درجة ثقة المجتمعموثّق
ما الذي حدث
تعرض أحد أكثر روبوتات MEV نشاطًا على شبكة إيثريوم (ETH) للاستنزاف. فقد خسر Jaredfromsubway.eth، الذي يُعتبر على الأرجح الروبوت الأكثر شهرة في الشبكة، 7.5 مليون دولار بعد أن اكتشف مهاجم ثغرة في عقد التوجيه الخاص به واستغل منطق الروبوت ضده.
كانت الآلية خبيثة. قام المهاجم ببناء عقود ذكية مخصصة لجذب الروبوت لتنفيذ معاملات ساندويتش غير مربحة. إنه فخ للموافقة على المعاملات: حيث استمر الروبوت، الذي يعمل وفقًا لدليل التشغيل الآلي الخاص به، في التعامل مع ما بدا أنه تدفق تجاري طبيعي. لكنه لم يكن كذلك. كل تفاعل استنزف الأموال. وبحلول الوقت الذي أدرك فيه أحدهم الأمر، كان 7.5 مليون دولار قد اختفى. قامت شركة الأمن على السلسلة Blockaid بتحليل الهجوم بالتفصيل، وتوضح تحليلاتهم أن هذا لم يكن تخمينًا محظوظًا – بل كان من قام به يعرف تمامًا كيف يعمل عقد التوجيه وأين تكمن نقاط الضعف.
روبوتات MEV ليست عمليات صغيرة. فهي تعمل باستمرار، وتعالج كميات هائلة من المعاملات عبر ممبول إيثريوم، وكان Jaredfromsubway.eth من بين الأكثر نشاطًا في المجموعة.
السياق التاريخي
شهد التمويل اللامركزي (DeFi) هذا السيناريو من قبل. في عام 2020، تعرضت Harvest Finance لضربة بقيمة 24 مليون دولار بسبب ثغرة في القروض الفورية – هجوم سريع ونظيف كشف عن مدى الضرر الذي يمكن أن تسببه عيوب التصميم عندما يكون هناك رأس مال حقيقي خلفها. ثم جاء اختراق شبكة Poly في عام 2021، الذي تجاوز 600 مليون دولار وصدم كل من اعتقد أنه رأى الأسوأ. أثبت ذلك أن حتى البروتوكولات الواسعة الاستخدام يمكن أن تحتوي على نقاط ضعف لم يتم اكتشافها أثناء التطوير.
ما يربط بين هذه الحوادث ليس فقط المبالغ المالية. إنه النمط. مع نمو أنظمة التمويل اللامركزي (DeFi) وزيادة تعقيدها، تصبح أكثر إثارة للاهتمام للمهاجمين. نفس التعقيد الذي يجعل النظام فعالاً يخلق مساحة سطحية للاستغلال. والأشخاص الذين يبنون هذه الأدوات – وغالبًا ما يتحركون بسرعة وغالبًا ما يكونون غير مجهزين من ناحية الأمان – لا يمكنهم دائمًا مواكبة المهاجمين الذين لديهم كل الحوافز لاكتشاف الثغرات.
لم يكن Jaredfromsubway.eth مشروعًا جديدًا غير معروف. بل كان عملية راسخة وذات حجم كبير. وهذا هو النقطة الأساسية.
لماذا يهم
الخسارة البالغة 7.5 مليون دولار ليست مجرد يوم سيء لمشغل الروبوت. إنها ترسل إشارة عبر نظام MEV بأكمله بأن أنظمة التداول الآلية تحمل مخاطر أمنية حقيقية وغير محلولة – وأن هذه المخاطر تتناسب مع رأس المال المعني.
المزيد من الأموال التي تتدفق إلى التمويل اللامركزي (DeFi) تعني أهدافًا أكبر. والأهداف الأكبر تجذب مهاجمين أكثر تطورًا. يجعل استغلال Jaredfromsubway.eth هذه الحلقة واضحة جدًا. يخسر مشغلو الروبوت. يخسر أي شخص يعتمد على هذا النظام لتحقيق عوائد. وتتعرض الثقة العامة في التداول الآلي على إيثريوم لضربة.
