اختراق بقيمة 9 ملايين دولار لمنصة بونزو ليند يكشف أن مخاطر التمويل اللامركزي لم تعد تقتصر على العقود الذكية
تعيش منصات التمويل اللامركزي حاليا مرحلة جديدة من التحديات الأمنية بعدما كشفت حادثة اختراق منصة بونزو ليند عن خسائر وصلت إلى نحو 9.05 ملايين دولار وذلك إثر استغلال خلل في نظام التحقق المرتبط بمزود بيانات الأسعار سوبرا وهو ما سمح للمهاجم بالتلاعب بقيمة أحد الأصول الرقمية والحصول على قروض تتجاوز قيمتها الحقيقية بفارق كبير.
ويعد التمويل اللامركزي (DeFi) من أكثر القطاعات نموا في عالم الأصول الرقمية إذ يوفر خدمات الإقراض والاستثمار دون الحاجة إلى وسطاء تقليديين مع اعتماد كامل تقريبا على العقود الذكية لإدارة العمليات المالية . وخلال السنوات الماضية كان الاهتمام الأكبر ينصب على اكتشاف الثغرات داخل هذه العقود لكن المشهد بدأ يتغير تدريجيا بعدما أصبحت الهجمات تستهدف أجزاء أخرى لا تقل أهمية مثل أنظمة تغذية الأسعار التي تعتمد عليها المنصات لتقييم الضمانات وتحديد حدود الاقتراض.
وفي حادثة بونزو ليند التي تعمل على شبكة هيديرا لم يكن الخلل في العقد الذكي المسؤول عن عمليات الإقراض نفسها وإنما في آلية التحقق من تحديثات الأسعار القادمة من مزود البيانات. هذا الخلل أدى إلى قبول تحديث سعري غير صحيح ومن هنا تمكن المهاجم من استغلال النظام وتحويل مشكلة تقنية محدودة إلى خسارة مالية كبيرة .
وبحسب المعلومات المتاحة استخدم المهاجم أصلا رقميا يعرف باسم «SAUCE» كضمان داخل المنصة وبعد التلاعب بالسعر الذي وصل إلى النظام نتيجة خلل في التحقق ظهرت قيمة الأصل أعلى بكثير من قيمته السوقية الحقيقية الأمر الذي سمح له باقتراض أصول أخرى مرتفعة القيمة مقابل ضمان لا يعكس قيمته الفعلية . وهنا تظهر أهمية نظام الأوراكل وهو التقنية التي تربط العقود الذكية بالبيانات الخارجية مثل أسعار العملات الرقمية والأصول المختلفة إذ تعتمد عليه منصات الإقراض لحساب قيمة الضمانات وتحديد الحد الأقصى الذي يمكن للمستخدم اقتراضه. وإذا تعرضت هذه البيانات للتلاعب فإن العقود الذكية ستنفذ التعليمات اعتمادا على معلومات غير صحيحة حتى لو كانت برمجتها سليمة تماما.
ومع هذه الحادثة أصبح واضحا أن أمن منصات التمويل اللامركزي لم يعد مرتبطا بالعقود الذكية وحدها بل يمتد أيضا إلى موثوقية البيانات الخارجية والبنية التقنية التي تعتمد عليها المنصة بالكامل.