البروتوكولات في الالتزام بهذه الترتيبات، فإنها تخاطر بإبعاد مجتمع الأمن البحثي وتشجيع ممارسات كشف أكثر عدوانية.

التعقيد عبر البلوكتشين يضخم تحديات الأمن

يؤكد حادث THORChain التحديات الأمنية الأوسع التي تواجه البنية الأساسية عبر البلوكتشين. بخلاف تطبيقات البلوكتشين الفردية، يجب على البروتوكولات عبر البلوكتشين إدارة مزامنة حالة معقدة عبر شبكات متعددة، لكل منها آليات إجماع ومفاهيم أمان متميزة. يزيد هذا التعقيد المعماري بشكل هندسي من أسطح الهجوم المحتملة، مما يجعل المراجعة الأمنية الشاملة حرجة بشكل أكبر وأكثر كثافة في استخدام الموارد.

تشير استجابة V12 لرفض THORChain المزعوم إلى تصاعد التوترات في الفضاء. تخطط شركة الأمن الآن لنشر كود الاستغلال للثغرات الإضافية التي حددتها، وهي ممارسة معروفة باسم "الكشف الكامل" التي يمكنها الضغط على البروتوكولات لمعالجة المشاكل الأمنية بشكل أسرع. بينما يمكن لهذا الأسلوب تسريع الإصلاحات، فإنه يوفر أيضاً للجهات الفاعلة الخبيثة متجهات هجوم جاهزة الصنع، مما يخلق معضلات أخلاقية للباحثين الذين يشعرون بالإحباط من عدم استجابة فريق البروتوكول.

يثير التوقيت بين كشف V12 والاستغلال اللاحق بقيمة 10.7 مليون دولار تساؤلات حول عمليات إدارة الثغرات في THORChain. إذا حدد الباحثون بدقة الأخطاء الحرجة قبل أسابيع من الهجوم، فقد تكون استجابة البروتوكول الأمنية غير كافية لمعالجة الفئة الأوسع من الثغرات التي تؤثر على النظام. يشير هذا النمط إلى ممارسات أمنية تفاعلية بدلاً من الاستباقية، وهو نهج خطير للبروتوكولات التي تدير مئات الملايين بالأموال المستخدمين.

يلاحظ مراقبو الصناعة أن إيقاف برنامج مكافآت الأخطاء غالباً ما يشير إلى تحديات تنظيمية أعمق. يتطلب الحفاظ على علاقات بحثية أمنية فعالة التزاماً مالياً مستدام وخبرة تقنية لتقييم الطلبات. عندما تتراجع البروتوكولات عن هذه البرامج، قد توحي بشكل غير مقصود للباحثين بأن مخاوفهم الأمنية ثانوية بالنسبة لأولويات تشغيلية أخرى.

تتسع الآثار الأوسع خارج THORChain إلى النظام البيئي عبر البلوكتشين بأكمله. مع انتشار بروتوكولات الجسور والتطبيقات عبر البلوكتشين، يصبح إنشاء أطر عمل بحث أمني مستدام أمراً حرجاً بشكل متزايد. قد تحدد القدرة على جذب والاحتفاظ بباحثي الأمن الماهرين ما إذا كان بإمكان البنية الأساسية عبر البلوكتشين تحقيق الموثوقية اللازمة للاعتماد الجماهيري. قد تؤثر طريقة THORChain في التعامل مع قضية الكشف هذه على كيفية اقتراب الباحثين المستقبليين من الإبلاغ عن الثغرات عبر القطاع، مما قد يؤثر على وضع الأمن لبروتوكولات عديدة.

كتبه فريق التحرير — صحافة مستقلة مدعومة من Bitcoin News.