شباریوم پس از هک ۴ میلیون دلاری راهاندازی مجدد شد و متعهد به بازپرداخت کاربران شد – این برنامه چیست

شباریوم پس از رخنه امنیتی ۲.۴ میلیون دلاری فعالیت خود را از سر گرفت

شباریوم (Shibarium)، بلاک چین لایه دومی که به شیبا اینو (Shiba Inu) متصل است، پس از یک رخنه امنیتی چند میلیون دلاری که توسعه‌دهندگان را مجبور به توقف فعالیت و آغاز یک پاسخ اضطراری ۱۰ روزه کرد، عملیات خود را از سر گرفته است.

جزئیات حمله به پل اتریوم

این حمله به پل شبکه به اتریوم (Ethereum bridge) هدف قرار گرفت و کنترل اعتبارسنج‌ها را در معرض خطر قرار داد و میلیون‌ها دلار دارایی را تخلیه کرد قبل از اینکه توسعه‌دهندگان کنترل را دوباره به دست آورند.

این رخنه زمانی اتفاق افتاد که یک عامل مخرب ۴.۶ میلیون توکن BONE (استخوان) – توکن حاکمیتی شباریوم – از طریق یک وام فلش (flash loan) قرض گرفت. با افزایش موقت سهم خود، مهاجم توانست ۱۰ کلید از ۱۲ کلید اعتبارسنجی را کنترل کند و از آستانه اجماع دو سوم مورد نیاز برای ارسال چک‌پوینت‌های تقلبی به هایمدال (Heimdall) – لایه اجماع شباریوم – فراتر رود.

میزان خسارت و اقدامات فوری

با این اهرم، مهاجم تقریباً ۲۲۴.۵۷ اتریوم (ETH) و ۹۲.۶ میلیارد توکن شیب (SHIB) را از قرارداد پل تخلیه کرد که در آن زمان ارزشی حدود ۲.۴ میلیون دلار داشت. علاوه بر این، ۷۰۰,۰۰۰ دلار توکن KNINE از پروژه کی‌ناین فایننس (K9 Finance) نیز تحت تأثیر قرار گرفت. سازمان خودگردان غیرمتمرکز (DAO) کی‌ناین فایننس با سیاه‌لیست کردن کیف پل مهاجم پاسخ داد و توکن‌های دزدیده شده KNINE را غیرقابل فروش کرد.

توسعه‌دهندگان بلافاصله عملکردهای سهاگذاری (staking) و برداشت از سهاگذاری (unstaking) را در سراسر شبکه مسدود کردند تا از خروج بیشتر دارایی‌ها جلوگیری کنند. از آنجایی که توکن‌های قرض گرفته شده BONE مشمول تأخیر در برداشت بودند، مهاجم از خروج کامل از موقعیت اعتبارسنجی خود منع شد و به تیم اصلی شباریوم فرصت داد تا تهدید را منزوی کند.

واکنش توسعه‌دهندگان و تحقیقات

کال دهایریا (Kaal Dhairya)، توسعه‌دهنده شیبا اینو، این رخنه را “پیچیده” توصیف کرد و گفت که احتمالاً برای ماه‌ها آماده شده بود. او تأیید کرد که با مقامات قانونی تماس گرفته شده و شرکت‌های امنیتی، از جمله هگزنس (Hexens)، سیل ۹۱۱ (Seal 911) و پک‌شیلد (PeckShield)، برای تحقیق وارد شده‌اند.

در طول ۱۰ روز گذشته، تیم شباریوم و شرکای خارجی به طور مداوم برای مهار رخنه و بازیابی شبکه کار کرده‌اند.

اقدامات امنیتی جدید و بازیابی

در یک به‌روزرسانی مفصل، توسعه‌دهندگان اعلام کردند که مالکیت بیش از ۱۰۰ قرارداد کلیدی در سراسر شباریوم، شیبا سواپ (ShibaSwap) و پروژه‌های مرتبط، به یک سیستم نگهداری امن با سخت‌افزار و کنترل‌های چند-طرفه منتقل شده است.

