مراجعة أحداث أمان الجسور عبر السلسلة: تأثر أصول بقيمة تقارب 20 مليار دولار
يوجد العديد من السلاسل العامة في نظام blockchain البيئي، لكن تفتقر معظم السلاسل إلى الأصول الرئيسية. للحصول على هذه الأصول، اضطرت العديد من المشاريع للاعتماد على الجسور عبر السلسلة لنقل الأصول من سلاسل عامة رئيسية مثل Ethereum. ومع ذلك، في الآونة الأخيرة، تكررت حوادث الأمان في مجال DeFi، وأصبحت الجسور عبر السلسلة هدفًا شائعًا للهجمات من قبل القراصنة بسبب تدفق الأموال الكبير والعمليات المتكررة. ستقوم هذه المقالة بمراجعة 10 حوادث كبيرة سابقة للهجمات على الجسور عبر السلسلة، وتلخيص الدروس المستفادة، بهدف تنبيه فرق التطوير والمستخدمين لزيادة اليقظة.
من الجدير بالذكر أن مشاريع الجسور عبر السلسلة القوية ذات الخلفية الجيدة غالباً ما تكون أكثر قدرة على استرداد الأصول أو التعويض بعد وقوع حادثة أمان. لذلك، عند اختيار الجسور عبر السلسلة، قد يكون من الأكثر أماناً أن يأخذ المستخدمون بعين الاعتبار المشاريع القوية أولاً.
1. ChainSwap: خسارة 8 مليون دولار، إعادة إصدار الرموز
في يوليو 2021، تعرضت ChainSwap لهجومين قرصنة خلال 9 أيام فقط. تسبب الهجوم الأول في خسائر تصل إلى حوالي 800,000 دولار، بينما بلغت الخسائر في الهجوم الثاني 8,000,000 دولار، مما أثر على أكثر من 20 مشروعًا تستخدم ChainSwap عبر السلاسل.
سبب الحادث هو فشل البروتوكول في التحقق بدقة من صحة التوقيع، مما سمح للمهاجمين باستخدام توقيع تم إنشاؤه بأنفسهم لتوقيع المعاملات. نظرًا لأن الخسائر تتعلق في الغالب برموز الحوكمة الخاصة بالمشاريع، اختارت عدة مشاريع، بما في ذلك ChainSwap، إجراء لقطة وإصدار رموز جديدة لتعويض حاملي الرموز ومقدمي السيولة.
2. شبكة بولي: 6.1 مليون دولار أمريكي مسروقة، وتم استردادها بالكامل في النهاية
في 10 أغسطس 2021، تعرض بروتوكول التشغيل البيني عبر السلاسل Poly Network للاختراق، حيث فقدت حوالي 610 مليون دولار من الأصول على شبكات Ethereum و Binance Smart Chain و Polygon.
استغل المهاجمون ثغرة في منطق إدارة صلاحيات العقود في شبكة Poly، ونجحوا في تعديل عنوان المصادقين على السلسلة المستهدفة، مما أتاح لهم التحكم في عمليات نقل الأصول. على الرغم من أن أسلوب الهجوم كان بارعًا، إلا أن القراصنة أعادوا في النهاية جميع الأموال. وأعلنت شبكة Poly لاحقًا أنهم "قراصنة القبعات البيضاء"، واقترحت تعيينهم كاستشاري أمني رئيسي للشركة.
3. متعدد السلاسل: 600 ألف دولار أمريكي تأثرت، وقد تم تعويض جزء منها
في يناير 2022، اكتشفت Multichain ثغرة هامة تؤثر على عدة رموز. على الرغم من أن الثغرة قد تم إصلاحها، إلا أن بعض المستخدمين ما زالوا يعانون من خسائر بسبب عدم سحبهم للتفويض في الوقت المناسب. تم سرقة ما مجموعه حوالي 6.04 مليون دولار من WETH و AVAX.
سبب الحادث هو وجود عيب في Multichain عند التحقق من شرعية الرموز التي يقدمها المستخدم، حيث لم يُؤخذ في الاعتبار أن ليس كل الرموز الأساسية (underlying) قد نفذت وظيفة التصريح (permit). لقد استعادت الفريق حوالي 50% من الأموال المسروقة، وقد اقترحت خطة تعويض، ولكنها تقتصر فقط على المستخدمين الذين قاموا بإلغاء تفويض العقود قبل التاريخ المحدد.
4. QBridge: خسارة 80 مليون دولار، تعويض فقط 2%
في أواخر يناير 2022، تعرض الجسر عبر السلسلة QBridge التابع لبروتوكول الإقراض Qubit للاختراق، مما أسفر عن خسارة تقدر بحوالي 80 مليون دولار.
استغل المهاجمون ثغرة في QBridge أثناء معالجة تحويلات رموز القائمة البيضاء من خلال عدم إعادة التحقق مما إذا كانت العنوان صفر، مما أدى إلى سك كميات كبيرة من رموز xETH بشكل غير قانوني على BSC، واستخدموا ذلك كضمان لاستعارة رموز أخرى من Qubit، مما أدى إلى نفاد الضمانات في Qubit.
