- الموضوع
81k درجة الشعبية
36k درجة الشعبية
12k درجة الشعبية
4k درجة الشعبية
4k درجة الشعبية
29k درجة الشعبية
16k درجة الشعبية
22k درجة الشعبية
13k درجة الشعبية
3k درجة الشعبية
- تثبيت
81k درجة الشعبية
36k درجة الشعبية
12k درجة الشعبية
4k درجة الشعبية
4k درجة الشعبية
29k درجة الشعبية
16k درجة الشعبية
22k درجة الشعبية
13k درجة الشعبية
3k درجة الشعبية
2022年 التمويل اللامركزي ثمانية أحداث أمنية مراجعة: خسائر تتجاوز 43 مليار دولار الجسور عبر السلسلة أصبحت منطقة كوارث رئيسية
مراجعة وتحليل الأحداث الأمنية الكبرى في مجال التمويل اللامركزي في عام 2022
تكررت حوادث أمان blockchain في عام 2022، ووفقًا للإحصاءات، حدثت أكثر من 300 حادثة على مدار العام، مع وصول المبالغ المعنية إلى 4.3 مليار دولار أمريكي. ستقوم هذه المقالة بتحليل 8 حالات نموذجية، حيث تجاوزت معظم هذه الحالات خسائرها 100 مليون دولار، مما يجعلها تمثل بشكل كبير.
! Cobo DeFi Security Class I: مراجعة أحداث أمان DeFi لعام 2022
جسر رونين
في مارس 2022، تم اختراق شبكة Ronin الجانبية للعبة NFT Axie Infinity، مما أدى إلى خسارة 173600 ETH و 25.5 مليون دولار، بقيمة إجمالية تقارب 625 مليون دولار. ووفقًا للتحقيقات، كان هناك ارتباط بين مجموعة القراصنة الكورية الشمالية Lazarus وهذا الحدث.
تمكن المهاجمون من اختراق النظام والسيطرة على 5 نقاط تحقق من خلال استخدام أساليب الهندسة الاجتماعية لخداع موظفي شركة Sky Mavis لتحميل إشعار قبول مزيف يحتوي على برامج ضارة، مما أدى إلى إتمام الهجوم.
كشفت هذه الحادثة عن قصور في وعي الموظفين بالأمان ونظام الأمان الداخلي لدى الفريق المشروع. كما أظهرت أن الجماعات الهاكر التقليدية بدأت تدريجياً بتحويل أهدافها نحو مشاريع البلوك تشين.
الثقب الدودي
تم مهاجمة جسر Wormhole عبر السلاسل، مما أدى إلى خسارة حوالي 120,000 ETH. تكمن المشكلة في وجود خطأ في كود التحقق من توقيع العقد الأساسي على جانب Solana، مما يسمح للمهاجمين بتزوير رسالة "الوصي" لصك ETH المغلفة.
تسبب هذا الثغرة بشكل رئيسي في استخدام بعض الدوال المهجورة. يُنصح المطورون دائمًا باستخدام أحدث إصدار من لغات البرمجة والأدوات لتجنب مشاكل مماثلة.
جسر نوماد
تعرض بروتوكول الجسر عبر السلاسل Nomad لهجوم، مما أدى إلى خسائر تزيد عن 1.9 مليون دولار. السبب هو أن الجذر الموثوق به تم تعيينه بشكل خاطئ عند التهيئة، ولم يتم إبطال الجذر القديم، مما سمح للمهاجمين بإنشاء أي رسالة لسحب الأموال.
استغل القراصنة الثغرة لإرسال بيانات المعاملات المكونة بشكل متكرر، مما أدى إلى استنزاف تقريبًا جميع الأموال المقفلة. حقق حوالي 41 عنوانًا ربحًا قدره 152 مليون دولار، بما في ذلك روبوتات MEV، وقراصنة آخرين وبعض القراصنة الأخلاقيين.
