مراجعة أحداث الأمان في التمويل اللامركزي: تحليل الحالات الكبرى لعام 2022
شهدت مجال blockchain في عام 2022 أكثر من 300 حادثة أمان، مع قيمة تصل إلى 4.3 مليار دولار. ستقوم هذه المقالة بتحليل 8 حالات نموذجية بالتفصيل، حيث تجاوزت معظم حالات الخسارة 100 مليون دولار.
في 23 مارس 2022، تعرضت سلسلة جانبية Axie Infinity Ronin Network للاختراق، مما أدى إلى سرقة 173,600 ETH و25.5 مليون USD، بقيمة إجمالية تقارب 590 مليون دولار.
تمكن المهاجمون من السيطرة على 5 عقد تحقق في شبكة رونين من خلال وسائل الهندسة الاجتماعية، مما سمح لهم بالتحكم في الشبكة. تُعرف هذه الطريقة الهجومية باسم APT( تهديد مستمر متقدم )، حيث يسيطر القراصنة أولاً على جهاز كمبيوتر داخلي كنقطة انطلاق، ثم يتسللون إلى النظام بأكمله.
كشفت هذه الحادثة عن ضعف الوعي الأمني لدى موظفي شركة Axie Infinity، بالإضافة إلى وجود ثغرات في النظام الأمني الداخلي للشركة.
الثقب الدودي
تمت مهاجمة جسر Wormhole عبر السلسلة، مما أدى إلى خسارة حوالي 120,000 قطعة ETH. تكمن المشكلة في وجود خطأ في كود التحقق من التوقيع لعقد Solana الرئيسي، مما يسمح للمهاجمين بتزوير رسائل "الوكلاء" لصك ETH المغلف بواسطة Wormhole.
تنبع هذه المشكلة أساسًا من استخدام بعض الدوال المهجورة. يُنصح المطورون باستخدام أحدث إصدار من مكتبة الشيفرة لتجنب مشاكل مشابهة.
جسر نوماد
تسبب مشكلة في إعدادات التهيئة لجسر Nomad في تمكين المهاجمين من إنشاء رسائل عشوائية لسرقة الأموال من الجسر، مما أدى إلى خسارة إجمالية تبلغ حوالي 1.9 مليون دولار.
استغل المهاجمون الثغرة لإرسال بيانات معاملات مصممة بشكل متكرر، وسحب الأموال المودعة في جسر السلسلة المتقاطعة. وشارك عدد كبير من روبوتات MEV في هذه "العملية السريعة".
تظهر هذه الحالة أنه بمجرد ظهور ثغرات في المشاريع مفتوحة المصدر، يصبح من السهل جدًا على المهاجمين استغلالها. يحتاج فريق المشروع إلى التعامل مع قضايا أمان الكود بشكل أكثر حذرًا.
Beanstalk
تعرض مشروع العملة المستقرة القائم على الخوارزمية Beanstalk Farms لهجوم قرض فوري، مما أدى إلى خسارة تقدر بحوالي 1.82 مليار دولار.
استغل المهاجمون ثغرة في آلية حوكمة المشروع: لا يوجد فاصل زمني بين اقتراع الاقتراح والتنفيذ. حصل المهاجمون على كمية كبيرة من الرموز من خلال قرض فوري للتصويت لصالح الاقتراح الخبيث، ثم قاموا بتنفيذه على الفور.
هذه الحالة تعكس أن آلية الحوكمة اللامركزية تحتاج إلى المزيد من اعتبارات الأمان، مثل إعداد قفل زمني وما إلى ذلك.
وينترموت
تسبب صانع السوق Wintermute في خسارة حوالي 1.6 مليار دولار بسبب استخدام أداة توليد أرقام مميزة بها ثغرات تُدعى Profanity، مما أدى إلى اختراق مفتاح مالك عقد معين.
هذا يذكرنا أنه يجب إجراء تقييم أمني كامل عند استخدام أي أدوات مفتوحة المصدر.
