تم اختبار أمن Paradex حيث كشف استغلال Mithril Trading Bot عن 57 مفتاح فرعي للمستخدمين

أثارت الأحداث الأخيرة على Paradex أسئلة جديدة حول أمان paradex ومنصات الطرف الثالث للأتمتة ومدى سرعة رد فعل البورصات عند اختراق الأنظمة.

تؤكد Paradex اختراق روبوت Mithril للتداول

أكدت منصة المشتقات Paradex وقوع حادث أمني يتعلق بـ روبوت Mithril للتداول، بعد أن تمكن مهاجم من الوصول إلى الأنظمة الداخلية لـ Mithril وكشف حوالي 57 مفتاحًا فرعيًا للمستخدمين. وفقًا لـ Wu Blockchain، صرحت Paradex أن الاستغلال كان محدودًا في البنية التحتية لـ Mithril ولم يؤثر على البورصة الأساسية.

علاوة على ذلك، شددت Paradex على أن المفاتيح الفرعية المتأثرة كانت تحمل أذونات مقيدة. يمكن لهذه المفاتيح تنفيذ الصفقات نيابة عن المستخدمين لكن لا يمكنها سحب أو نقل الأموال من حسابات المستخدمين. هذا الاختيار في التصميم عزل رأس المال بشكل فعال، على الرغم من أن الوصول إلى التداول الآلي كان معرضًا للخطر لفترة وجيزة.

استجابة لذلك، أوقفت البورصة جميع تحويلات XP وألغت بسرعة كل مفتاح فرعي مرتبط بحسابات التداول المرتبطة بـ Mithril. ومع ذلك، أشارت Paradex إلى أنه من المتوقع استئناف تحويلات XP قريبًا، بمجرد اكتمال الفحوصات الداخلية والتحققات الأمنية.

ما الذي تم اختراقه ومن المتأثرون

أثر الاختراق فقط على المستخدمين الذين ربطوا حسابات Paradex الخاصة بهم بـ روبوتات التداول الخاصة بـ Mithril. لم يتأثر أي عملاء آخرين في Paradex، وأكدت المنصة أن الاختراق لم يمتد إلى أنظمة الحفظ أو المطابقة الرئيسية.

هذه المفاتيح الفرعية، المصممة للاستراتيجيات الآلية، تسمح للروبوتات بوضع وإدارة الصفقات لكنها تفتقر إلى حقوق السحب من محافظ المستخدمين. ومع ذلك، في حين ساعد نموذج الإذن المحدود هذا في احتواء التأثير، إلا أنه كشف مدى حساسية تكوينات واستراتيجيات التداول عند اختراق منصات الطرف الثالث.

شاركت Paradex التحديثات من خلال حساب X الرسمي الخاص بها وحذرت المستخدمين من منح الوصول إلى الخدمات الخارجية. وأكدت الشركة أنها لا تتحكم في كيفية تخزين مقدمي الخدمات الخارجيين أو تشفيرهم أو تأمينهم لـ مفتاح API والمفاتيح الفرعية، مما يترك طبقة إضافية من المخاطر للمتداولين الذين يعتمدون على الأتمتة.

روبوتات الطرف الثالث والمخاطر المتزايدة للأتمتة

يسلط الحادث الضوء على تحديات الحماية الأوسع المتعلقة بـ روبوتات تداول الطرف الثالث في أسواق الكريبتو. عندما يدمج المستخدمون أدوات خارجية، فإنهم يوسعون فعليًا سطح الهجوم إلى ما وراء البورصة الأساسية إلى بنية تحتية لا يرونها أو يتحكمون فيها.

علاوة على ذلك، شددت Paradex على أن مسؤولية فحص هذه الأدوات تقع في النهاية على عاتق المستخدمين النهائيين. يُحث المتداولون على مراجعة وثائق الحماية وممارسات تخزين المفاتيح ونطاقات الأذونات قبل ربط خدمات الأتمتة بحساباتهم، خاصة عند استخدام استراتيجيات المشتقات المعقدة.

بالنسبة للعديد من المستخدمين المتأثرين، جاء الاختراق كمفاجأة على الرغم من النطاق المحدود. ومع ذلك، ساعد الإلغاء السريع للمفاتيح الفرعية المكشوفة وعدم وجود عمليات السحب غير المصرح بها في الحفاظ على الثقة بأن الأرصدة ظلت آمنة، حتى لو تزعزعت الثقة في تكاملات الطرف الثالث.

