تحليل حادثة توقيع "الأخطاء" في سعة MegaETH

المؤلف: MR.JC كتلة الدكتور؛ المصدر: X، @blockphd7

عند البقاء في هذه الصناعة لفترة طويلة، ستكتشف ظاهرة مثيرة للاهتمام: كلما كان المشروع من فئة المليارات وتحمل هالة من النجاح، كلما كان من الأسهل أن يفشل في أبسط الأمور.

بالأمس، قدمت MegaETH، التي كانت محط أنظار الجميع، عرضًا عبثيًا تحت مراقبة الإنترنت. كان من المقرر أن تكون حملة توسيع الودائع المسبقة لـ USDC متقنة، ولكن بسبب خطأ تقني، تم “انتزاع” الحصة مسبقًا، مما أدى إلى ارتفاع الحد الأقصى من 250 مليون بشكل غير متوقع، مما اضطرهم في النهاية إلى اتخاذ قرار طارئ.

الكثير من الناس يعتبرونها كأنه بطيخ يأكلون، لكن ما أراه هو عرض حي لقانون الغابة المظلمة في Web3. لشرح الأمور بوضوح، قمت بمراجعة المنطق التقني في القضية بأكملها، وأعددت خريطة ذهنية (انظر الرسم في نهاية المقال).

1. الخطأ الأساسي: اعتبر الكتلة بمثابة خادم مركزي

فريق MegaETH ارتكب خطأ هذه المرة، وبعبارة بسيطة: “لقد وقعوا الشيك وتركوه على مقعد في الحديقة، واعتقدوا بسذاجة أنه طالما لم يذهبوا إلى البنك، فلن يتحرك المال.”

في خطتهم الأصلية، كانت عملية التوسع مقسمة إلى ثلاث خطوات:

1. توقيع المحفظة متعددة التوقيعات مسبقًا (التوقيع).
2. انتظر حتى الوقت المحدد (16:00 UTC).
3. اضغط على إرسال (بث).

هذا لا مشكلة فيه في منطق خادم Web2 ، الصلاحيات بيدي ، إذا لم أضغط على إرسال ، فلن يتم تنفيذ الطلب. لكن في منطق Web3 الأساسي ، هذا أمر مختلف تمامًا.

2. تحليل تقني: التوقيع لا يساوي الإرسال، ولكن التوقيع هو التزام

لقد قمت بتفصيل الفرق بين “التوقيع (Signing)” و"البث (Broadcasting)" في الرسم البياني، وهذا هو الفجوة الإدراكية التي يسهل على العديد من المطورين الذين انتقلوا حديثًا من الإنترنت التقليدي تجاهلها.

التوقيع (الختم): هو أنك تستخدم المفتاح الخاص لتشفير الموافقة على بيانات المعاملة. هذا مثل وضع ختم على شيك. بمجرد الانتهاء، فإن هذه السلسلة من البيانات تكتسب القوة القانونية على مستوى الكود.

البث (الإرسال): هو إرسال البيانات إلى عقد التعدين. يشبه ذلك رمي رسالة في صندوق البريد.

النقطة الأساسية قد وصلت: شبكة الكتلة (البريد) فقط تعترف بما إذا كانت الختم حقيقيًا أم لا، ولا تهتم على الإطلاق بمن ألقى الرسالة.

خطأ MegaETH هو أنهم أنهوا التوقيع مسبقًا، ودون معرفة كيف (ربما من خلال تسريب API أو تزامن شبكة الاختبار) تم الكشف عن “بيانات المعاملات الأصلية الموقعة” هذه على الشبكة العامة. لذلك، مثل @chud_eth، وهو من أفضل Degen ذو حاسة سريعة، حصل على هذه “الشيك”. نظر إلى الأمر: “أوه، هل اجتمعت التوقيعات؟ بما أنكم لم ترسلوا، سأساعدكم في الضغط على زر الإرسال.”

