العقود الآجلة
وصول إلى مئات العقود الدائمة
TradFi
الذهب
منصّة واحدة للأصول التقليدية العالمية
الخیارات المتاحة
Hot
تداول خيارات الفانيلا على الطريقة الأوروبية
الحساب الموحد
زيادة كفاءة رأس المال إلى أقصى حد
التداول التجريبي
مقدمة حول تداول العقود الآجلة
استعد لتداول العقود الآجلة
أحداث مستقبلية
"انضم إلى الفعاليات لكسب المكافآت "
التداول التجريبي
استخدم الأموال الافتراضية لتجربة التداول بدون مخاطر
إطلاق
CandyDrop
اجمع الحلوى لتحصل على توزيعات مجانية.
منصة الإطلاق
-التخزين السريع، واربح رموزًا مميزة جديدة محتملة!
HODLer Airdrop
احتفظ بـ GT واحصل على توزيعات مجانية ضخمة مجانًا
Pre-IPOs
افتح الوصول الكامل إلى الاكتتابات العامة للأسهم العالمية
نقاط Alpha
تداول الأصول على السلسلة واكسب التوزيعات المجانية
نقاط العقود الآجلة
اكسب نقاط العقود الآجلة وطالب بمكافآت التوزيع المجاني
عروض ترويجية
AI
Gate AI
شريكك الذكي الشامل في الذكاء الاصطناعي
Gate AI Bot
استخدم Gate AI مباشرة في تطبيقك الاجتماعي
GateClaw
Gate الأزرق، جاهز للاستخدام
Gate for AI Agent
البنية التحتية للذكاء الاصطناعي، Gate MCP، Skills و CLI
Gate Skills Hub
أكثر من 10 آلاف مهارة
من المكتب إلى التداول، مكتبة المهارات الشاملة تجعل الذكاء الاصطناعي أكثر فعالية
GateRouter
ختر بذكاء من أكثر من 40 نموذج ذكاء اصطناعي، بدون أي رسوم إضافية 0%
دليل أمان التمويل اللامركزي: كيف تدافع بفعالية عن هجمات القراصنة في عصر الذكاء الاصطناعي؟
العنوان الأصلي: كيف تتوقف عن خسارة المال بسبب اختراقات DeFi
المؤلف الأصلي: sysls، openforage
ترجمة الأصل: AididiaoJP، Foresight News
المؤلف الأصلي:律动BlockBeats
المصدر الأصلي:
إعادة النشر: 火星财经
مقدمة
عند الاطلاع على العديد من حوادث هجمات القراصنة على بروتوكولات DeFi، شعرت بالخوف من «الجهات الفاعلة الوطنية». فهم يمتلكون مهارات عالية، وموارد وفيرة، ويلعبون لعبة طويلة المدى للغاية؛ هؤلاء الأشرار الخارقون يركزون على تدقيق كل زاوية من بروتوكولاتك وبنيتك التحتية للعثور على الثغرات، بينما ينشغل فريق البروتوكول العادي بستة أو سبعة اتجاهات أعمال مختلفة.
أنا لا أدعي أنني خبير أمني، لكنني قادت فرقًا في بيئات عالية المخاطر (بما في ذلك الجيش وقطاع التمويل ذو الأموال الكبيرة)، ولدي خبرة واسعة في التفكير والتخطيط للطوارئ.
أنا أؤمن حقًا أن الوحوش هم فقط من يستطيعون البقاء على قيد الحياة. لا يوجد فريق يبدأ وهو يفكر «سأتجاهل الأمن وأتعامل معه بشكل غير جدي»؛ ومع ذلك، لا تزال الهجمات تحدث. نحن بحاجة إلى أن نكون أفضل.
الذكاء الاصطناعي يعني أن الأمر مختلف حقًا هذه المرة
الهجمات القراصنة ليست نادرة، لكن معدلها واضح في الارتفاع. الربع الأول من عام 2026 هو أعلى ربع سجلت فيه هجمات على بروتوكولات DeFi، ومع بداية الربع الثاني، من المتوقع أن يكسر الأرقام القياسية للربع السابق.
