- الموضوع
87k درجة الشعبية
40k درجة الشعبية
14k درجة الشعبية
4k درجة الشعبية
5k درجة الشعبية
29k درجة الشعبية
16k درجة الشعبية
22k درجة الشعبية
13k درجة الشعبية
3k درجة الشعبية
- تثبيت
87k درجة الشعبية
40k درجة الشعبية
14k درجة الشعبية
4k درجة الشعبية
5k درجة الشعبية
29k درجة الشعبية
16k درجة الشعبية
22k درجة الشعبية
13k درجة الشعبية
3k درجة الشعبية
مراجعة لأهم عشرة أحداث أمنية في Web3 لعام 2024: خسائر تصل إلى 24.91 مليار دولار
مراجعة أحداث أمان Web3 لعام 2024: تحليل لأهم عشرة حالات هجوم
في عام 2024، يواجه قطاع blockchain، إلى جانب الابتكارات التقنية وتوسيع النظام البيئي، تحديات أمنية متزايدة الصعوبة. وفقًا للإحصاءات، حتى نهاية العام، بلغت الخسائر الإجمالية في مجال Web3 بسبب هجمات القراصنة، والاحتيال عبر التصيد، وهروب الجهات المروجة نحو 24.91 مليار دولار أمريكي. لم تكشف هذه الأحداث فقط عن العيوب الفنية في إدارة المفاتيح الخاصة، والعقود الذكية، بل أبرزت أيضًا المخاطر المحتملة للهندسة الاجتماعية والإدارة الداخلية. ستستعرض هذه المقالة أبرز عشرة أحداث أمنية في Web3 لعام 2024، لتكون بمثابة دروس يستفيد منها القطاع، لمواجهة التهديدات الأمنية المستقبلية بشكل أفضل.
1. DMM بيتكوين
مبلغ الخسارة: 304 مليون دولار أمريكي أسلوب الهجوم: تسرب المفتاح الخاص
في 31 مايو 2024، تعرضت منصة DMM Bitcoin اليابانية الشهيرة لتداول العملات المشفرة لعملية هجوم كبيرة. استغل القراصنة مفتاحًا خاصًا مُسربًا لنقل أكثر من 300 مليون دولار من البيتكوين مباشرة، وقاموا بسرعة بتوزيع الأموال المسروقة على أكثر من عشرة عناوين مختلفة. كشفت هذه الحادثة عن ثغرات خطيرة في إدارة المفاتيح الخاصة والتدابير الأمنية المتعددة للمنصة. على الرغم من أن المنصة اتخذت تدابير مثل المراقبة على السلسلة وتجميد الأموال، إلا أن جهود التتبع واجهت تحديات كبيرة بسبب استخدام القراصنة لأدوات خلط العملات.
في نهاية العام، أكدت الشرطة اليابانية أن هذه الحادثة نفذتها مجموعة المتسللين الكورية الشمالية Lazarus.
2. بلاي داب
مبلغ الخسارة: 2.90 مليار دولار أمريكي أسلوب الهجوم: تسريب المفتاح الخاص
في 9 فبراير 2024، تعرضت PlayDapp لهجوم خطير. قام القراصنة من خلال سرقة المفاتيح الخاصة بصك 2 مليار توكن PLA، بقيمة أولية قدرها 36.5 مليون دولار. بسبب فشل المفاوضات بين المشروع والقراصنة، قام القراصنة في فترة قصيرة من الزمن بصك 15.9 مليار توكن PLA، بقيمة 253.9 مليون دولار. بعد دخول جزء من التوكنات إلى البورصات، اضطرت PlayDapp إلى تعليق عقد PLA والانتقال إلى عقد توكن جديد. تسلط هذه الحادثة الضوء على أوجه القصور في حماية المفتاح الخاص والتعامل مع الطوارئ في مشاريع البلوك تشين.
3. بورصة العملات المشفرة الهندية
مبلغ الخسارة: 2.35 مليار دولار أمريكي طرق الهجوم: الهجوم السيبراني والتصيد
في 18 يوليو 2024، تعرضت محفظة Safe Wallet متعددة التوقيع لأكبر بورصة للعملات المشفرة في الهند لهجوم دقيق. قام المهاجمون باستخدام طرق الهندسة الاجتماعية لخداع الموقّعين على المحفظة لتوقيع صفقة ترقية للعقد، ثم استغلوا صلاحيات العقد المحدث لنقل الأصول من المحفظة. تكشف هذه القضية عن المخاطر المحتملة لمحافظ متعددة التوقيع في إدارة إعدادات الصلاحيات وشفافية العمليات، مما أثار تفكيراً عميقاً داخل الصناعة حول آليات التحكم الداخلي والأمان في المشاريع.
4. ألعاب جالا
مبلغ الخسارة: 216 مليون دولار أمريكي أسلوب الهجوم: ثغرة في التحكم بالوصول
في 20 مايو 2024، تم اختراق عنوان مميز لـ Gala Games من قبل قراصنة. قام المهاجمون باستدعاء دالة mint في عقد الرمز المميز، وصنعوا مرة واحدة 5 مليارات من رموز GALA. بعد ذلك، قام القراصنة بتبادل الرموز المصدرة على دفعات مقابل ETH، مما تسبب مباشرة في خسارة قدرها 216 مليون دولار. قام فريق Gala Games بتفعيل وظيفة القائمة السوداء بشكل عاجل لحظر بعض حسابات القراصنة، واستعادوا جزءًا من الخسائر من خلال القنوات القانونية.