النتيجة هي: دون الحاجة إلى إجراء رسمي، قام الشخص العابر بتنفيذ تفاعل العقد مباشرةً بالنيابة عن الطرف المعني بالمشروع.

3. الإلهامات الكلية: المخاوف الأمنية التشغيلية المخفية تحت التقييمات المرتفعة

ماذا تعني هذه المسألة لـ MegaETH؟

بالنسبة للصغار، كانت حادثة تشغيلية، فقد فقدنا بعض المصداقية، واضطررنا لتعديل Cap بشكل عاجل لمواجهة تدفق الأموال المفاجئ. وبالنسبة للكبار، فقد كشفت عن ضعف الفريق في أمان العمليات.

السرد حول MegaETH ضخم للغاية: كتلة حية، تأخير أقل من 10 مللي ثانية، 100,000 TPS. لديهم خلفية أكاديمية من الطراز الأول وتأييد من فيتاليك بوتيرين. لكن التحصيل الأكاديمي لا يساوي القدرة العملية في الهندسة. البيانات التي يتم تشغيلها في المختبر، والعمليات في “غابة مظلمة” مليئة بروبوتات MEV والقرصان والمتحايلين، هما بعدان مختلفان تمامًا.

لقد كان من المحظوظ أن يتم الاستيلاء عليه بواسطة @chud_eth هذه المرة. لأنه قام فقط بتنفيذ العملية مسبقًا من قبل الرسمي، وليس استغلال ثغرة لسرقة الأموال. ماذا لو حدث هذا في منطق ترتيب النواة Sequencer؟

بالنسبة لنا كمستثمرين، هذه ليست مجرد ثمرة، بل هي إشارة. إنها تذكرنا أنه أثناء سعيينا وراء FDV العالية والسرد التكنولوجي العالي، يجب أن نكون دائمًا حذرين من قدرة الفريق على تنفيذ المشروع.

كود هو القانون هذه الجملة ليست فقط إيمانًا، في بعض الأحيان هي أيضًا حكم قاسٍ. إنه لن يهتم بـ “نواياك” أو متى بدأت، إنه فقط ينفذ الأوامر التي يراها.

هذه “الرسوم الدراسية” ، MegaETH ليست باهظة. آمل أن يساعد ذلك هذه السلسلة العامة عالية الأداء التي تحمل آمال القرية بأكملها على تعلم احترام السوق واحترام المعرفة الأساسية قبل الإطلاق الرسمي للشبكة الرئيسية.

الرسوم التوضيحية: مخطط تحليل حادثة توقيع MegaETH ومبادئ معاملات الكتلة في سلسلة الكتل

! 8DUw0T4cnqFesrHNIwPRZQzle9arDSGalX5xp73X.jpeg

النقاط الأساسية في الإعلان الرسمي الأخير هي كما يلي：

نية حسنة تؤدي إلى نتائج سيئة: قامت السلطات لضمان زيادة الحد الائتماني في 26 نوفمبر الساعة 00:00 (إلى 1 مليار دولار) بتوقيع بيانات الصفقة مسبقًا.

خطأ فادح: تجاهل المعرفة الأساسية “يمكن لأي شخص إرسال المعاملات الموقعة”، مما أدى إلى تسرب بيانات التوقيع / المراقبة.

التسلل السلبي: اللاعب على السلسلة @chud_eth حصل على البيانات، وقام ببثها مسبقًا نيابة عن الرسمي، مما أدى إلى تنفيذ عملية زيادة المبلغ قبل الوقت المحدد.

الموقف النهائي: تم الاستيلاء على الحصة مسبقًا، مما اضطر الحكومة إلى إصدار بيان للاعتراف بهذا الحادث “الانقلاب التقني”.

ملخص في جملة واحدة: أراد الرسميون “تحديد” العملية، لكنهم تركوا “بندقية الإطلاق” على خط البداية، والتقطها المارة وانطلقت مبكراً. زيادة الحصة جعلت المشاريع تتعرق، ولم يرغبوا في إرهاق أنفسهم، لذا لم يرفعوا الحصة.