تسلط هذه الحالة الضوء على أهمية إعدادات تهيئة العقود الذكية، بالإضافة إلى تعقيد المشاركين من مختلف الأنواع في نظام blockchain العام.
Beanstalk
تعرض مشروع العملة المستقرة القائمة على الخوارزمية Beanstalk Farms لهجوم قرض سريع، مما أسفر عن خسارة حوالي 182 مليون دولار. حقق المهاجمون أرباحًا تتجاوز 80 مليون دولار.
استغل الهجوم ثغرات في آلية حوكمة المشروع - عدم وجود فاصل زمني بين التصويت على الاقتراح وتنفيذه. حصل المهاجم على قدر كبير من حقوق التصويت من خلال القرض الفوري، ومن خلال اقتراحات خبيثة، نفذ مباشرة عمليات التحكيم.
كشفت هذه الحادثة عن المخاطر المحتملة التي قد توجد في آلية الحوكمة اللامركزية البحتة، مثل مراجعة الاقتراحات، أوزان التصويت، وقيود الوقت، والتي تحتاج جميعها إلى تصميم دقيق.
وينترميوت
تسبب صانع السوق Wintermute في خسارة حوالي 160 مليون دولار بسبب استخدامه لأداة توليد عناوين تحتوي على ثغرات تُدعى Profanity، مما أدى إلى اختراق مفتاحه الخاص.
هذه الحالة تحذرنا من ضرورة توخي الحذر عند استخدام أدوات المصدر المفتوح، من الأفضل إجراء تقييم أمني شامل لها. كما تعكس أن السعي وراء عناوين "الأرقام الجميلة" قد يؤدي إلى مخاطر أمنية.
جسر هارموني
تعرض جسر Horizon المتقاطع لـ Harmony لهجوم، مما أسفر عن خسائر تزيد عن 100 مليون دولار. وفقًا للتحليل، يُشتبه في أن مجموعة القراصنة الكورية الشمالية Lazarus Group هي المسؤولة.
تشبه أساليب الهجوم حادثة جسر رونين، مما يبرز مرة أخرى تصاعد التهديدات من قراصنة على مستوى الدول تجاه صناعة العملات الرقمية.
أنكر
واجهت Ankr تصرفات غير قانونية من موظفين داخليين، مما أدى إلى سك 100 تريليون قطعة من aBNBc من العدم. قام المهاجم بتحويل 5 ملايين USDC إلى نقد، بالإضافة إلى أن هناك متداولين استفادوا من ذلك بمبلغ 17 مليون دولار.
كشفت هذه الحادثة عن عيوب خطيرة في إدارة الأذونات وحفظ المفاتيح الخاصة، وأبرزت أهمية تحسين النظام الأمني الداخلي.
مانغو
تعرضت منصة التداول اللامركزية Mango Markets لهجوم من قبل المتلاعبين في السوق، مما أسفر عن خسارة تقدر بحوالي 115 مليون دولار. استغل المهاجمون العقود الأبدية للمنصة وOracle لتحقيق الأرباح من خلال رفع سعر العملة ذات القيمة السوقية الصغيرة MNGO.
تظهر هذه الحالة أن مشاريع التمويل اللامركزي تحتاج إلى مراعاة مجموعة متنوعة من الحالات القصوى عند تصميم نماذج الأعمال، خاصة فيما يتعلق بالتحكم في مخاطر الرموز ذات القيمة السوقية الصغيرة.
بشكل عام، شهد عام 2022 أحداث أمان في التمويل اللامركزي بشكل متكرر، مما كشف عن نقاط ضعف أمنية متعددة في العقود الذكية، وجسور السلاسل، وآليات الحوكمة. يحتاج المشروع إلى تعزيز الوعي بالأمان، وتحسين نظام إدارة المخاطر؛ بينما يجب على المستخدمين المشاركة بحذر وفهم المخاطر بشكل كامل.