تقرير أمان بروتوكول التمويل اللامركزي يكشف عن نقاط الضعف في إدارة المخاطر ويدعو إلى تعزيز وعي مهندسي المالية.

مؤخرا، تعرض بروتوكول تمويل لامركزي معروف للهجوم من هاكر، وأصدر تقرير مراجعة أمان بعد ذلك. على الرغم من أن هذا التقرير أظهر أداءً ممتازًا في التفاصيل الفنية والاستجابة الطارئة، إلا أنه بدا غامضًا عند تفسير جذور الهجوم.

تتناول التقرير بشكل أساسي الأخطاء في فحص الدوال في مكتبة رياضية مفتوحة المصدر، وتصنفها على أنها "سوء فهم دلالي". هذه العبارة صحيحة من الناحية الفنية، لكنها تحول بذكاء التركيز إلى العوامل الخارجية، مما يجعل البروتوكول نفسه يبدو وكأنه ضحية لهذا العيب الفني.

ومع ذلك، من خلال تحليل مسار هجمات هاكر بدقة، يتضح أن تنفيذ الهجوم بنجاح يتطلب تلبية أربعة شروط في آن واحد: فحص تجاوز خاطئ، عمليات إزاحة كبيرة، قاعدة التقريب للأعلى، ونقص في التحقق من الجدوى الاقتصادية. ومن المدهش أن هذا البروتوكول أهمل كل شرط من شروط التحفيز.

هذا يكشف عن بعض المشاكل الرئيسية:

1. لماذا لم يتم إجراء اختبار أمان كافٍ عند استخدام مكتبات خارجية شائعة؟ على الرغم من أن هذه المكتبة تتمتع بخصائص مثل المصدر المفتوح والشعبية، إلا أن فريق البروتوكول يبدو أنه لم يفهم حدود الأمان بشكل كافٍ عند إدارة أصول ضخمة بهذا القدر.

2. لماذا يسمح بإدخال أرقام فلكية غير معقولة دون وضع حدود؟ على الرغم من أن التمويل اللامركزي يسعى إلى الانفتاح، إلا أن الأنظمة المالية الناضجة تحتاج إلى حدود واضحة. السماح بإدخال قيم مبالغ فيها يدل على أن الفريق قد يفتقر إلى المواهب في إدارة المخاطر التي تتمتع بحدس مالي.

3. لماذا لم تتمكن عمليات التدقيق الأمني المتعددة من اكتشاف المشكلة مسبقاً؟ هذا يعكس مفهومًا خاطئًا شائعًا: تعتمد الفرق المشاريع بشكل مفرط على التدقيق الأمني، وتعتبره وسيلة للإعفاء من المسؤولية. ومع ذلك، يركز مهندسو التدقيق الأمني على اكتشاف ثغرات في الشيفرة، ويجدون صعوبة في توقع أن النظام قد ينتج نسبة تبادل غير معقولة.

تظهر هذه الحادثة نقاط الضعف النظامية في أمان صناعة التمويل اللامركزي: الفرق ذات الخلفيات التقنية البحتة غالبًا ما تفتقر إلى الوعي الأساسي بمخاطر المالية. من خلال هذه التقرير، يبدو أن فريق البروتوكول لم يتفكر بعمق في هذه النقطة.

بالنسبة لجميع فرق التمويل اللامركزي، من الضروري تجاوز قيود التفكير الفني البحت وزرع الوعي بمخاطر الأمان لدى "مهندسي التمويل" الحقيقيين. يمكن النظر في التدابير التالية:

• الاستعانة بخبراء في إدارة المخاطر المالية لسد الثغرات المعرفية في الفريق التقني
• تنفيذ آلية مراجعة تدقيق متعددة الأطراف، لا تركز فقط على تدقيق الشيفرة، بل يجب أيضًا أن تعير اهتمامًا لتدقيق النموذج الاقتصادي
• تطوير "حاسة المال"، محاكاة سيناريوهات الهجوم المختلفة ووضع تدابير للتعامل معها، والاحتفاظ بوعي عالٍ بالإجراءات غير العادية.

مع نضوج الصناعة بشكل متزايد، ستقل الثغرات التقنية على مستوى الكود تدريجياً، ولكن ستصبح "ثغرات الوعي" الناجمة عن غموض الحدود وتشوش المسؤوليات هي أكبر التحديات. يمكن لشركات التدقيق ضمان عدم وجود ثغرات في الكود، ولكن كيفية تحقيق "وجود حدود للمنطق" تتطلب من فرق المشروع فهمًا أعمق وقدرة على التحكم في جوهر الأعمال.

مستقبل التمويل اللامركزي ينتمي إلى الفرق التي تتقن تقنيات البرمجة وتفهم بعمق منطق الأعمال.