افتراضي الأساسي هو: أن الذكاء الاصطناعي خفض بشكل كبير تكلفة البحث عن الثغرات، ووسع بشكل كبير مساحة الهجوم. يحتاج البشر أسابيع لتدقيق تكوينات مئة بروتوكول للعثور على أخطاء؛ بينما يمكن لنموذج أساسي حديث أن ينجز ذلك خلال ساعات قليلة.
هذا من المفترض أن يغير تمامًا طريقة تفكيرنا واستجابتنا للهجمات القراصنة. تلك البروتوكولات القديمة التي اعتادت على أن تكون تدابير الأمان قبل أن يصبح الذكاء الاصطناعي قويًا، تواجه الآن خطر «القتل الفوري».
التفكير من خلال السطحيات والطبقات
مساحة السطح للهجمات القراصنة يمكن تلخيصها في ثلاثة: فريق البروتوكول، العقود الذكية والبنية التحتية، حدود ثقة المستخدم (DSN، وسائل التواصل الاجتماعي، إلخ).
بمجرد تحديد هذه السطوح، يتم إضافة طبقات دفاعية عليها:
· الوقاية: إذا تم تنفيذها بدقة، يمكن أن تقلل بشكل كبير من احتمالية الاستغلال.
· التخفيف: عند فشل الوقاية، يحد من مدى الضرر.
· الإيقاف المؤقت: لا أحد يمكنه اتخاذ قرارات مثالية تحت ضغط هائل. بمجرد تأكيد الهجوم، يتم تفعيل زر الإيقاف الفوري. التجميد يمنع المزيد من الخسائر ويمنح مساحة للتفكير…
· الاستعادة: إذا فقدت السيطرة على مكونات ضارة أو مخترقة، تخلص منها واستبدلها.
· الاسترجاع: استرجاع ما فقدته. خطط مسبقًا للتواصل مع شركاء يمكنهم تجميد الأموال، إلغاء المعاملات، والمساعدة في التحقيق.
المبادئ
هذه المبادئ توجه تنفيذ إجراءات الدفاع على كل طبقة.
استخدام الذكاء الاصطناعي المتقدم بكثرة
استخدام نماذج الذكاء الاصطناعي المتقدمة بكثرة لمسح قاعدة الشيفرة والتكوينات الخاصة بك، للبحث عن الثغرات، وإجراء اختبارات حمراء على نطاق واسع: محاولة العثور على ثغرات من الواجهة الأمامية، ورصد مدى وصولها إلى الخلفية. يفعل المهاجمون ذلك. أنت تستطيع أن تكتشف ما يمكن أن يكتشفوه من خلال المسح الدفاعي، لكن هجماتهم كانت قد اكتشفت ذلك مسبقًا.
استخدام أدوات مثل pashov، nemesis، بالإضافة إلى منصات الذكاء الاصطناعي مثل Cantina (Apex) وZellic (V12)، لإجراء مسح سريع لقاعدة الشيفرة قبل إتمام التدقيق الكامل.
الوقت والمقاومة هما دفاع جيد
إضافة خطوات متعددة ووقت قفل لأي عملية قد تتسبب في ضرر. تحتاج إلى وقت كافٍ للتدخل وتجميد الحالة عند اكتشاف أي استثناء.
في الماضي، كانت الأسباب المعارضة لوقت القفل والإعدادات متعددة الخطوات تتعلق بإحداث مقاومة للفريق. الآن، لا داعي للقلق كثيرًا: يمكن للذكاء الاصطناعي أن يتجاوز هذه المقاومة بسهولة في الخلفية.
الثوابت
يمكن للعقود الذكية أن تبني دفاعات من خلال كتابة «حقائق» غير قابلة للتغيير: إذا تم كسر هذه الحقائق، فإن منطق البروتوكول كله ينهار.
عادةً، لديك عدد قليل من الثوابت. يجب أن تكون حذرًا عند رفعها إلى مستوى الشيفرة؛ فرض عدة ثوابت في كل وظيفة يصبح إدارة الأمر صعبًا.
توازن السلطة
الكثير من هجمات القراصنة تنبع من اختراق المحافظ. تحتاج إلى تكوين يضمن أنه حتى لو تم اختراق التوقيع متعدد، يمكن بسرعة الحد من الضرر وإعادة البروتوكول إلى حالة يمكن فيها اتخاذ القرارات عبر الحوكمة.