همه کلیدهای امضاکننده اعتبارسنج‌ها تعویض شد تا دسترسی ناشی از وضعیت به خطر افتاده قطع شود، در حالی که مکانیسم‌های جدید سیاه‌لیست به جریان‌های سهاگذاری اضافه شد. این اقدامات به توسعه‌دهندگان اجازه می‌دهد تا هر آدرسی که مخرب شناسایی شود را از سهاگذاری، برداشت از سهاگذاری یا دریافت پاداش مسدود کنند.

یک گام کلیدی در بازیابی، خنثی کردن تفویض اختیار ۴.۶ میلیون توکن BONE مرتبط با مهاجم بود. توسعه‌دهندگان یک ارتقاء قرارداد برای نجات توکن‌ها معرفی کردند، داده‌های سهاگذاری قدیمی را پاکسازی کردند و تفویض اختیار مخرب را از دفترکل حذف کردند. این اصلاح ابتدا روی شبکه توسعه (Devnet) و پاپی‌نت (Puppynet) شباریوم آزمایش شد قبل از اینکه در شبکه اصلی اعمال شود و هگزنس این فرآیند را بررسی کرد.

برای کاهش بیشتر خطر، تأخیر برداشت برای سهاگذاری از یک چک‌پوینت به حدود ۳۰ چک‌پوینت افزایش یافت که به توسعه‌دهندگان زمان بیشتری برای شناسایی ناهنجاری‌ها قبل از جابه‌جایی وجوه می‌دهد.

اختلال در فرآیند ثبت چک‌پوینت و رفع آن

این رخنه فرآیند ثبت چک‌پوینت شباریوم را نیز مختل کرد. با تزریق سه چک‌پوینت جعلی به قرارداد مدیر زنجیره اصلی (Root Chain Manager) روی اتریوم، مهاجم باعث توقف هایمدال شد و از ثبت چک‌پوینت‌های معتبر جلوگیری کرد.

توسعه‌دهندگان با تنظیم اشاره‌گر روی زنجیره به آخرین چک‌پوینت معتبر، با استفاده از یک تابع داخلی نگهداری، مشکل را اصلاح کردند. پس از یک اعتبارسنجی سه مرحله‌ای در شبکه‌های آزمایش و شبکه اصلی، فرآیند ثبت چک‌پوینت به حالت عادی بازگشت.

تصمیم برای عدم پیشنهاد جایزه و اولویت‌های آینده

تصمیم برای عدم ارائه یک قرارداد جایزه (bounty contract) به مهاجم نیز توضیح داده شد. توسعه‌دهندگان گفتند که هیچ پاسخی به تماس اولیه داده نشد و شواهد روی زنجیره نشان می‌داد که مهاجم در حال انتقال وجوه دزدیده شده است.

آنها استدلال کردند که استقرار یک قرارداد جایزه، پیچیدگی غیرضروری را بدون هیچ سودی اضافه می‌کرد، بنابراین آنها تمرکز خود را بر امن کردن پروتکل و بازیابی یکپارچگی آن حفظ کردند.

در展望 آینده، توسعه‌دهندگان شباریوم چندین اولویت کوتاه‌مدت را outlined کردند. کار برای افزودن کنترل‌های سیاه‌لیست به پل پلاسما (Plasma Bridge) – که پس از هک متوقف شد – در دست انجام است. این تیم همچنین قصد دارد پل را با محافظت‌های مرحله‌ای دوباره راه‌اندازی کند و گفت که یک مکانیسم برای جبران خسارت کاربران affected معرفی خواهد شد زمانی که بتوان آن را به صورت امن انجام داد. جزئیات طرح بازپرداخت در تاریخ دیگری منتشر خواهد شد.

بهبودهای فنی و تأثیر بر قیمت توکن‌ها

بهبودهای فنی نیز در حال اجرا هستند. شباریوم با dRPC.org شراکت کرده تا دسترسی به زیرساخت را گسترش دهد و نقطه دسترسی رسمی RPC خود را در rpc.shibarium.shib.io consolid کرده است.

همچنین، مستندات برای اپراتورهای نود (node operators) در حال بازنگری اساسی است تا راه‌اندازی را ساده‌تر کند، در حالی که نظارت‌ها و راهنماهای عملیاتی جدیدی برای شناسایی عدم تطابق چک‌پوینت‌ها و چرخش کلیدها به طور مؤثرتر توسعه یافته است.

این حادثه