مراجعة أحداث أمان التمويل اللامركزي: تحليل الحالات البارزة لعام 2022
شهدت صناعة blockchain في عام 2022 أكثر من 300 حادثة أمان، بلغت قيمتها حوالي 4.3 مليار دولار. ستقوم هذه المقالة بتحليل 8 حالات نموذجية بالتفصيل، حيث تتضمن معظم هذه الحالات خسائر تتجاوز 100 مليون دولار.
في 23 مارس 2022، تعرضت شبكة Ronin الجانبية الخاصة بـ Axie Infinity للاختراق، مما أسفر عن خسارة 173600 ETH و 25.5 مليون دولار. ووفقًا للتقارير، فإن مجموعة القراصنة الكورية الشمالية Lazarus مرتبطة بهذا الحدث. وقد تمكن القراصنة من infiltrating النظام من خلال أساليب الهندسة الاجتماعية، وسيطروا في النهاية على 5 من أصل 9 عقد تحقق، ونجحوا في تنفيذ الهجوم.
كشفت هذه الحادثة عن ضعف وعي موظفي الشركة بالسلامة ووجود ثغرات في النظام الأمني الداخلي. كما أظهرت أن المنظمات التقليدية للاختراق والقوى القومية بدأت تدريجياً توجيه أهدافها نحو مشاريع blockchain، للحصول على فوائد اقتصادية بشكل مباشر.
حدث وورم هول
يوجد خطأ في التحقق من التوقيع في العقد الأساسي لجهة سولانا لجسر Wormhole عبر السلاسل، مما يسمح للمهاجمين بتزوير رسالة "الوصي" وصك ETH المغلف بواسطة Wormhole، مما أدى إلى خسارة حوالي 120,000 قطعة من ETH.
تتمثل المشكلة بشكل رئيسي في مستوى الشفرة، حيث تم استخدام بعض الوظائف التي تم إلغاؤها. يجب على المطورين تحديث استخدامهم لأحدث الإصدارات في الوقت المناسب لتجنب مشاكل مماثلة.
حدث جسر نوماد
تم تعيين الجذر الموثوق به لعقد Replica لجسر Nomad عبر السلاسل إلى 0x0 عند التهيئة، وعدم جعل الجذر القديم غير صالح عند تعديل الجذر الموثوق به، مما أدى إلى أن المهاجمين يمكنهم إنشاء أي رسالة لسرقة الأموال، مما أسفر عن خسائر تزيد عن 1.9 مليار دولار.
هذه مشكلة إعداد نموذجية. يقوم القراصنة بإعادة تشغيل المعاملات الصالحة لاستخراج الأموال المقفلة. يشارك عدد كبير من روبوتات MEV في ذلك، مما يجعل الحدث يتطور إلى "سرقة الأموال".
هذا يعكس أيضًا تأثير السيف ذي الحدين للمصدر المفتوح - فهو يسهل التدقيق ولكنه يسهل أيضًا تحليل القراصنة. بمجرد اكتشاف ثغرة، قد يواجه المشروع ضربة قاتلة.
أحداث Beanstalk
تعرض مشروع العملة المستقرة الخوارزمية Beanstalk لهجوم اقتراض فوري، مما أسفر عن خسارة حوالي 1.82 مليون دولار. قام المهاجمون بالحصول على عدد كبير من الرموز من خلال الاقتراض الفوري للتصويت لصالح اقتراح خبيث، ثم نفذوا الأرباح على الفور.
هذه الحالة كشفت عن مخاطر الحوكمة اللامركزية. يحتاج المشروع إلى النظر في إعداد آلية مراجعة الاقتراحات، توزيع أوزان التصويت، وتدابير الأمان مثل القفل الزمني.
حدث وينترميوت
استخدم صانع السوق Wintermute أداة توليد أرقام مزيفة بها ثغرات لإنشاء عنوان العقد، مما أدى إلى اختراق المفتاح الخاص للمالك وتحويل الأموال.
هذا يذكرنا بضرورة توخي الحذر عند استخدام الأدوات مفتوحة المصدر، من الأفضل إجراء تقييم أمني شامل لها.
حدث جسر هارموني
خسرت جسر Harmony عبر السلسلة Horizon أكثر من 100 مليون دولار، ويزعم أن ذلك ناتج عن تسرب مفتاح خاص. تشير التحليلات إلى أن هذا قد يكون أيضًا من تنفيذ مجموعة قراصنة كورية شمالية.