جسر هارموني
تم استهداف جسر Horizon عبر سلسلة Harmony، مما أدى إلى خسائر تتجاوز 100 مليون دولار. ووفقًا للتقارير، يُعتقد أن ذلك من عمل مجموعة القراصنة الكورية الشمالية Lazarus.
هذا يبرز مرة أخرى مخاطر الأمان لجسور السلاسل المختلفة، وكذلك تهديدات بعض المنظمات الهاكر الوطنية لمشاريع البلوكشين.
عنكر
مشروع Ankr بسبب سوء تصرف بعض الأفراد الداخليين، أدى إلى سك 1 تريليون قطعة من aBNBc بشكل عشوائي، مما تسبب في عواقب وخيمة.
هذا يعكس وجود مشاكل خطيرة في إدارة الأذونات الداخلية للمشروع، وينبغي استخدام طرق أكثر أمانًا مثل المحفظة متعددة التوقيع للعمليات الرئيسية.
مانجو
تعرضت منصة التداول اللامركزية مانغو لهجوم من قبل مضاربين في السوق، مما أدى إلى خسارة تقدر بحوالي 115 مليون دولار.
استغل المهاجمون مشكلة نقص السيولة في العملات الصغيرة على المنصة لتحقيق الأرباح من خلال فتح مراكز شراء وبيع في آن واحد وعمليات رفع الأسعار. وهذا يكشف عن وجود ثغرات في تصميم نموذج الأعمال الخاص بالمشروع.
تذكرنا هذه الحالات أن مشاريع البلوك تشين يجب أن تأخذ في الاعتبار ليس فقط أمان الكود، ولكن أيضًا الثغرات المحتملة في نماذج الأعمال. يجب على المستخدمين أيضًا تقييم المخاطر بشكل شامل عند المشاركة في المشاريع.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تحليل ثمانية أحداث أمان في التمويل اللامركزي في عام 2022: خسائر تصل إلى مئات الملايين من الدولارات
مراجعة أحداث الأمان في التمويل اللامركزي: تحليل الحالات الكبرى لعام 2022
شهدت مجال blockchain في عام 2022 أكثر من 300 حادثة أمان، مع قيمة تصل إلى 4.3 مليار دولار. ستقوم هذه المقالة بتحليل 8 حالات نموذجية بالتفصيل، حيث تجاوزت معظم حالات الخسارة 100 مليون دولار.
! Cobo DeFi Security Class I: مراجعة أحداث أمان DeFi لعام 2022
جسر رونين
في 23 مارس 2022، تعرضت سلسلة جانبية Axie Infinity Ronin Network للاختراق، مما أدى إلى سرقة 173,600 ETH و25.5 مليون USD، بقيمة إجمالية تقارب 590 مليون دولار.
تمكن المهاجمون من السيطرة على 5 عقد تحقق في شبكة رونين من خلال وسائل الهندسة الاجتماعية، مما سمح لهم بالتحكم في الشبكة. تُعرف هذه الطريقة الهجومية باسم APT( تهديد مستمر متقدم )، حيث يسيطر القراصنة أولاً على جهاز كمبيوتر داخلي كنقطة انطلاق، ثم يتسللون إلى النظام بأكمله.
كشفت هذه الحادثة عن ضعف الوعي الأمني لدى موظفي شركة Axie Infinity، بالإضافة إلى وجود ثغرات في النظام الأمني الداخلي للشركة.
الثقب الدودي
تمت مهاجمة جسر Wormhole عبر السلسلة، مما أدى إلى خسارة حوالي 120,000 قطعة ETH. تكمن المشكلة في وجود خطأ في كود التحقق من التوقيع لعقد Solana الرئيسي، مما يسمح للمهاجمين بتزوير رسائل "الوكلاء" لصك ETH المغلف بواسطة Wormhole.
تنبع هذه المشكلة أساسًا من استخدام بعض الدوال المهجورة. يُنصح المطورون باستخدام أحدث إصدار من مكتبة الشيفرة لتجنب مشاكل مشابهة.