إجراءات أمان Paradex ورد فعل المجتمع

بعد اكتشاف اختراق Mithril، نفذت Paradex سلسلة من التدابير الأمنية. أولاً، أوقفت تحويلات XP كخطوة احترازية أثناء إجراء عمليات التدقيق الداخلية. ثم ألغت جميع المفاتيح الفرعية المرتبطة بـ Mithril، مما قطع الاتصال المخترق بحسابات المستخدمين.

كما حثت الشركة المتداولين على مراجعة جميع الاتصالات النشطة وإزالة بيانات اعتماد API غير المستخدمة وتقليل الأذونات قدر الإمكان. ومع ذلك، أشاد العديد من أعضاء المجتمع على منصات الطرف الثالث بالتواصل السريع والاستجابة التقنية من Paradex، حتى بينما دعوا إلى إرشادات أكثر صرامة حول تكاملات الطرف الثالث.

جادل بعض المعلقين بأن بنية أمان paradex، لا سيما استخدام المفاتيح الفرعية غير القابلة للسحب، قلل بشكل كبير من الضرر المحتمل الناتج عن الاختراق. لاحظ آخرون أن الحادث هو تذكير بأن الراحة والأتمتة يجب أن تكونا دائمًا متوازنتين مع مراقبة المخاطر في الوقت الفعلي التشغيلية.

استرداد 650,000 دولار بعد انقطاع 19 يناير

يأتي استغلال Mithril ذي الصلة بعد تحدٍ تشغيلي آخر لـ Paradex. في 19 يناير، واجهت المنصة انقطاعًا في الشبكة أدى إلى حدوث شذوذ في الأسعار، بما في ذلك عرض موجز لـ بيتكوين (BTC) بسعر 0 دولار على الواجهة.

أدى هذا الخلل إلى موجة من التصفيات غير الصحيحة عبر مراكز المشتقات. بعد مراجعة التأثير، أجرت Paradex تحليلاً تفصيليًا للحسابات المتأثرة وقررت تعويض المستخدمين الذين تمت تصفيتهم بشكل خاطئ أثناء الاضطراب.

أصدرت البورصة في النهاية حوالي 650,000 دولار كاسترداد لحوالي 200 مستخدم. علاوة على ذلك، أفادت Paradex أن عملية المراجعة هذه قد اكتملت الآن وأن جميع الحسابات المتأثرة قد تلقت التعويض المناسب، بعد استرجاع سابق للبلوكشين تم إجراؤه لتصحيح الشذوذ.

الثقة والشفافية والدروس المستفادة لمتداولي DeFi

معًا، يسلط التعرض للمفتاح الفرعي وانقطاع يناير الضوء على كيفية اختبار أماكن تداول الكريبتو سريعة النمو في ظروف السوق الحقيقية. ومع ذلك، فإنها تُظهر أيضًا سبب أهمية الإفصاح العام والإبلاغ التفصيلي عن الحوادث للحفاظ على ثقة المستخدمين.

قدمت Paradex تحديثات على غرار تشريح الجثث، وأوضحت ما تم اختراقه، وحددت كيف خففت من الاختراق المتعلق بالروبوت وأخطاء التصفية. بالنسبة للمتداولين، الدرس الرئيسي واضح: يمكن للروبوتات الآلية تضخيم الأرباح، لكنها تقدم أيضًا طبقات جديدة من مخاطر الطرف المقابل والبنية التحتية.

في بيئة حيث غالبًا ما يكون للأداء والراحة الأولوية، تعزز هذه الأحداث أن ممارسات الحماية القوية والتواصل الشفاف والاستخدام الحذر للأدوات الخارجية تظل ضرورية. في النهاية، يُذكَّر المستخدمون بأن الثقة في المنصات وخدمات الطرف الثالث يجب أن تُكتسب باستمرار، وليس افتراضها.

باختصار، تُظهر حوادث Paradex و Mithril أنه بينما ظلت أموال المستخدمين محمية بواسطة المفاتيح الفرعية ذات الأذونات المحدودة والاستردادات اللاحقة، فإن كلاً من بنية الحماية وسرعة التواصل أصبحا الآن محورًا للميزة التنافسية في تداول الكريبتو.