هذا يتطلب توازنًا بين الحوكمة (التي تقرر كل شيء) والإنقاذ (القدرة على استعادة الاستقرار القابل للحكم، دون إلغاء أو قلب الحوكمة).
دائمًا هناك مشكلة
افترض من البداية: مهما كانت ذكاؤك، ستتعرض للاختراق. قد تتعطل عقودك الذكية أو الاعتمادات الخاصة بك. قد تتعرض لهجمات هندسة اجتماعية، أو قد تدرج التحديثات ثغرات غير متوقعة.
عند التفكير بهذه الطريقة، ستصبح قيود الحد من الضرر، وأجهزة قفل البروتوكول، أصدقائك المفضلين. قلل الضرر إلى 5-10%، ثم قم بالتجميد، وخطط لاستجابتك. لا أحد يمكنه اتخاذ القرارات المثالية وسط نيران المعركة.
أفضل وقت للتخطيط هو الآن
فكر في استجابتك قبل أن تتعرض للاختراق. قم بترميز العمليات قدر الإمكان، وتدرب مع فريقك، حتى لا تتوتر عند وقوع الحدث. في عصر الذكاء الاصطناعي، هذا يتطلب مهارات وخوارزميات يمكنها تقديم كميات هائلة من المعلومات بسرعة، ومشاركتها بشكل ملخص وطويل مع فريقك الأساسي.
لست بحاجة إلى أن تكون مثاليًا، لكن عليك أن تبقى على قيد الحياة. لا يوجد نظام من اليوم الأول لا يمكن اختراقه تمامًا؛ من خلال التكرار، ستصبح أكثر مرونة من خلال التعلم من الأخطاء.
عدم وجود أدلة على عدم الاختراق لا يعني أنك لن تتعرض للاختراق. النقطة الأكثر راحة غالبًا هي أخطر نقطة.
إجراءات الوقاية
تصميم العقود الذكية
بمجرد تحديد الثوابت، قم برفعها إلى فحوصات وقت التشغيل. فكر جيدًا في الثوابت التي تستحق التنفيذ الإجباري.
هذه هي نمط FREI-PI (متطلبات الوظيفة، الآثار، التفاعلات، الثوابت البروتوكولية): عند نهاية كل وظيفة ذات قيمة، أعد التحقق من الثوابت التي تعهدت بالحفاظ عليها. العديد من هجمات التصفية عبر CEI (Checks-Effects-Interactions) (مثل هجمات الشطيرة عبر القروض السريعة، أو تصفية عبر أوامر التقييم، أو استنزاف القدرة على الدفع عبر الوظائف المتعددة) يمكن أن يتم اكتشافها عبر فحوصات الثوابت عند نهاية الوظيفة.
اختبارات جيدة
اختبار التعتيم الحالة (Stateful fuzzing) يولد تسلسلات استدعاء عشوائية على السطح الكامل للواجهة العامة للبروتوكول، ويؤكد الثوابت عند كل خطوة. معظم الثغرات في بيئة الإنتاج تتطلب معاملات متعددة، واختبار التعتيم الحالة هو الوسيلة الأكثر موثوقية لاكتشاف هذه المسارات قبل المهاجمين.
استخدام اختبار الثوابت للتأكيد على أن الخصائص تظل ثابتة عبر جميع تسلسلات الاستدعاء التي يمكن أن يولدها المولّد. مع التحقق الرسمي، يمكن إثبات أن الخصائص تظل ثابتة في جميع الحالات الممكنة. من المفترض أن تتلقى الثوابت الخاصة بك هذا النوع من المعالجة.
الاعتمادات الخارجية
التعقيد هو عدو الأمان. كل اعتماد خارجي يوسع مساحة الهجوم. عند تصميم البروتوكول، امنح المستخدمين خيار الثقة بمن يثقون وماذا يثقون. إذا لم تتمكن من إزالة الاعتماد، فقم بتنويعه، بحيث لا يوجد نقطة فشل واحدة يمكن أن تدمر البروتوكول.
قم بتوسيع نطاق التدقيق ليشمل محاكاة طرق فشل العقود الخارجية والاعتمادات، وفرض قيود على مدى الضرر المحتمل إذا فشلت.
