Bitcoinistدیفای۲۵ خرداد ۱۴۰۵👁 4 بازدید⏱ 7 دقیقه مطالعه

نفوذ به قرارداد قدیمی Aztec Connect و خطرات ماندگاری زیرساخت‌های بلاک‌چین

نفوذ به قرارداد منسوخ Aztec Connect بار دیگر خطرات قراردادهای قدیمی دیفای را به نمایش گذاشت؛ این اتفاق اهمیت مدیریت ریسک فعال حتی پس از خاموشی پروتکل‌ها را نشان می‌دهد.

مقدمه: بازگشت نگرانی‌های قدیمی در دنیای دیفای

یک قرارداد قدیمی Aztec Connect بار دیگر نکته‌ای مهم را درباره ریسک‌های موجود در حوزه دیفای (DeFi) مطرح کرده است؛ اینکه حتی پس از غیرفعال شدن یک محصول، زیرساخت‌های قدیمی همچنان می‌توانند خطرناک باشند. این قرارداد منسوخ شده Aztec Connect به تازگی مورد نفوذ قرار گرفته و حدود 2.1 میلیون دلار از آن به سرقت رفته است. این حادثه توجه‌ها را به یک مشکل دیرینه در دیفای جلب کرده است: قرارداده‌های قدیمی همچنان روی زنجیره باقی می‌مانند و آسیب‌پذیر هستند.

مشکل قراردادهای منسوخ و تأثیر عدم مدیریت ریسک

در دنیای نرم‌افزارهای سنتی، زمانی که یک محصول منسوخ می‌شود، کاربران به تدریج آن را ترک کرده و ارائه‌دهندگان نیز دیگر از آن پشتیبانی نمی‌کنند و محصول عملاً کنار گذاشته می‌شود. اما در دنیای دیفای این روند متفاوت است؛ قراردادهای هوشمند با حفظ شرایط اجرایی‌شان روی بلاک‌چین باقی می‌مانند و اگر دارایی یا راهی به دارایی داشته باشند، در برابر حملات آسیب‌پذیر می‌مانند. شایان ذکر است که حتی اگر رابط کاربری و تیم توسعه دیگر پیگیری نداشته باشند و مستندات از کاربران بخواهند دارایی‌های خود را خارج کنند، این موضوع برای نفوذگران اهمیتی ندارد و می‌توانند از هر ضعف موجود سوءاستفاده کنند.

اهمیت عدم تغییرپذیری و معضل پشتیبانی اضطراری

یکی از نکات قابل توجه در این پرونده این است که قرارداد مورد بحث از نوع "غیرقابل تغییر" (immutable) بوده است. در فضای دیفای این ویژگی به عنوان نقطه قوت تلقی می‌شود چرا که کاربران می‌دانند قوانین به ناگهان تغییر نمی‌کند و نیازی به اعتماد کامل به تیم توسعه نیست. اما این خصوصیت دو روی سکه دارد؛ با وجود عدم امکان اعمال تغییر یا به‌روزرسانی، اگر قراردادی دچار مشکل امنیتی شود، هیچ راه اضطراری برای توقف گردش وجه یا رفع مشکل به صورت فوری وجود ندارد. در نتیجه این موضوع کاربران را در مقابل خطرات ناخواسته رها می‌کند و امکان واکنش سریع تیم توسعه را محدود می‌سازد.

ضرورت داشتن برنامه‌های قطعی و مدیریت ریسک در زمان خاموشی پروتکل‌ها

درس بزرگی که از این واقعه حاصل می‌شود این است که خاموش کردن یا کنار گذاشتن یک محصول دیفای باید به عنوان یک حادثه امنیتی مهم مورد توجه قرار گیرد. پروسه منظم و مسئولانه برای پایان دادن به فعالیت‌ها باید شامل هشدارهای مکرر به کاربران، تعیین ضرب‌الاجل برای برداشت دارایی‌ها، نظارت پس از توقف فعالیت‌ها، ارائه مستندات واضح و ارتباطات شفاف درباره خطرات باقی‌مانده باشد. به خصوص در سیستم‌هایی که تشکیل شده از فناوری‌های پیچیده مانند حریم خصوصی، پل‌ها (bridges)، رول‌آپ‌ها یا سیستم‌های میان‌زنجیره‌ای هستند، عدم آگاهی کاربران از ضعف‌های احتمالی می‌تواند منجر به خسارات گسترده شود.

توصیه‌های مهم برای کاربران دیفای

برای کاربران، قاعده ساده است: هرگز نباید دارایی‌های خود را در قراردادهای قدیمی و منسوخ شده باقی بگذارند مگر اینکه دلیلی بسیار روشن و قوی برای این کار وجود داشته باشد. اگر یک پروتکل به کاربران اعلام کند که دارایی خود را برداشت کنند، باید این موضوع را جدی گرفت. بسته شدن رابط کاربری به معنی پایان خطر نیست و باید هوشیار بود. همچنین قراردادهای قدیمی که در حالت فعلی ممیزی (audit) نشده‌اند یا دیگر رصد نمی‌شوند، بهتر است به عنوان زیرساخت‌هایی تهدیدآمیز در نظر گرفته شوند.

نتیجه‌گیری: خطرات بلندمدت در پس قراردادهای فراموش شده

حادثه نفوذ به Aztec Connect یادآوری دیگری است که ریسک‌های حوزه دیفای عموماً بلندمدت هستند. محصولات ممکن است از محافل بحث و توجه بازار خارج شوند اما قراردادهای هوشمند آنها همچنان روی زنجیره فعال هستند و در انتظار کشف ضعف‌های جدیدی که می‌تواند به زیان کاربران و سرمایه‌گذاران منجر شود، می‌مانند. به همین دلیل، مدیریت مداوم و جامع ریسک حتی پس از کنار گذاشتن پروتکل‌ها امری حیاتی است.

برچسب‌ها:Aztec Connectدیفایقرارداد هوشمندامنیت بلاک‌چیننفوذ امنیتی

منبع اصلی:

https://bitcoinist.com/aztec-connect-exploit-shows-why-old-defi-contracts-can-still-be-dangerous/