جسر نوماد
تسبب مشكلة في إعدادات التهيئة لجسر Nomad في تمكين المهاجمين من إنشاء رسائل عشوائية لسرقة الأموال من الجسر، مما أدى إلى خسارة إجمالية تبلغ حوالي 1.9 مليون دولار.
استغل المهاجمون الثغرة لإرسال بيانات معاملات مصممة بشكل متكرر، وسحب الأموال المودعة في جسر السلسلة المتقاطعة. وشارك عدد كبير من روبوتات MEV في هذه "العملية السريعة".
تظهر هذه الحالة أنه بمجرد ظهور ثغرات في المشاريع مفتوحة المصدر، يصبح من السهل جدًا على المهاجمين استغلالها. يحتاج فريق المشروع إلى التعامل مع قضايا أمان الكود بشكل أكثر حذرًا.
Beanstalk
تعرض مشروع العملة المستقرة القائم على الخوارزمية Beanstalk Farms لهجوم قرض فوري، مما أدى إلى خسارة تقدر بحوالي 1.82 مليار دولار.
استغل المهاجمون ثغرة في آلية حوكمة المشروع: لا يوجد فاصل زمني بين اقتراع الاقتراح والتنفيذ. حصل المهاجمون على كمية كبيرة من الرموز من خلال قرض فوري للتصويت لصالح الاقتراح الخبيث، ثم قاموا بتنفيذه على الفور.
هذه الحالة تعكس أن آلية الحوكمة اللامركزية تحتاج إلى المزيد من اعتبارات الأمان، مثل إعداد قفل زمني وما إلى ذلك.
وينترموت
تسبب صانع السوق Wintermute في خسارة حوالي 1.6 مليار دولار بسبب استخدام أداة توليد أرقام مميزة بها ثغرات تُدعى Profanity، مما أدى إلى اختراق مفتاح مالك عقد معين.
هذا يذكرنا أنه يجب إجراء تقييم أمني كامل عند استخدام أي أدوات مفتوحة المصدر.
جسر هارموني
تم استهداف جسر Horizon عبر سلسلة Harmony، مما أدى إلى خسائر تتجاوز 100 مليون دولار. ووفقًا للتقارير، يُعتقد أن ذلك من عمل مجموعة القراصنة الكورية الشمالية Lazarus.
هذا يبرز مرة أخرى مخاطر الأمان لجسور السلاسل المختلفة، وكذلك تهديدات بعض المنظمات الهاكر الوطنية لمشاريع البلوكشين.
عنكر
مشروع Ankr بسبب سوء تصرف بعض الأفراد الداخليين، أدى إلى سك 1 تريليون قطعة من aBNBc بشكل عشوائي، مما تسبب في عواقب وخيمة.
هذا يعكس وجود مشاكل خطيرة في إدارة الأذونات الداخلية للمشروع، وينبغي استخدام طرق أكثر أمانًا مثل المحفظة متعددة التوقيع للعمليات الرئيسية.
مانجو
تعرضت منصة التداول اللامركزية مانغو لهجوم من قبل مضاربين في السوق، مما أدى إلى خسارة تقدر بحوالي 115 مليون دولار.
استغل المهاجمون مشكلة نقص السيولة في العملات الصغيرة على المنصة لتحقيق الأرباح من خلال فتح مراكز شراء وبيع في آن واحد وعمليات رفع الأسعار. وهذا يكشف عن وجود ثغرات في تصميم نموذج الأعمال الخاص بالمشروع.
تذكرنا هذه الحالات أن مشاريع البلوك تشين يجب أن تأخذ في الاعتبار ليس فقط أمان الكود، ولكن أيضًا الثغرات المحتملة في نماذج الأعمال. يجب على المستخدمين أيضًا تقييم المخاطر بشكل شامل عند المشاركة في المشاريع.
! Cobo DeFi Security Class I: مراجعة أحداث أمان DeFi لعام 2022