هناك أيضًا مسألة الثقة الزائدة. هذه الروبوتات تنفذ ملايين المعاملات. تعمل – حتى لا تعمل. الافتراض بأن نظامًا مثبتًا ومختبرًا في المعركة آمن هو بالضبط نوع التفكير الذي يجعل ثغرة عقد التوجيه خطيرة للغاية. لا أحد يقوم بتدقيق ما يعتقدون أنه بالفعل على ما يرام.
عمل Blockaid في الكشف الفوري هنا يهم أكثر مما قد يبدو. قدرتهم على إعادة بناء تدفق الهجوم بعد وقوعه تعطي النظام شيئًا للعمل عليه. لكن الكشف بعد وقوع الحدث لا يستعيد 7.5 مليون دولار. السؤال الأصعب هو ما إذا كانت المشاريع ستغير بالفعل ممارسات التدقيق الخاصة بها قبل الحادثة التالية – أو فقط تنتظر لترى ما إذا كانوا هم التاليون.
يبدو أن التدقيق التنظيمي من المحتمل أن يتبع. توفر حوادث مثل هذه للمشرعين مثالًا ملموسًا على فشل أنظمة التمويل اللامركزي الآلية بطرق تضر بالأشخاص الحقيقيين. ما إذا كان ذلك سيترجم إلى معايير أمان رسمية للمنصات اللامركزية لم يتضح بعد، لكن الضغط ربما يتزايد.
ما يجب مراقبته
بعض الأمور تستحق المتابعة في الأشهر المقبلة. أولاً، كيف ستستجيب شبكة إيثريوم والمشاريع الكبرى في التمويل اللامركزي (DeFi) من ناحية الأمان – تحديدًا ما إذا كان هناك أي زيادة قابلة للقياس في تدقيق العقود الذكية أو تغييرات على مستوى البروتوكول في كيفية تفاعل روبوتات MEV مع عقود التوجيه. ثانيًا، نشاط روبوتات MEV نفسها. من المحتمل أن تنخفض أحجام المعاملات ومعدلات المشاركة عبر روبوتات الساندويتش في المدى القصير بينما يعيد المشغلون تقييم تعرضهم. ما إذا كان ذلك مؤقتًا أو يمثل تراجعًا أطول من الصعب تحديده الآن.
وثالثًا – دور الشركات مثل Blockaid. تقاريرهم التفصيلية بعد الحوادث مفيدة حقًا، لكن الصناعة تحتاج إلى هذا النوع من التحليل ليغذي الوقاية، وليس فقط التوثيق. لا يوجد نقص في مدققي العقود الذكية. النقص يكمن في المشاريع التي تستخدمهم قبل النشر، وليس بعد الاختراق.
أجرى Jaredfromsubway.eth حجمًا هائلًا من المعاملات عبر إيثريوم. فقد 7.5 مليون دولار في فخ عقد ذكي مخصص بُني خصيصًا لاستغلال منطق التوجيه الخاص به.
الأسئلة الشائعة
ما هو MEV؟
MEV أو القيمة القابلة للاستخراج من المعدنين، تشير إلى الأرباح التي يمكن تحقيقها من خلال إعادة ترتيب أو إدراج أو استبعاد المعاملات في الكتل التي يتم تعدينها.
كيف يمكن حماية العقود الذكية؟
يمكن حماية العقود الذكية من خلال تدقيقها بانتظام، استخدام تقنيات التحقق الرسمي، وتوظيف مدققي أمان ذوي خبرة.
ما هي الخطوة التالية لمشغلي روبوتات MEV؟
من المحتمل أن يعيد مشغلو روبوتات MEV تقييم استراتيجياتهم الأمنية، وربما زيادة الاستثمار في تدقيق العقود الذكية وتحسين بروتوكولات الأمان.
