مع انتشار تطبيقات البلوكشين مثل التمويل اللامركزي والرموز الغير قابلة للتبديل، بدأت أصول المستخدمين في الانتقال تدريجياً من القنوات التقليدية المركزية إلى منصات مثل المحافظ اللامركزية، والجسور عبر السلاسل، ومنتجات الإقراض. ومع ذلك، تكررت حالات سرقة المشاريع داخل السلسلة وأصول المستخدمين، مما جعل البلوكشين يُطلق عليه لقب "آلة سحب القراصنة".
تعود بعض هذه الحوادث الأمنية إلى ثغرات في الشيفرة، ولكن هناك العديد منها ناتجة عن عوامل بشرية. على سبيل المثال، فقد أحد صناع السوق المشفرين مؤخرًا 160 مليون دولار بسبب خطأ في التشغيل.
خسارة ضخمة في الأصول ناتجة عن خطأ بشري بسيط
بعد الحادث، صرح صانع السوق بأن أعماله في التمويل المركزي والتداول خارج البورصة لم تتأثر، وأن قدرته على السداد لا تزال ضعف رأس المال المتبقي. بالنسبة للمستخدمين الذين لديهم اتفاقيات صانع سوق معه، فإن أمان الأصول مضمون. من بين 90 أصلًا تم اختراقها، كانت هناك اثنان فقط تتجاوز قيمتهما 1,000,000 دولار، لذا من غير المرجح أن يتسبب ذلك في بيع جماعي.
وجد تحليل شركة الأمان أن عنوان القراصنة مرتبط بـ داخل السلسلة Tornado Cash وبعض عمليات سحب الأموال من البورصات. حوالي 73% من الأموال المسروقة هي عملات مستقرة، و8% هي WBTC، و6% هي ETH. قام المهاجمون بإيداع 114 مليون دولار في مشروع معين لتوفير السيولة.
أظهرت التحقيقات اللاحقة أن سبب السرقة قد يكون استخدام أداة توليد عناوين بها ثغرات. اعترف صانع السوق بأنه استخدم مثل هذه الأدوات لتحسين رسوم المعاملات، وليس لإنشاء عناوين مميزة. على الرغم من أنه بدأ التخلي عن المفاتيح القديمة بعد معرفة الثغرة في الأداة الأسبوع الماضي، إلا أنه بسبب خطأ داخلي تم استدعاء الدالة الخطأ، لم يتمكن من حذف أذونات التوقيع للعناوين المتأثرة في الوقت المناسب.
بالنسبة للأموال المسروقة، أبدى صانع السوق استعداده لدفع مكافأة بنسبة 10% لاستعادتها. على الرغم من أن الحادث نتج عن خطأ بشري داخلي، إلا أن الشركة لن تقوم بفصل الموظفين أو تغيير استراتيجيتها أو تعليق الأنشطة ذات الصلة.
ومع ذلك، تظهر البيانات داخل السلسلة أن هذه الشركة لصنع السوق لديها ديون مالية لامركزية تجاوزت 200 مليون دولار تجاه عدة أطراف، حيث تعتبر أكبر صفقة هي قرض مستقر بقيمة 92 مليون دولار مستحق في أكتوبر. إذا لم يتم استرداد الأموال المسروقة في الوقت المناسب، فقد تواجه الشركة أزمة ديون.
مرة أخرى تتعرض للخسارة بسبب خطأ بشري
في الواقع، هذه ليست المرة الأولى التي يتكبد فيها صانع السوق خسائر بسبب عوامل بشرية. في يونيو من هذا العام، عندما تم دعوته لتوفير السيولة لمشروع Layer 2 معين، فقد 20 مليون رمز بسبب خطأ في التشغيل.
في ذلك الوقت، قامت مؤسسة مشروع Layer 2 بتوزيع 20 مليون رمز على صانعي السوق لتوفير السيولة. قدم صانعو السوق عنوان توقيع متعدد على شبكة إيثيريوم الرئيسية لاستقبال الرموز. لكن نظرًا لأن هذا العنوان لم يتم نشره بعد على شبكة Layer 2، لم يتمكن صانعو السوق من الوصول إلى هذه الرموز.
عندما حاول صانع السوق استعادة العمليات، تقدم المهاجم بخطوة مسبقة ونشر عقد التوقيع المتعدد على شبكة Layer 2 وتولى السيطرة على 20 مليون رمز. لحسن الحظ، أعاد الهاكر في اليوم التالي 17 مليون رمز، وتتحمل خسائر المتبقية صانع السوق.
