مؤخراً، شارك خبير أمان مخضرم درسًا حول أمان التمويل اللامركزي مع أعضاء المجتمع. استعرض هذا الخبير الأحداث الأمنية الكبرى التي تعرض لها قطاع Web3 في عام 2022، واستكشف أسباب هذه الأحداث وطرق الوقاية منها، وقدم ملخصًا للثغرات الأمنية الشائعة في العقود الذكية، وقدم نصائح أمان للمشاريع والمستخدمين.
وفقًا للإحصاءات، حدثت أكثر من 300 حادثة أمان في blockchain في عام 2022، وبلغت المبالغ المعنية 4.3 مليار دولار.
ستقدم هذه المقالة تفاصيل عن 8 حالات نموذجية، حيث تكبدت معظم هذه الحالات خسائر تزيد عن 100 مليون دولار، على الرغم من أن Ankr تكبدت خسائر نسبياً أقل، إلا أنها تعتبر تمثيلية جداً.
في مارس 2022، تعرضت شبكة Ronin الجانبية لـ Axie Infinity للاختراق، مما أدى إلى خسارة 173600 ETH و 2550 مليون دولار.
استطاع المهاجمون من خلال أساليب الهندسة الاجتماعية الحصول على ثقة الموظفين، وتثبيت برامج ضارة، مما أدى في النهاية إلى السيطرة على 4 من أصل 5 عقد تحقق، مما حققوا به الهجوم. وهذا يكشف عن وجود مشاكل في الوعي الأمني والإدارة داخل الشركة.
حدث ورم هول
يوجد ثغرة في كود التحقق من العقد على جانب سولانا لجسر وورمهول، مما أدى إلى قيام المهاجم بتزوير رسالة "الوصي" وصنع 120,000 قطعة من ETH.
يعود ذلك أساسًا إلى استخدام بعض الدوال التي تم إلغاء استخدامها. يُنصح المطورون باستخدام الإصدار الأحدث لتجنب المشكلات المماثلة.
حدث جسر نوماد
تم تعيين الجذر الموثوق به لعقد Replica لجسر Nomad عبر السلاسل إلى 0x0 أثناء عملية التهيئة، ولم يتم إبطال الجذر القديم، مما أدى إلى إمكانية المهاجمين في إنشاء أي رسالة وسرقة الأموال، مما أدى إلى خسائر تقدر بحوالي 190 مليون دولار.
تظهر هذه الحالة النموذجية أن مشكلات إعداد التهيئة قد تؤدي إلى عواقب وخيمة. عندما يتم اكتشاف أن المعاملات الفعالة يمكن تنفيذها بشكل متكرر، يتسابق العديد من المشاركين للاستيلاء على الأموال، مما يتحول في النهاية إلى "معركة لسرقة الأموال".
أحداث Beanstalk
تعرض مشروع عملة مستقرة خوارزمية Beanstalk لهجوم قرض سريع، مما أسفر عن خسارة تبلغ حوالي 1.82 مليون دولار.
استغل المهاجمون ثغرة في آلية المشروع، من خلال الحصول على كمية كبيرة من الرموز عبر القروض السريعة للتصويت لتمرير مقترحات خبيثة وتنفيذها على الفور. وهذا يكشف عن بعض المشكلات المتعلقة بالحكم اللامركزي البحت، مثل مراجعة المقترحات وآلية التصويت وقفل الزمن، والتي تحتاج إلى تصميم دقيق.
حدث Wintermute
استخدم صانع السوق وينترميوت أداة توليد أرقام مميزة تحتوي على ثغرات تُدعى بروفانيتي، مما أدى إلى اختراق مفتاح مالك العقد وتحويل الأموال.
هذا يذكرنا بضرورة تقييم مخاطر الأمان بشكل كامل عند استخدام الأدوات مفتوحة المصدر.
حدث جسر الهارموني
فقد جسر Harmony عبر السلاسل Horizon أكثر من 100 مليون دولار، ويُشتبه أن يكون ذلك نتيجة لهجوم من قبل منظمة هاكرز كورية شمالية. قد تكون طريقة الهجوم مشابهة لحدث جسر Ronin.
حدث أنكر
واجهت Ankr سوء تصرف من موظفيها، مما أدى إلى إنتاج وبيع كميات كبيرة من الرموز، مما تسبب في رد فعل متسلسل.
هذا يكشف عن وجود مشاكل خطيرة في إدارة الصلاحيات الداخلية ونظام الأمان للمشروع.
حدث مانجو
هاجم المهاجمون من خلال التلاعب بسعر العملة الصغيرة MNGO، لتحقيق الربح على منصة العقود الآجلة واقتراض كميات كبيرة من الأموال.
هذا يعكس وجود ثغرات في نماذج الأعمال لبعض مشاريع التمويل اللامركزي. تحتاج الجهة المسؤولة عن المشروع إلى اختبار مجموعة متنوعة من السيناريوهات المتطرفة بشكل كافٍ، ويجب على المستخدمين التركيز على أمان رأس المال بدلاً من النظر فقط إلى العوائد.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
استعراض خسائر ضخمة في التمويل اللامركزي لعام 2022: تحليل لثمانية أحداث أمان واقتراحات للوقاية
مراجعة أحداث أمان التمويل اللامركزي لعام 2022
المؤلف: خبير أمان Web3
مؤخراً، شارك خبير أمان مخضرم درسًا حول أمان التمويل اللامركزي مع أعضاء المجتمع. استعرض هذا الخبير الأحداث الأمنية الكبرى التي تعرض لها قطاع Web3 في عام 2022، واستكشف أسباب هذه الأحداث وطرق الوقاية منها، وقدم ملخصًا للثغرات الأمنية الشائعة في العقود الذكية، وقدم نصائح أمان للمشاريع والمستخدمين.