في السنوات الأخيرة، قام قراصنة كوريا الشمالية بشن هجمات متكررة على صناعة العملات المشفرة، وقد تعرضت العديد من الشركات لهجمات التصيد الاحتيالي الخاصة بهم.
حدث Ankr
تم استخدام عقد الستاكينغ الخاص بـ Ankr من قبل موظف سابق للتحكم بمفتاح خاص، مما أدى إلى سك كميات كبيرة من الرموز بشكل خبيث. يكشف ذلك عن وجود مشاكل خطيرة في إدارة الصلاحيات ونظام الأمان الداخلي للمشروع.
حدث مانغو
استغل المهاجمون ثغرة في نموذج أعمال منصة مانغو للتداول، من خلال التلاعب بأسعار الرموز ذات القيمة السوقية الصغيرة لتحقيق أرباح تزيد عن 100 مليون دولار.
هذا يذكر الفرق العاملة في المشروع بضرورة أخذ جميع السيناريوهات المتطرفة بعين الاعتبار أثناء الاختبار. يجب على المستخدمين الذين يشاركون في المشروع أيضًا الانتباه إلى ما إذا كان هناك ثغرات في نموذج العمل يمكن استغلالها.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
تسجيلات الإعجاب 16
أعجبني
16
6
مشاركة
تعليق
0/400
BasementAlchemist
· منذ 2 س
خسرت الكثير، ركبتي أصبحت ضعيفة.
شاهد النسخة الأصليةرد0
DuskSurfer
· 07-03 12:48
مرة أخرى تأتي الفتاة البيضاء، يُستغل بغباء. لا تفكر في الأمور الكبيرة.
شاهد النسخة الأصليةرد0
ForkItAllDay
· 07-02 04:57
خسارة كبيرة... على أي حال، ليس من شأني
شاهد النسخة الأصليةرد0
SignatureVerifier
· 07-02 04:57
تقنياً، 5/9 من العقد هو مجرد بنية تحقق غير دقيقة... يالها من خيبة أمل
شاهد النسخة الأصليةرد0
just_another_fish
· 07-02 04:54
تم سرقة كل الأموال، من يجرؤ على اللعب بعد ذلك؟
شاهد النسخة الأصليةرد0
CryptoHistoryClass
· 07-02 04:50
*يشيك على سجلات التاريخ* 4.3 مليار دولار أخرى ضاعت... تماماً مثل mt.gox في 2014 fr fr
مراجعة أحداث أمان التمويل اللامركزي لعام 2022: تحليل عميق لـ 8 حالات نموذجية
مراجعة أحداث أمان التمويل اللامركزي: تحليل الحالات البارزة لعام 2022
شهدت صناعة blockchain في عام 2022 أكثر من 300 حادثة أمان، بلغت قيمتها حوالي 4.3 مليار دولار. ستقوم هذه المقالة بتحليل 8 حالات نموذجية بالتفصيل، حيث تتضمن معظم هذه الحالات خسائر تتجاوز 100 مليون دولار.
! Cobo DeFi Security Class I: مراجعة أحداث أمان DeFi لعام 2022
حدث جسر رونين
في 23 مارس 2022، تعرضت شبكة Ronin الجانبية الخاصة بـ Axie Infinity للاختراق، مما أسفر عن خسارة 173600 ETH و 25.5 مليون دولار. ووفقًا للتقارير، فإن مجموعة القراصنة الكورية الشمالية Lazarus مرتبطة بهذا الحدث. وقد تمكن القراصنة من infiltrating النظام من خلال أساليب الهندسة الاجتماعية، وسيطروا في النهاية على 5 من أصل 9 عقد تحقق، ونجحوا في تنفيذ الهجوم.
كشفت هذه الحادثة عن ضعف وعي موظفي الشركة بالسلامة ووجود ثغرات في النظام الأمني الداخلي. كما أظهرت أن المنظمات التقليدية للاختراق والقوى القومية بدأت تدريجياً توجيه أهدافها نحو مشاريع blockchain، للحصول على فوائد اقتصادية بشكل مباشر.