كيف يمكن للمستخدمين الأفراد تجنب مخاطر سرقة الأصول
نظرًا لتكرار خسائر ضخمة بسبب الأخطاء البشرية من قبل المؤسسات، يجب على المستخدمين الأفراد أن يكونوا أكثر حرصًا في حماية أمان الأصول الخاصة بهم. وفيما يلي بعض الاقتراحات:
استخدم فقط المحفظة المشفرة الأصلية لإنشاء العناوين، وتجنب استخدام أدوات الطرف الثالث. قد تحتوي أدوات الطرف الثالث على مخاطر أمنية، مما يسهل مراقبتها أو مهاجمتها.
استخدم التوقيع المتعدد لمحافظ الأصول الرئيسية. على الرغم من أنها ليست مناسبة للتداول عالي التردد، إلا أنها يمكن أن تقلل إلى أدنى حد من مخاطر الأخطاء البشرية بالنسبة للمستخدمين العاديين.
تجنب نسخ ولصق مفتاحك الخاص. العديد من الأجهزة والتطبيقات قد تحصل على محتوى الحافظة، مما يزيد من خطر التسرب. حتى لو كانت آمنة مؤقتًا، قد تتعرض للاعتداء بعد زيادة الأصول.
عند إجراء العمليات داخل السلسلة، تحقق بعناية من العقود والأصول المصرح بها. تحقق من صحة اسم نطاق الموقع وعنوان العقد الذكي، لمنع الموافقة على عقود خبيثة.
تعيين حدود تفويض معقولة وسحب التفويضات غير الضرورية في الوقت المناسب. تجنب التفويض غير المحدود، وسحب صلاحيات الوصول في الوقت المناسب بعد الاستخدام، لتقليل المخاطر المحتملة.
الأمان لا يُعتبر مسألة صغيرة، خاصة في حالة صعوبة استرداد الأصول داخل السلسلة ووجود حماية قانونية محدودة. يجب على المستخدمين أن يكونوا حذرين بشكل خاص عند القيام بالعمليات داخل السلسلة، وأن يتخذوا تدابير حماية متعددة لضمان أمان الأصول بأقصى حد.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تجنب سرقة الأموال داخل السلسلة: خمس خطوات لحماية أصولك التشفير
أمان الأصول:كيف تتجنب سرقة الأموال داخل السلسلة
مع انتشار تطبيقات البلوكشين مثل التمويل اللامركزي والرموز الغير قابلة للتبديل، بدأت أصول المستخدمين في الانتقال تدريجياً من القنوات التقليدية المركزية إلى منصات مثل المحافظ اللامركزية، والجسور عبر السلاسل، ومنتجات الإقراض. ومع ذلك، تكررت حالات سرقة المشاريع داخل السلسلة وأصول المستخدمين، مما جعل البلوكشين يُطلق عليه لقب "آلة سحب القراصنة".
تعود بعض هذه الحوادث الأمنية إلى ثغرات في الشيفرة، ولكن هناك العديد منها ناتجة عن عوامل بشرية. على سبيل المثال، فقد أحد صناع السوق المشفرين مؤخرًا 160 مليون دولار بسبب خطأ في التشغيل.
خسارة ضخمة في الأصول ناتجة عن خطأ بشري بسيط
بعد الحادث، صرح صانع السوق بأن أعماله في التمويل المركزي والتداول خارج البورصة لم تتأثر، وأن قدرته على السداد لا تزال ضعف رأس المال المتبقي. بالنسبة للمستخدمين الذين لديهم اتفاقيات صانع سوق معه، فإن أمان الأصول مضمون. من بين 90 أصلًا تم اختراقها، كانت هناك اثنان فقط تتجاوز قيمتهما 1,000,000 دولار، لذا من غير المرجح أن يتسبب ذلك في بيع جماعي.
وجد تحليل شركة الأمان أن عنوان القراصنة مرتبط بـ داخل السلسلة Tornado Cash وبعض عمليات سحب الأموال من البورصات. حوالي 73% من الأموال المسروقة هي عملات مستقرة، و8% هي WBTC، و6% هي ETH. قام المهاجمون بإيداع 114 مليون دولار في مشروع معين لتوفير السيولة.
