دیفای در آوریل ۲۰۲۵ با حمله به پل rsETH که یک نقص چند ساله را آشکار کرد، ۶۳۵ میلیون دلار از دست داد

دیفای در ماه آوریل بدترین ماه خود را در بیش از یک سال تجربه کرد، به طوری که هکرها بر اساس داده‌های جمع‌آوری‌شده توسط شرکت‌های امنیتی بلاک‌چین، ۶۳۵ میلیون دلار را در ۲۸ حادثه جداگانه سرقت کردند. این رقم مجموع زیان‌های تاریخی را به ۱۶.۵ میلیارد دلار می‌رساند که ۷.۷ میلیارد دلار آن به طور خاص به دیفای مربوط است. مخرب‌ترین رویداد منفرد ماه - حمله به پل rsETH - Aave را با ۲۰۰ میلیون دلار بدهی بد مواجه کرد و بحثی را درباره اولویت‌دهی صنعت به سرعت بر امنیت دوباره باز کرد.

حمله rsETH: یک پیکربندی یک‌از-یک که سال‌ها دوام آورد

حمله به پل rsETH کلپ‌دی‌ای‌او از یک پیکربندی شبکه تأییدکننده غیرمتمرکز (DVN) یک‌از-یک سوءاستفاده کرد - تنظیماتی که تنها به یک تأییدکننده برای تأیید یک پیام نیاز داشت. مهاجمان زیرساخت RPC را به خطر انداختند، از طریق DDoS به گره‌های مسموم سوئیچ اجباری انجام دادند و داده‌های جعلی را به آن DVN واحد تزریق کردند. پیام جعلی حدود ۱۱۶,۵۰۰ rsETH را آزاد کرد که سپس به عنوان وثیقه در Aave سپرده شد.

گزارش حادثه Aave تأیید کرد که زنجیره اتریوم nonce 308 را از حمله پذیرفته است، در حالی که نقطه پایانی منبع Unichain هرگز از 307 فراتر نرفت - عدم تطابقی که با نظارت بهتر باید کشف می‌شد. کلپ‌دی‌ای‌او می‌گوید DVN یک‌از-یک پیش‌فرضی بود که خود LayerZero ارسال کرده بود. LayerZero ادعا می‌کند که کلپ‌دی‌ای‌او به آن تنظیمات تنزل داده است. صرف‌نظر از این، LayerZero از آن زمان پیکربندی DVN یک‌از-یک را در سراسر پروتکل ممنوع کرده است.

سرزنش، مسئولیت و ارتباط با لازاروس

Chainalysis به طور مقدماتی این حمله را به گروه لازاروس کره شمالی مرتبط دانست، هرچند انتساب هنوز ادامه دارد. برای صنعت، این حادثه کمتر به این مربوط است که چه کسی آن را انجام داد و بیشتر به چگونگی وقوع آن. «دیفای از نظر تاریخی رشد، یکپارچه‌سازی‌ها، نقدینگی و سرعت را بر بلوغ امنیتی پاداش داده است،» گفت میچل آمادور، مدیرعامل Immunefi. او به اقدامات نادیده‌گرفته‌شده‌ای مانند بهداشت چندامضایی، سخت‌افزاری زنجیره تأمین، نظارت بیدرنگ و رویه‌های واکنش اضطراری اشاره کرد که بسیاری از پروتکل‌ها هنوز از آنها صرف‌نظر می‌کنند.

بن نادارسکی، مدیرعامل Solstice Finance، به صراحت گفت: «تیم‌های برنده از روز اول بر پایه انطباق و امنیت ساخته خواهند شد.» و کاسپر پاولوسکی، مدیر فنی Euler Finance، خاطرنشان کرد که ارزیابی ریسک در دیفای اغلب به عنوان یک چک‌لیست یک‌باره در نظر گرفته می‌شود، اما «ریسک پویا است.»

۱۱ میلیارد دلار از ارزش کل قفل‌شده در یک ماه از بین رفت

فراتر از ماجرای rsETH، دیفای ماه گذشته نزدیک به ۱۱ میلیارد دلار از ارزش کل قفل‌شده خود را به دلیل سوءاستفاده‌های برجسته از Drift و پل کلپ‌دی‌ای‌او از دست داد. این اعداد روندی را که محققان امنیتی در مورد آن هشدار می‌دادند برجسته می‌کند: با دنبال کردن یکپارچه‌سازی‌ها و نقدینگی توسط پروتکل‌ها، سطح حمله سریع‌تر از آنچه دفاع‌ها بتوانند همگام شوند گسترش می‌یابد. مجموع آوریل بالاترین زیان ماهانه از اوایل ۲۰۲۴ است.

حال سؤال این است که آیا صنعت سرانجام امنیت را به عنوان یک فرآیند مداوم به جای یک چک‌لیست روز راه‌اندازی تلقی خواهد کرد - یا منتظر حفره ۲۰۰ میلیون دلاری دیگری خواهد ماند.