شرکت تحلیل بلاکچین TRM Labs اعلام کرد که توکن پاور در یک سوءاستفاده حکمرانی حدود ۱.۵۸ میلیون دلار WETH را از دست داده است. حملهکننده از ساختار حکمرانی بدون تایملاک استفاده کرد که اجازه داد در یک بلاک پیشنهاد، رایگیری و اجرای عملیات مخرب صورت گیرد. تحقیقات TRM نشان داد که حمله با بهرهگیری از ضعف در تنظیمات DAO آراگون protocol صورت گرفته است: نبود تایملاک، که به حملهکننده امکان داد در یک بلاک پیشنهاد، رای بدهد و اقدام مخرب را اجرا کند. حملهکننده با استفاده از ۶۶۲ ETH برداشت شده از Tornado Cash، تعداد کافی توکن TOP خریداری کرد تا اکثریت رأیگیری را به دست آورد، ۱۰ میلیارد توکن جدید TOP صادر کرد و این توکنها را در قالب WETH با استفاده از یک استخر بالانس تغییر داد و سپس وجوه به سمت Tornado Cash هدایت شد. این سوءاستفاده نمونهای واضح است که نشان میدهد چگونه طراحی حکمرانی میتواند یک خطر امنیتی مستقیم باشد. توکنوایوتینگ در ظاهر غیرمتمرکز است، اما اگر فرد مخرب بتواند سریعاً قدرت رأیگیری را خریداری و بدون تأخیر تغییرات را اجرا کند، سیستم حکمرانی ممکن است آسیبپذیر شود. تایملاکها باید به کاربران، توسعهدهندگان و تیمهای امنیتی فرصت دهند قبل از اجرائی شدن پیشنهاد، واکنش نشان دهند. بدون این تأخیر، رایمخالف میتواند قبل از اینکه کسی بتواند مانع آن شود، خسارت وارد کند. برای کاربران دیفای، این رویداد یادآوری است که ریسک قراردادهای هوشمند محدود به باگهای کد نیست. پارامترهای حکمرانی، کنترلهای خزانه و معیارهای رأیگیری نیز به همان اندازه اهمیت دارند. همچنین نشان میدهد که چگونه میکسرها و استخرهای نقدینگی میتوانند در اطراف یک سوءاستفاده استفاده شوند بدون اینکه خود پروتکل هدفگیرنده باشد. موضوع بعدی برای پیگیری، حرکت مجدد وجوه سرقتشده و اعلام جزییات بیشتر اصلاحات توسط پروتکل، آراگون یا ارائهدهندگان نقدینگی مرتبط است. این مقاله نباید بگوید خود Tornado Cash هک شده است. در زمینه بیتکوینست، این داستان در قالب تغییر بزرگتری در جهان رمزارز قرار دارد که در آن زیرساخت، امنیت، حکمرانی و کارایی توکن به اندازه حرکتهای کوتاهمدت قیمت اهمیت پیدا کردهاند. معاملهگران هنوز به حرکتهای بازار اهمیت میدهند، اما باید سیستمها، ریسکها و تغییرات محصول پشت سر اخبار را نیز درک کنند. نکته مهم این است که توسعهها را بیش از حد بزرگنمایی نکنیم، بلکه توضیح دهیم چرا این موضوع باید در گفتوگوی روزمره بازار قرار گیرد. داستانهای قوی رمزارزین بهطور فزایندهای از بهروزرسانیهای پروتکل، اطلاعیههای رسمی، گزارشهای امنیتی، سوابق قضایی و دادههای روی زنجیر برخاسته است، نه صرفاً تفسیرهای تکراری. نتیجهگیری ویرایشی باید واقعگرایانه باشد: منبع تأیید میکند که توسعهای مهم در حوزه رمزارز رخ داده، اما پیامدهای آن بستگی به میزان پذیرش، افشاگریهای بعدی یا شواهد بیشتر روی زنجیر دارد. این توازن، مقاله را مفید نگه میدارد بدون اینکه روی هیجانزدگی یا ادعاهای بیپایه تکیه کند. از دیدگاه ویرایشی، این داستان باید به عنوان بخشی از محیط عملیاتی گسترده رمزارز در روز باشد، نه فقط به عنوان یک دوره هیجانزده مستقل. بهترین حالت این است که متن به منبع تایید شده نزدیک باشد، ریسک یا فرصتهای عملی را توضیح دهد و جایی برای پیگیریهای بعدی با دیتا، مدارک یا بیانیههای رسمی در آینده نگه دارد. این گزارش بر اساس اطلاعات گزارش امنیتی زنجیرهای TRM Labs تهیه شده است.
Bitcoinistامنیت بلاکچین۲۴ خرداد ۱۴۰۵👁 7 بازدید⏱ 3 دقیقه مطالعه
سوءاستفاده از Governance در توکن پاور؛ ۱.۵۸ میلیون دلار WETH دزدیده شد
شرکت TRM Labs اعلام کرد که سوءاستفاده از حکمرانی توکن پاور موجب سرقت حدود ۱.۵۸ میلیون دلار WETH شده است. حملهگر با بهرهگیری از نبود تایملاک در تنظیمات DAO، در یک بلاک پیشنهاد، رأیگیری و اجرای عملیات مخرب را انجام داد. تحقیقات نشان میدهد که حمله با استفاده از برداشت ETH از Tornado Cash و خرید توکنهای TOP صورت گرفته است. این حریف نمونهای از خطر طراحی حکمرانی است و نشان میدهد چگونه تایملاکها برای پیشگیری از حملات اهمیت دارند.
برچسبها:رمزارزحکمرانیسوءاستفاده امنیتیتوکن پاورTRM LabsWETHDAOنقدینگیامنیت بلاکچین