أظهرت التحقيقات اللاحقة أن سبب السرقة قد يكون استخدام أداة توليد عناوين بها ثغرات. اعترف صانع السوق بأنه استخدم مثل هذه الأدوات لتحسين رسوم المعاملات، وليس لإنشاء عناوين مميزة. على الرغم من أنه بدأ التخلي عن المفاتيح القديمة بعد معرفة الثغرة في الأداة الأسبوع الماضي، إلا أنه بسبب خطأ داخلي تم استدعاء الدالة الخطأ، لم يتمكن من حذف أذونات التوقيع للعناوين المتأثرة في الوقت المناسب.
بالنسبة للأموال المسروقة، أبدى صانع السوق استعداده لدفع مكافأة بنسبة 10% لاستعادتها. على الرغم من أن الحادث نتج عن خطأ بشري داخلي، إلا أن الشركة لن تقوم بفصل الموظفين أو تغيير استراتيجيتها أو تعليق الأنشطة ذات الصلة.
ومع ذلك، تظهر البيانات داخل السلسلة أن هذه الشركة لصنع السوق لديها ديون مالية لامركزية تجاوزت 200 مليون دولار تجاه عدة أطراف، حيث تعتبر أكبر صفقة هي قرض مستقر بقيمة 92 مليون دولار مستحق في أكتوبر. إذا لم يتم استرداد الأموال المسروقة في الوقت المناسب، فقد تواجه الشركة أزمة ديون.
مرة أخرى تتعرض للخسارة بسبب خطأ بشري
في الواقع، هذه ليست المرة الأولى التي يتكبد فيها صانع السوق خسائر بسبب عوامل بشرية. في يونيو من هذا العام، عندما تم دعوته لتوفير السيولة لمشروع Layer 2 معين، فقد 20 مليون رمز بسبب خطأ في التشغيل.
في ذلك الوقت، قامت مؤسسة مشروع Layer 2 بتوزيع 20 مليون رمز على صانعي السوق لتوفير السيولة. قدم صانعو السوق عنوان توقيع متعدد على شبكة إيثيريوم الرئيسية لاستقبال الرموز. لكن نظرًا لأن هذا العنوان لم يتم نشره بعد على شبكة Layer 2، لم يتمكن صانعو السوق من الوصول إلى هذه الرموز.
عندما حاول صانع السوق استعادة العمليات، تقدم المهاجم بخطوة مسبقة ونشر عقد التوقيع المتعدد على شبكة Layer 2 وتولى السيطرة على 20 مليون رمز. لحسن الحظ، أعاد الهاكر في اليوم التالي 17 مليون رمز، وتتحمل خسائر المتبقية صانع السوق.
كيف يمكن للمستخدمين الأفراد تجنب مخاطر سرقة الأصول
نظرًا لتكرار خسائر ضخمة بسبب الأخطاء البشرية من قبل المؤسسات، يجب على المستخدمين الأفراد أن يكونوا أكثر حرصًا في حماية أمان الأصول الخاصة بهم. وفيما يلي بعض الاقتراحات:
استخدم فقط المحفظة المشفرة الأصلية لإنشاء العناوين، وتجنب استخدام أدوات الطرف الثالث. قد تحتوي أدوات الطرف الثالث على مخاطر أمنية، مما يسهل مراقبتها أو مهاجمتها.
استخدم التوقيع المتعدد لمحافظ الأصول الرئيسية. على الرغم من أنها ليست مناسبة للتداول عالي التردد، إلا أنها يمكن أن تقلل إلى أدنى حد من مخاطر الأخطاء البشرية بالنسبة للمستخدمين العاديين.
تجنب نسخ ولصق مفتاحك الخاص. العديد من الأجهزة والتطبيقات قد تحصل على محتوى الحافظة، مما يزيد من خطر التسرب. حتى لو كانت آمنة مؤقتًا، قد تتعرض للاعتداء بعد زيادة الأصول.
عند إجراء العمليات داخل السلسلة، تحقق بعناية من العقود والأصول المصرح بها. تحقق من صحة اسم نطاق الموقع وعنوان العقد الذكي، لمنع الموافقة على عقود خبيثة.
تعيين حدود تفويض معقولة وسحب التفويضات غير الضرورية في الوقت المناسب. تجنب التفويض غير المحدود، وسحب صلاحيات الوصول في الوقت المناسب بعد الاستخدام، لتقليل المخاطر المحتملة.
الأمان لا يُعتبر مسألة صغيرة، خاصة في حالة صعوبة استرداد الأصول داخل السلسلة ووجود حماية قانونية محدودة. يجب على المستخدمين أن يكونوا حذرين بشكل خاص عند القيام بالعمليات داخل السلسلة، وأن يتخذوا تدابير حماية متعددة لضمان أمان الأصول بأقصى حد.