Paradex再遭黑客攻击：57个密钥泄露为何没有资金被盗

منصة المشتقات اللامركزية Paradex شهدت خلال يومين فقط حادثتين أمنيتين كبيرتين. بعد تعطل النظام في 19 يناير الذي أدى إلى عرض سعر البيتكوين كأنه صفر، أكدت المنصة اليوم تعرض روبوت التداول Mithril الذي تم دمجه معها لهجوم من قبل قراصنة، حيث تم تسريب مفاتيح فرعية لحوالي 57 مستخدمًا. لكن، وعلى عكس الكوارث المتوقعة، لم تتسبب هذه الحادثة في خسارة أموال المستخدمين في النهاية. المفتاح هنا هو تصميم الصلاحيات: المفاتيح الفرعية المسربة يمكن استخدامها فقط لتنفيذ التداول، ولا يمكنها الوصول إلى رصيد محفظة المستخدم.

تسريب المفاتيح لكن الأموال آمنة لماذا

نطاق التأثير الفعلي للهجوم

وفقًا للإفصاح الرسمي من Paradex، قام القراصنة باختراق النظام الداخلي لـ Mithril، مما أدى إلى تسريب مفاتيح فرعية لحوالي 57 مستخدمًا. ولكن من المهم توضيح نقطة رئيسية: لم يتم تسريب المفتاح الرئيسي للمستخدمين، بل المفاتيح الفرعية المخصصة لتنفيذ التداول فقط.

هذا التصنيف في الصلاحيات هو أمر حاسم. تشرح Paradex أن هذه المفاتيح الفرعية مصممة لتكون “محدودة الصلاحيات”، مع القيود التالية:

• العمليات المسموح بها: وضع أوامر، تعديل المراكز، إغلاق الصفقات
• العمليات غير المسموح بها: سحب الأموال، نقل الرصيد، تعديل إعدادات الحساب

هذا يعني أنه حتى لو حصل المهاجمون على هذه المفاتيح، فإنهم لن يستطيعوا إلا تنفيذ عمليات داخل حسابات المستخدمين، ولن يتمكنوا من سحب الأموال. هذا الهيكل الهرمي للصلاحيات يلعب دور الحاجز الناري في اللحظات الحرجة.

استجابة Paradex الطارئة

بعد اكتشاف الخلل، اتخذت Paradex إجراءات سريعة:

• توقفت فورًا عن عمليات التحويل المرتبطة بـ XP
• ألغت جميع المفاتيح الفرعية المرتبطة بـ Mithril
• قطعت مسارات الوصول إلى الروبوتات المخترقة
• دعت المستخدمين للتحقق من الأدوات الخارجية المصرح بها وإزالتها

من حيث سرعة الاستجابة، تمكنت المنصة من تجنب تصعيد المخاطر بشكل أكبر.

المخاطر النظامية وراء الحادثتين

المشاكل المتكررة على المدى القصير

الأمر الأكثر إثارة للقلق هو أن Paradex شهدت خلال 48 ساعة حادثتين كبيرتين:

على الرغم من اختلاف طبيعة الحادثتين، إلا أنهما يسلطان الضوء على مشكلة مشتركة: وجود ثغرات في إدارة المخاطر في بيئة التداول الآلي في DeFi.

السلاح ذو الحدين لأدوات DeFi الآلية

تذكرنا هذه الحوادث مرة أخرى أن أدوات الأتمتة الخارجية، رغم أنها تعزز كفاءة التداول، إلا أنها ليست خالية من المخاطر. تشمل هذه المخاطر:

• المخاطر التقنية: فشل الصيانة أو الأعطال قد يؤدي إلى تصفية غير متوقعة
• مخاطر أمنية: أدوات الروبوتات الخارجية قد تكون هدفًا للهجمات
• مخاطر الصلاحيات: التفويض المفرط قد يؤدي إلى نتائج كارثية

نجاح Paradex في تجاوز هذه الحوادث بأمان يعود بشكل رئيسي إلى تصميم الصلاحيات بشكل مناسب. لكن ليس كل المنصات تمتلك مثل هذه التدابير الوقائية.

الدروس للمستخدمين وللسوق

نصائح للمستخدمين

• مراجعة الأدوات الخارجية المصرح بها بشكل دوري، والاحتفاظ فقط بالاتصالات الضرورية والموثوقة
• تفضيل المنصات والأدوات التي تعتمد على تصميم صلاحيات متعدد المستويات
• متابعة سجل الأمان والاستجابة الطارئة للمنصة
• عدم الاعتماد بشكل مفرط على أداة أتمتة واحدة فقط

التفكير على مستوى السوق

تشير هاتان الحادثتان إلى أن بيئة التداول الآلي في DeFi لا تزال بحاجة إلى تحسين معايير الأمان بشكل أكبر. رغم أن بعض المستخدمين يثمنون سرعة استجابة Paradex، إلا أن البعض يرى أن الأمر لا يقتصر على سرعة الرد، بل يتطلب تعزيز تصميم النظام وإدارة المخاطر بشكل جذري.

الخلاصة

رغم أن حادثة الاختراق لـ Paradex كانت دون خسائر مالية، إلا أن الدروس المستفادة لا يمكن تجاهلها. فتصميم الصلاحيات بشكل مناسب حال دون خسارة الأموال، لكن تكرار وقوع حادثتين كبيرتين في فترة قصيرة يسلط الضوء على وجود مجالات للتحسين في عمليات التشغيل والأمان. بالنسبة للمتداولين، فإن التوازن بين الراحة والأمان أصبح أكثر أهمية من أي وقت مضى. عند اختيار أدوات الأتمتة، لا يكفي النظر إلى الوظائف فقط، بل يجب تقييم تصميم الصلاحيات، والسجل الأمني، وقدرة إدارة المخاطر في المنصة. إن تطور DeFi يتطلب ليس فقط الراحة، بل الاعتمادية أيضًا.