حاليًا، أصبحت نسبة استخدام Qubit تقريبًا صفرًا، وتظهر البيانات الرسمية أن 98% من الأموال المسروقة لم يتم تعويضها بعد.
5. Meter.io: خسارة 440 مليون دولار، وعد بالتعويض من الأرباح المستقبلية
في فبراير 2022، استغل القراصنة جسور Meter Passport عبر السلسلة بسبب "افتراض الثقة الخاطئ"، مما أدى إلى خسارة قدرها 4.4 مليون دولار. نفذ المهاجمون الهجوم من خلال تزوير تحويلات BNB و ETH.
كان فريق Meter يخطط في البداية لتعويض خسائر المستخدمين باستخدام رمز MTRG، لكنه قرر لاحقًا إصدار رمز PASS الجديد للتعويض، ووعد بإعادة شراء هذه الرموز من خلال العوائد المستقبلية. ومع ذلك، لم يتم إجراء أي عمليات إعادة شراء حتى الآن.
6. رونين: 6.2 مليار دولار مسروقة، تم تعويضها بالكامل
في مارس 2022، تعرضت سلسلة Ronin التي تقف وراء لعبة blockchain Axie Infinity لهجوم كبير، مما أدى إلى خسارة حوالي 620 مليون دولار. وقد حدث هذا الهجوم في الواقع في 23 مارس، ولكن لم يتم اكتشافه إلا بعد 6 أيام.
هاجم المهاجمون عبر وسائل الهندسة الاجتماعية، متظاهرين بأنهم شركة توظيف للتواصل مع موظفي Sky Mavis، وفي النهاية تمكنوا من اختراق شبكة Ronin والسيطرة على العديد من عقد التحقق. على الرغم من أن الأموال المسروقة لم يتم استردادها، إلا أن Sky Mavis جمعت 150 مليون دولار من خلال جولة تمويل جديدة لتعويض خسائر المستخدمين.
7. Wormhole: خسارة 326 مليون دولار، تم التعويض بالكامل
في أوائل فبراير 2022، تعرض بروتوكول التشغيل البيني عبر السلاسل Wormhole لهجوم من قراصنة، مما أدى إلى خسارة حوالي 120,000 قطعة من ETH، بقيمة 326 مليون دولار.
سبب الهجوم هو وجود خطأ في كود التحقق من التوقيع في العقد الأساسي لـ Wormhole على شبكة Solana، مما مكن المهاجمين من تزوير رسائل الوصي لصك whETH. بعد الحادث، قامت Jump Crypto بسرعة بضخ 120,000 ETH إلى Wormhole لتعويض جميع الخسائر، مما مكن Wormhole من استئناف العمليات.
8. EvoDeFi: تقدير الخسائر بما يزيد عن عشرة ملايين دولار، ولم يتم معالجتها
في يونيو 2022، حدثت ظاهرة انفصال خطير لـ USDT على DEX ValleySwap في نظام Oasis. على الرغم من عدم وضوح مبلغ الخسائر الدقيقة، إلا أنه يقدر بنحو عشرات الملايين من الدولارات.
تكمن جذر المشكلة في نقص السيولة على السلسلة الأصلية للجسر عبر السلسلة EVODeFi الذي يستخدمه ValleySwap. تدعي EVODeFi أن الذعر ناتج عن FUD، لكن هذا التفسير غير مقنع. من ناحية أخرى، تؤكد Oasis أنها ليست مرتبطة بـ ValleySwap وEvoDeFi، وتوضح أن EvoDeFi هو مشروع عالي المخاطر وغير مدقق وغير مفتوح المصدر.
حتى الآن، لم يتم العثور على أي حل لخسائر المستخدمين، ويبدو أن الأطراف المعنية قد توقفت عن التواصل بشكل إضافي.
9. Horizon: خسارة تقارب 100 مليون دولار، لا يزال يتم وضع خطة التعويض.
في 24 يونيو 2022، تعرض جسر Harmony الرسمي عبر السلسلة Horizon لهجوم، مما أسفر عن خسارة حوالي 100 مليون دولار.
اعترف ستيفن تسه، مؤسس هارموني، بأن الهجوم قد يكون ناتجًا عن "تسرب المفتاح الخاص". الأموال المسروقة تشمل عدة شبكات وأنواع مختلفة من العملات المشفرة. بعد الحادث، زادت هورايزون من عتبة التوقيع المتعدد، لكن هذه الخطوة لم تتمكن من تعويض الخسائر التي تم تكبدها.
اقترحت Harmony تعويض خسائر المستخدمين تدريجياً على مدى 3 سنوات من خلال إصدار إضافي لرموز ONE، لكن هذا الاقتراح لم يحصل على موافقة جماعية من المجتمع. حالياً، يقوم الفريق بإعادة صياغة خطة التعويض.