5. محفظة المؤسس المشارك لشركة Ripple
مبلغ الخسارة: 1.12 مليار دولار أمريكي أسلوب الهجوم: تسرب المفتاح الخاص
في 31 يناير 2024، تم اختراق أربعة محافظ شخصية لمؤسس Ripple المشارك كريس لارسن من قبل هاكر، مما أدى إلى سرقة 112 مليون دولار من XRP. ويبدو أن هذه المحافظ أصبحت هدفًا للهجوم بسبب نقص حماية الأجهزة المزدوجة. بعد الحادث، تمكنت منصة تداول معينة من تجميد 4.2 مليون دولار من XRP وساعدت في تتبع الأصول المسروقة، ولكن تم غسل معظم الأموال من خلال بورصات لامركزية وخدمات خلط.
6. مَنكَهات
مبلغ الخسارة: 6250 مليون دولار أمريكي أسلوب الهجوم: هجوم الهندسة الاجتماعية
في 26 مارس 2024، تعرضت منصة الألعاب Web3 القائمة على Blast، Munchables، لهجوم نادر من اختراق داخلي. انتحل المهاجمون صفة مطوري بلوكتشين، واستطاعوا من خلال التوغل لفترة طويلة الوصول إلى الشفرة الأساسية والمفاتيح الحساسة. رغم الأضرار الجسيمة التي لحقت، إلا أنه تحت ضغط المجتمع والفريق، أعاد القراصنة في النهاية جميع الأموال المسروقة. تكشف هذه الحادثة عن أهمية أمان سلسلة التوريد، خاصة بالنسبة لمشاريع البلوكتشين التي تعتمد على تطوير الطرف الثالث.
7. بورصة العملات المشفرة التركية
مبلغ الخسارة: 5500 مليون دولار أمريكي أسلوب الهجوم: تسرب المفتاح الخاص
في 22 يونيو 2024، تعرضت أكبر بورصة للعملات المشفرة في تركيا لهجوم تسرب المفاتيح الخاصة، مما أدى إلى خسارة تزيد عن 55 مليون دولار من الأصول المشفرة. بمساعدة منصة تداول معينة، تم تجميد 5.3 مليون دولار من الأموال المسروقة بنجاح، ولكن لم يتم استرداد الأصول الأخرى بعد. وقد عززت هذه الحادثة مخاوف السوق بشأن إدارة المفاتيح الخاصة في البورصات المركزية.
8. رأس المال المتألق
مبلغ الخسارة: 53 مليون دولار أمريكي طريقة الهجوم: تسرب المفتاح الخاص
في 17 أكتوبر 2024، تم اختراق محفظة متعددة التوقيع لشركة Radiant Capital من قبل هاكر. نظرًا لاستخدام نموذج التحقق من التوقيع 3/11 ذو العتبة المنخفضة، قام الهاكر بالسيطرة على مفاتيح خاصة لثلاثة موقّعين وقدم توقيعًا خارج السلسلة، مما أدى إلى نقل ملكية عقد المحفظة إلى عنوان ضار، مما أسفر في النهاية عن سرقة 53 مليون دولار. أثار هذا الهجوم تأملات في الصناعة حول تصميم محفظة متعددة التوقيع وآلية الحكم.
من الجدير بالذكر أن Radiant Capital قد خسرت سابقًا 4.5 مليون دولار بسبب ثغرة في العقد، وتم سرقة أكثر من 1900 قطعة ETH، مما يبرز مشكلة عدم اهتمام المشروع بموضوع الأمان.
9. هيدجي فاينانس
مبلغ الخسارة: 4470 مليون دولار أمريكي أسلوب الهجوم: ثغرات العقد
في 19 أبريل 2024، تعرضت Hedgey Finance لهجوم على عدة عقود على السلسلة. استغل القراصنة ثغرة في إذن عقد ClaimCampaigns، ونجحوا في استخراج الرموز من سلسلتي Ethereum وArbitrum، ليصل إجمالي الخسائر إلى 44.7 مليون دولار. تُظهر هذه الحادثة أهمية تدقيق الشفرات، خاصةً التحقق الصارم من منطق إذن الرموز.
10. منصة تداول العملات الرقمية معينة
مبلغ الخسارة: 44.7 مليون دولار أمريكي أسلوب الهجوم: تسرب المفتاح الخاص
في 19 سبتمبر 2024، تم اختراق المحفظة الساخنة لمنصة تداول معينة من قبل قراصنة، مما شمل العديد من سلاسل الكتل العامة مثل Ethereum و BNB Chain و Tron. على الرغم من أن البورصة قامت بسرعة بتفعيل آلية نقل الأصول وتجميد السحب، إلا أن القراصنة تمكنوا من استخراج أصول بقيمة 44.7 مليون دولار. تعكس هذه الهجمة المخاطر العالية لإدارة المحافظ الساخنة في البورصات المركزية، وتدفع الصناعة بشكل أكبر لاستكشاف حلول تخزين أصول أكثر أمانًا.
تحدث حوادث الأمان بشكل متكرر في عام 2024، مما يذكرنا مرة أخرى بأن تطوير صناعة blockchain لا يمكن أن يتم دون ضمان الأمان. من تسرب المفاتيح الخاصة إلى ثغرات العقود، ومن الإهمال في الإدارة الداخلية إلى ترقية أساليب الهجوم الخارجية، كل حادثة تجلب دروسًا عميقة. لمواجهة التهديدات المتزايدة تعقيدًا، يجب على جميع الأطراف في الصناعة الاستمرار في تعزيز الاستثمار في تطوير التكنولوجيا، والمعايير الإدارية، والوقاية من المخاطر. في المستقبل، نتطلع إلى بناء نظام بيئي أكثر أمانًا للـ blockchain من خلال التعاون بين الصناعات والابتكار التكنولوجي، وتوفير ضمانات أكثر موثوقية للمستخدمين والمستثمرين.