دزدان دریایی رایانه از پروتکل های شکست تحت نظارت بهره مند می شوند: چه چیزی از دست رفته است؟

Defi مورد حمله قرار گرفته است – اما تهدیدات صنعت در برابر دفاع نیست. در حالی که توسعه دهندگان به طور دقیق خطوط کد را برای کسری امنیتی اسکن می کردند ، مهاجمان تاکتیک ها را تغییر دادند و از نقاط ضعف اقتصادی که تحت برنامه نویسی کامل مورد توجه قرار نگرفتند ، بهره مند شدند.

به عنوان مثال ، سوءاستفاده از ژله در Hyperledger ، جایی که مهاجمان می توانند بیش از 6 میلیون دلار از صندوق بیمه Hyperledger تهیه کنند ، بهترین نمونه است. این سوءاستفاده به دلیل خطاهای برنامه نویسی ایجاد نشده است ، بلکه ناشی از مشوق های قابل پخش و خطرات غیرقابل پیش بینی در جایی است که هیچ کس مورد بررسی قرار نگرفته است.

امنیت سایبری Defi مسیری طولانی را طی کرده است. بازرسی های قرارداد هوشمند که برای ضبط خطاها در یک کد نرم افزاری طراحی شده است ، اکنون یک هنجار است. با این حال ، ما فقط باید فراتر از خطوط کد گسترش دهیم. کنترل های قرارداد هوشمند اساساً ناکافی هستند مگر اینکه خطرات اقتصادی و عاطفی بازی را تجزیه و تحلیل کنند. منسوخ و خطرناک است که صنعت فقط به کنترل کد اعتماد دارد خطرناک است و پروژه ها را در برابر چرخه حمله بی پایان آسیب پذیر می کند.

حملات اخیر خطر سوءاستفاده اقتصادی را به خانه می برد

در مارس 2025 ، بورس اوراق بهادار Hyperliquid ، که قراردادهای خود را کنترل می کند ، با یک سکه ژله 6 میلیون دلار کمین کرد. چگونه؟ مهاجمان نتوانستند خطایی در کد پیدا کنند. آنها با سوءاستفاده از منطق انحلال Hyperliquid ، پمپاژ قیمت ژله و دستکاری پارامترهای خطر پلت فرم ، یک فشار کوتاه را طراحی کردند.

به عبارت دیگر ، طراحان Hyperliquid در رفتار خاصی در بازار قیمت گذاری نکردند – نظارتی که کنترل های سنتی را ضبط نمی کند. پرونده Hyperliquid نشان می دهد که کد کامل نمی تواند یک پروژه را بر اساس فرضیات اقتصادی متزلزل ثبت کند.

اندکی قبل از حادثه ژله ، Polter Finance ، یک پروتکل وام در Fantom ، یک است حمله وام فلشنوع دیگری از حمله گسترده مبتنی بر اقتصاد ، کدگذاری شکاف های امنیتی نیست. مهاجم وام های فلش و قیمت پروژه را که اوراکل دستکاری شده است صادر کرده و سیستم را فریب می دهد تا سیستم را به عنوان میلیاردها ارزش رفتار کند.

این کد دقیقاً همان کاری را انجام داد که باید باشد ، اما طراحی ناقص بود و همین امر باعث شد ورشکستگی این پلتفرم انتشار بیش از حد قیمت باشد. سوءاستفاده چنان مخرب بود که Polter Finance ، یک پروژه امیدوارکننده ، مجبور شد متوقف شود.

اینها حملات/وقایع جداگانه نیستند. این بخشی از یک مدل در حال رشد در Defı است. پس از این وضعیت ، دشمنان هوشمند با دستکاری در ورودی های بازار ، مشوق ها یا مکانیسم های حاکمیتی برای تحریک توسعه دهندگان از پروتکل ها بهره مند می شوند. ما شاهد شکاف های پاداش ، قفل های Stablecoin از طریق حرکات هماهنگ بازار هستیم و مزارع بازدهی که توسط صندوق های بیمه تخلیه شده به دلیل نوسانات بیش از حد مورد تشویق قرار می گیرند.

حمایت از ممیزی با تحلیل نظری اقتصادی و بازی

بازرسی های سنتی بررسی می کنند “چه کد باید چه کاری انجام دهد ، اما چه کسی در شرایط شماره منطقی است؟

در حالی که بیشتر تیم های Web3 با مهندسان کار می کنند که می توانند در طول توسعه خطاهای نرم افزاری را ضبط کنند ، تعداد بسیار کمی از تخصص اقتصادی برخوردار هستند ، که انتقاد می کند که ممیزی ها این شکاف را پر می کنند و آسیب پذیری ها را در طراحی تشویقی و منطق اقتصادی تعریف می کنند.

بازرسی های دقیق ، مکانیک دستمزد ، فرمول های انحلال ، پارامترهای وثیقه و فرآیندهای حاکمیتی شامل تجزیه و تحلیل نظری و اقتصادی بازی ، از جمله بررسی موارد است. آنها حسابرسان را وادار می كنند كه در نظر بگیرند: “با توجه به این قوانین ، چگونه می توان با خم شدن آنها سود برد؟”

به عنوان مثال ، در حین ممیزی توسط Oak Security ، ما متوجه شدیم که صندوق بیمه سکوی مبادله مداوم می تواند با نوسانات کاملاً تخلیه شود ، زیرا نوسانات پروتکل ما “ریسک وگا را در الگوی قیمت گذاری” فاش نمی کند. این یک خطای کد نیست – این یک نقص طراحی است که باعث ایجاد شرکتی می شود – فقط یک شکرگذار در یک تئوری و تفکیک ، یک تئوری را در مورد شانزدهم ایجاد می کند. قبل از پرتاب

این سوءاستفاده های اقتصادی به خوبی مستند شده اند و شناسایی آن بسیار دشوار نیست-اما فقط وقتی حسابرسان سؤالات درستی را مطرح می کنند و فراتر از کد موجود در صفحه فکر می کنند.

بنیانگذاران باید بیشتر از حسابرسان خواستار شوند

بنیانگذاران پروتکل باید از حسابرسان بخواهند تا کلیه مؤلفه های یک سیستم تجاری ، از جمله منطق ضمنی و اجزای غیر منتخب را برای تأمین امنیت جامع بررسی کنند. در بهترین سناریو ، منطق انتقادی از نظر کل کار به زنجیره ای منتقل می شود.

اگر بنیانگذار یا سرمایه گذار هستید ، از حسابرسان خود سؤال کنید: در مورد دستکاری اوراکل چطور؟ در مورد سناریوهای بحران نقدینگی چیست؟ آیا Tokenomics را برای بردارهای حمله تجزیه و تحلیل کرده اید؟ اگر جواب ساکت است یا دست تکان می خورد ، باید عمیق تر شوید.

هزینه این نقاط کور بسیار بالا است ، تنها “خوب” نیست که تجزیه و تحلیل های اقتصادی و بازیگری را ترکیب می کند. مسئله بقا برای پروژه های DEFI. برای هر پروتکل اصلی ، ما باید فرهنگی را توسعه دهیم که بررسی کد و معاینه اقتصادی دست به دست هم دهند.

حال بیایید بار قبل از اینکه شما یک میلیون دلار درس را فشار دهید ، افزایش دهیم.