حدث وورم هول
يوجد خطأ في التحقق من التوقيع في العقد الأساسي لجهة سولانا لجسر Wormhole عبر السلاسل، مما يسمح للمهاجمين بتزوير رسالة "الوصي" وصك ETH المغلف بواسطة Wormhole، مما أدى إلى خسارة حوالي 120,000 قطعة من ETH.
تتمثل المشكلة بشكل رئيسي في مستوى الشفرة، حيث تم استخدام بعض الوظائف التي تم إلغاؤها. يجب على المطورين تحديث استخدامهم لأحدث الإصدارات في الوقت المناسب لتجنب مشاكل مماثلة.
حدث جسر نوماد
تم تعيين الجذر الموثوق به لعقد Replica لجسر Nomad عبر السلاسل إلى 0x0 عند التهيئة، وعدم جعل الجذر القديم غير صالح عند تعديل الجذر الموثوق به، مما أدى إلى أن المهاجمين يمكنهم إنشاء أي رسالة لسرقة الأموال، مما أسفر عن خسائر تزيد عن 1.9 مليار دولار.
هذه مشكلة إعداد نموذجية. يقوم القراصنة بإعادة تشغيل المعاملات الصالحة لاستخراج الأموال المقفلة. يشارك عدد كبير من روبوتات MEV في ذلك، مما يجعل الحدث يتطور إلى "سرقة الأموال".
هذا يعكس أيضًا تأثير السيف ذي الحدين للمصدر المفتوح - فهو يسهل التدقيق ولكنه يسهل أيضًا تحليل القراصنة. بمجرد اكتشاف ثغرة، قد يواجه المشروع ضربة قاتلة.
أحداث Beanstalk
تعرض مشروع العملة المستقرة الخوارزمية Beanstalk لهجوم اقتراض فوري، مما أسفر عن خسارة حوالي 1.82 مليون دولار. قام المهاجمون بالحصول على عدد كبير من الرموز من خلال الاقتراض الفوري للتصويت لصالح اقتراح خبيث، ثم نفذوا الأرباح على الفور.
هذه الحالة كشفت عن مخاطر الحوكمة اللامركزية. يحتاج المشروع إلى النظر في إعداد آلية مراجعة الاقتراحات، توزيع أوزان التصويت، وتدابير الأمان مثل القفل الزمني.
حدث وينترميوت
استخدم صانع السوق Wintermute أداة توليد أرقام مزيفة بها ثغرات لإنشاء عنوان العقد، مما أدى إلى اختراق المفتاح الخاص للمالك وتحويل الأموال.
هذا يذكرنا بضرورة توخي الحذر عند استخدام الأدوات مفتوحة المصدر، من الأفضل إجراء تقييم أمني شامل لها.
حدث جسر هارموني
خسرت جسر Harmony عبر السلسلة Horizon أكثر من 100 مليون دولار، ويزعم أن ذلك ناتج عن تسرب مفتاح خاص. تشير التحليلات إلى أن هذا قد يكون أيضًا من تنفيذ مجموعة قراصنة كورية شمالية.
في السنوات الأخيرة، قام قراصنة كوريا الشمالية بشن هجمات متكررة على صناعة العملات المشفرة، وقد تعرضت العديد من الشركات لهجمات التصيد الاحتيالي الخاصة بهم.
حدث Ankr
تم استخدام عقد الستاكينغ الخاص بـ Ankr من قبل موظف سابق للتحكم بمفتاح خاص، مما أدى إلى سك كميات كبيرة من الرموز بشكل خبيث. يكشف ذلك عن وجود مشاكل خطيرة في إدارة الصلاحيات ونظام الأمان الداخلي للمشروع.
حدث مانغو
استغل المهاجمون ثغرة في نموذج أعمال منصة مانغو للتداول، من خلال التلاعب بأسعار الرموز ذات القيمة السوقية الصغيرة لتحقيق أرباح تزيد عن 100 مليون دولار.
هذا يذكر الفرق العاملة في المشروع بضرورة أخذ جميع السيناريوهات المتطرفة بعين الاعتبار أثناء الاختبار. يجب على المستخدمين الذين يشاركون في المشروع أيضًا الانتباه إلى ما إذا كان هناك ثغرات في نموذج العمل يمكن استغلالها.
! Cobo DeFi Security Class I: مراجعة أحداث أمان DeFi لعام 2022