یک قرارداد هوشمند منسوخ شده آزتک کانکت حدود ۲.۱۹ میلیون دلار را به سرقت برده است، که یکی از خطرهای بلندمدت ناآرام در حوزه دیفای را نشان میدهد: قراردادهای قدیمی ممکن است مدتها پس از بسته شدن یک محصول، خطرناک باقی بمانند.
یک تحلیل توسط SlowMist نشان میدهد که چگونه یک سرقت در زمنیه آزتک کانکت رخ داده است.
این قرارداد آسیبپذیر منسوخ شده و جزو شبکه فعال آزتک نیست.
این حادثه نشان میدهد که قراردادهای غیرقابل تغییر پس از بسته شدن ممکن است همچنان قابل نفوذ باقی بمانند.
کاربران باید تصور نکنند پلهای قدیمی و قراردادهای قدیمی امن هستند فقط به دلیل اینکه یک پروژه دیگر فعال نیست.
نکته مهم این است که این موضوع به معنای نفوذ به شبکه فعلی آزتک نیست. نفوذ مربوط به یکی از اجزاء قدیمی آزتک کانکت است، بر اساس تحلیل SlowMist. این تمایز برای کاربران، توسعهدهندگان و هر کسی که سریع خبر را میخواند مهم است. این داستان درباره ریسک زیرساختهای قدیمی است، نه شکست کامل سیستمهای آزتک.
با این حال، این حادثه جدی است. در حوزه دیفای، غالباً نامگذاری ناپذیری به دلیل حذف کنترل داوطلبانه و پیشبینیپذیری قراردادها مورد تمجید قرار میگیرد. اما ناپذیری میتواند روی دیگری نیز داشته باشد. اگر یک قرارداد قدیمی حاوی ضعف باشد و امکان توقف یا اصلاح نداشته باشد، این خطر ممکن است سالها بدون کشف باقی بماند.
خطر قراردادهای قدیمی
وقتی یک محصول دیفای خاموش میشود، کاربران اغلب تصور میکنند داستان تمام است. رابطهای کاربری ناپدید میشوند، تیمها به سیستمهای جدید منتقل میشوند، و تمرکز به جای دیگری معطوف میشود. اما قراردادهای هوشمند میتوانند در زنجیره باقی بمانند. اگر وجوه هنوز داخل آنها باشد، میتوانند هدف قرار گیرند.
این موضوع باعث میشود زیرساختهای منسوخ شده بسیار پیچیده شوند. پروژه ممکن است دیگر به طور فعال پشتیبانی نشود، اما کد هنوز وجود دارد. مهاجمان اهمیت نمیدهند که یک قرارداد مد روز است، نگهداری میشود یا در صفحه اصلی ظاهر شده است. آنها فقط نگران این هستند که آیا امکان استخراج ارزش وجود دارد یا نه.
برای کاربران، این یک قانون ساده اما مهم است: واریزیهای قدیمی نباید نادیده گرفته شوند. اگر یک پروتکل خاموشی، مهاجرت یا منسوخ شدن اعلام کند، وجوه باید بررسی و در صورت نیاز برداشت شوند. ترک داراییها در قراردادهای قدیمی میتواند در معرض ریسکهایی قرار گیرد که هیچکس به طور فعال مانیتورینگ نمیکند.
چرا این موضوع برای امنیت دیفای مهم است
بیشتر پوششهای نفوذ بر روی پروتکلهای فعال تمرکز دارد. این منطقی است چون پلتفرمهای زنده کاربر، نقدینگی و تأثیر بازار دارند. اما حادثه آزتک کانکت نشان میدهد که سطح حمله گستردهتر است. هر چرخه بزرگ در دیفای، قراردادهای قدیمی، استخرهای رهاشده، انبارهای متوقف شده و پلهای منسوخ شده را به جا میگذارد.
تیمهای امنیتی ممکن است نیاز داشته باشند سیستمهای قدیمی را بخش مهمی از نقشه ریسک کلی قرار دهند. حتی اگر یک محصول دیگر تبلیغ نمیشود، وجوه باقیمانده میتواند هدف حمله باشد. پروژهها همچنین باید دستورالعملهای مشخصی برای خاموشی داشته باشند: هشدارهای کاربران، پنجرههای برداشت، مانیتورینگ و ارتباط عمومی درباره آنچه در زنجیره باقی مانده است.
در نهایت، مهمترین درس این است که نگرانی درباره کار فعلی آزتک نباشید، بلکه باید ریسکهای ناشی از میراث را جدی بگیرید. کاربرانی که با پروتکلهای قدیمی آزمایش کردهاند باید به صورت دورهای بررسی کنند که آیا هنوز وجوه، تاییدیهها یا پوزیشنهایی در قراردادهای غیرفعال دارند یا خیر.
برای بازار وسیعتر، این حمله یادآوری است که امنیت دیفای فقط مرتبط با کد جدید نیست. بلکه مربوط به آن چیزی است که صنعت پشت سر گذاشته است.