وفقًا للإحصاءات، حدثت أكثر من 300 حادثة أمان في blockchain في عام 2022، وبلغت المبالغ المعنية 4.3 مليار دولار.
ستقدم هذه المقالة تفاصيل عن 8 حالات نموذجية، حيث تكبدت معظم هذه الحالات خسائر تزيد عن 100 مليون دولار، على الرغم من أن Ankr تكبدت خسائر نسبياً أقل، إلا أنها تعتبر تمثيلية جداً.
! Cobo DeFi Security Class I: مراجعة أحداث أمان DeFi لعام 2022
حدث جسر رونين
في مارس 2022، تعرضت شبكة Ronin الجانبية لـ Axie Infinity للاختراق، مما أدى إلى خسارة 173600 ETH و 2550 مليون دولار.
استطاع المهاجمون من خلال أساليب الهندسة الاجتماعية الحصول على ثقة الموظفين، وتثبيت برامج ضارة، مما أدى في النهاية إلى السيطرة على 4 من أصل 5 عقد تحقق، مما حققوا به الهجوم. وهذا يكشف عن وجود مشاكل في الوعي الأمني والإدارة داخل الشركة.
حدث ورم هول
يوجد ثغرة في كود التحقق من العقد على جانب سولانا لجسر وورمهول، مما أدى إلى قيام المهاجم بتزوير رسالة "الوصي" وصنع 120,000 قطعة من ETH.
يعود ذلك أساسًا إلى استخدام بعض الدوال التي تم إلغاء استخدامها. يُنصح المطورون باستخدام الإصدار الأحدث لتجنب المشكلات المماثلة.
حدث جسر نوماد
تم تعيين الجذر الموثوق به لعقد Replica لجسر Nomad عبر السلاسل إلى 0x0 أثناء عملية التهيئة، ولم يتم إبطال الجذر القديم، مما أدى إلى إمكانية المهاجمين في إنشاء أي رسالة وسرقة الأموال، مما أدى إلى خسائر تقدر بحوالي 190 مليون دولار.
تظهر هذه الحالة النموذجية أن مشكلات إعداد التهيئة قد تؤدي إلى عواقب وخيمة. عندما يتم اكتشاف أن المعاملات الفعالة يمكن تنفيذها بشكل متكرر، يتسابق العديد من المشاركين للاستيلاء على الأموال، مما يتحول في النهاية إلى "معركة لسرقة الأموال".
أحداث Beanstalk
تعرض مشروع عملة مستقرة خوارزمية Beanstalk لهجوم قرض سريع، مما أسفر عن خسارة تبلغ حوالي 1.82 مليون دولار.
استغل المهاجمون ثغرة في آلية المشروع، من خلال الحصول على كمية كبيرة من الرموز عبر القروض السريعة للتصويت لتمرير مقترحات خبيثة وتنفيذها على الفور. وهذا يكشف عن بعض المشكلات المتعلقة بالحكم اللامركزي البحت، مثل مراجعة المقترحات وآلية التصويت وقفل الزمن، والتي تحتاج إلى تصميم دقيق.
حدث Wintermute
استخدم صانع السوق وينترميوت أداة توليد أرقام مميزة تحتوي على ثغرات تُدعى بروفانيتي، مما أدى إلى اختراق مفتاح مالك العقد وتحويل الأموال.
هذا يذكرنا بضرورة تقييم مخاطر الأمان بشكل كامل عند استخدام الأدوات مفتوحة المصدر.
حدث جسر الهارموني
فقد جسر Harmony عبر السلاسل Horizon أكثر من 100 مليون دولار، ويُشتبه أن يكون ذلك نتيجة لهجوم من قبل منظمة هاكرز كورية شمالية. قد تكون طريقة الهجوم مشابهة لحدث جسر Ronin.
حدث أنكر
واجهت Ankr سوء تصرف من موظفيها، مما أدى إلى إنتاج وبيع كميات كبيرة من الرموز، مما تسبب في رد فعل متسلسل.
هذا يكشف عن وجود مشاكل خطيرة في إدارة الصلاحيات الداخلية ونظام الأمان للمشروع.
حدث مانجو
هاجم المهاجمون من خلال التلاعب بسعر العملة الصغيرة MNGO، لتحقيق الربح على منصة العقود الآجلة واقتراض كميات كبيرة من الأموال.
هذا يعكس وجود ثغرات في نماذج الأعمال لبعض مشاريع التمويل اللامركزي. تحتاج الجهة المسؤولة عن المشروع إلى اختبار مجموعة متنوعة من السيناريوهات المتطرفة بشكل كافٍ، ويجب على المستخدمين التركيز على أمان رأس المال بدلاً من النظر فقط إلى العوائد.