مثال حديث على ذلك هو ثغرة KelpDAO الأخيرة: حيث ورثوا إعداد LayerZero الافتراضي requiredDVNCount=1، والذي كان خارج نطاق تدقيقهم. في النهاية، تم اختراق البنية التحتية غير المدققة خارج نطاق التدقيق.
الهجمات السطحية
تم سرد معظم الهجمات السطحية في DeFi بالفعل. افحص كل فئة على حدة، واسأل عما إذا كانت تنطبق على بروتوكولك، ثم طبق إجراءات السيطرة على تلك النقاط. درب فريق الاختبار الأحمر، ودع الذكاء الاصطناعي الخاص بك يبحث بشكل استباقي عن الثغرات؛ هذا أصبح مطلبًا أساسيًا الآن.
امتلك قدرات إنقاذ أصلية
في الحوكمة المعتمدة على التصويت، تتركز السلطة في البداية في محافظ التوقيع المتعددة، وتحتاج إلى وقت لنشرها. حتى مع توزيع الرموز بشكل واسع، غالبًا ما تترك التفويضات السلطة مركزة في عدد قليل من المحافظ (حتى n=1). عندما يتم اختراق هذه المحافظ، تنتهي اللعبة.
نشر «محفظة الحارس»، وتزويدها بصلاحيات محدودة جدًا: يمكنها فقط إيقاف البروتوكول، وفي حالة وجود حد أدنى 4/7، يمكنها في الحالات القصوى استبدال المحافظ المتضررة بمحفظة بديلة محددة مسبقًا. الحراس لا يمكنهم أبدًا تنفيذ مقترحات الحوكمة.
بهذا الشكل، تمتلك طبقة إنقاذ تضمن استعادة الاستقرار القابل للحكم، دون القدرة على قلب الحوكمة. احتمالية فقدان >=4/7 من الحراس في أسوأ الحالات منخفضة جدًا (نظرًا لتنوع المالكين)، وعندما تنضج الحوكمة وتصبح موزعة، يمكن التخلص من هذه الطبقة تدريجيًا.
المحافظ والبنية التحتية للمفاتيح
المحافظ متعددة التوقيعات هي الحد الأدنى، 4/7 على الأقل. لا يوجد شخص واحد يسيطر على جميع المفاتيح السبعة. قم بتغيير الموقعين بشكل متكرر وبدون ضجة.
المفاتيح لا يجب أن تتفاعل أبدًا مع الأجهزة المستخدمة يوميًا. إذا كنت تستخدم جهاز توقيع لتصفح الإنترنت، أو إرسال البريد الإلكتروني، أو فتح Slack، فافترض أن هذا الموقع قد تم اختراقه.
امتلك عدة محافظ متعددة التوقيع، لكل منها غرض مختلف. افترض أن على الأقل واحد منها سيتم اختراقه، وابدأ من هناك في التخطيط. لا ينبغي لأي شخص أن يمتلك السيطرة الكافية لاختراق البروتوكول، حتى في أسوأ الحالات (الاختطاف، التعذيب، إلخ).
فكر في المكافآت
إذا كانت لديك الموارد، فمن الجدير جدًا وضع مكافأة عالية الثمن على الثغرات بالنسبة لإجمالي قيمة البروتوكول (TVL)؛ حتى لو كان البروتوكول صغيرًا، يجب أن تكون مكافأة الثغرات سخية قدر الإمكان (مثلاً، من 7 إلى 8 أرقام على الأقل).
إذا كنت تتعرض لهجمات من جهات فاعلة وطنية، قد لا تتفاوض، لكن لا تزال بإمكانك المشاركة في خطة «الملاذ الآمن للهاكر الأبيض»، وتفويض الهاكر الأبيض للعمل نيابة عنك لحماية الأموال، مقابل نسبة مئوية من قيمة الثغرة (وهي في الواقع مكافأة يدفعها المودعون).
ابحث عن مدققين جيدين
سبق أن كتبت أن مع تطور نماذج اللغة الكبيرة، تقل القيمة الحدية لتوظيف المدققين. ما زلت أؤمن بذلك، لكن رأيي تغير.
أولاً، المدققون