10. نوماد: 1.9 مليار دولار أمريكي متأثر، المعالجة جارية
في أوائل أغسطس 2022، واجه جسر Nomad عبر السلسلة حادثة أمان كبيرة، مما أدى إلى فقدان سريع للسيولة بقيمة 190 مليون دولار. كما أثرت هذه الحادثة بشكل غير مباشر على بروتوكول التفاعل بين الطبقات الثانية Connext، مما تسبب في خسائر إضافية قدرها حوالي 3.34 مليون دولار.
حسب تحليل المتخصصين، فإن الحادثة هذه نشأت عن قيام Nomad في عملية ترقية العقد بتعيين الجذر الموثوق إلى 0x00، مما مكن أي شخص من استخدام المعاملات الصالحة لاستبدال العنوان وسحب الأموال.
الهجمات تشمل 1251 عنوان ETH، حيث تمثل عناوين ENS 38% من المبلغ الإجمالي. حتى الآن، لم يقدم الفريق المشروع خطة تعويض واضحة، ولكن بعض قراصنة القبعات البيضاء قد أعربوا عن استعدادهم لإعادة الأموال.
الخاتمة
يجب أن تحظى الحوادث الأمنية للجسور عبر السلسلة باهتمام كبير من قبل الصناعة. حتى الجسور التي تحتل المراكز الثلاثة الأولى من حيث السيولة مثل Multichain وPortal (Wormhole) وPoly Network قد واجهت مشاكل أمنية، مما يشير إلى أن مجال الجسور عبر السلسلة لا يزال يحمل مخاطر عالية، وأي مشروع قد يواجه ثغرات أمنية مرة أخرى.
من خلال الحالات السابقة، فإن مشاريع الجسور عبر السلسلة التي تتمتع بخلفية قوية وقوة مالية كبيرة غالبًا ما تكون قادرة على استرداد الأصول أو تقديم تعويضات للمستخدمين بشكل أكثر فعالية بعد تعرضها لحوادث أمنية. على سبيل المثال، تمكنت Poly Network وRonin Network وWormhole من استعادة الأموال أو قامت بالتعويض الكامل بعد حدوث سرقات ضخمة.
بالإضافة إلى ذلك، تعتبر قدرة الفريق على المراقبة في الوقت الفعلي والاستجابة السريعة ضرورية. مشاريع مثل بروتوكول هوب ونجمة البوابة، عندما تتلقى تقارير عن أنشطة مشبوهة، يمكنها اتخاذ إجراءات سريعة، مما يمنع بفعالية الهجمات المحتملة.
شاهد النسخة الأصلية
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
هاكر الجسور عبر السلسلة هجمات خسائر قريبة من 20 مليار دولار خطر الأمان لا يزال مرتفعاً
مراجعة أحداث أمان الجسور عبر السلسلة: تأثر أصول بقيمة تقارب 20 مليار دولار
يوجد العديد من السلاسل العامة في نظام blockchain البيئي، لكن تفتقر معظم السلاسل إلى الأصول الرئيسية. للحصول على هذه الأصول، اضطرت العديد من المشاريع للاعتماد على الجسور عبر السلسلة لنقل الأصول من سلاسل عامة رئيسية مثل Ethereum. ومع ذلك، في الآونة الأخيرة، تكررت حوادث الأمان في مجال DeFi، وأصبحت الجسور عبر السلسلة هدفًا شائعًا للهجمات من قبل القراصنة بسبب تدفق الأموال الكبير والعمليات المتكررة. ستقوم هذه المقالة بمراجعة 10 حوادث كبيرة سابقة للهجمات على الجسور عبر السلسلة، وتلخيص الدروس المستفادة، بهدف تنبيه فرق التطوير والمستخدمين لزيادة اليقظة.
من الجدير بالذكر أن مشاريع الجسور عبر السلسلة القوية ذات الخلفية الجيدة غالباً ما تكون أكثر قدرة على استرداد الأصول أو التعويض بعد وقوع حادثة أمان. لذلك، عند اختيار الجسور عبر السلسلة، قد يكون من الأكثر أماناً أن يأخذ المستخدمون بعين الاعتبار المشاريع القوية أولاً.
1. ChainSwap: خسارة 8 مليون دولار، إعادة إصدار الرموز
في يوليو 2021، تعرضت ChainSwap لهجومين قرصنة خلال 9 أيام فقط. تسبب الهجوم الأول في خسائر تصل إلى حوالي 800,000 دولار، بينما بلغت الخسائر في الهجوم الثاني 8,000,000 دولار، مما أثر على أكثر من 20 مشروعًا تستخدم ChainSwap عبر السلاسل.
سبب الحادث هو فشل البروتوكول في التحقق بدقة من صحة التوقيع، مما سمح للمهاجمين باستخدام توقيع تم إنشاؤه بأنفسهم لتوقيع المعاملات. نظرًا لأن الخسائر تتعلق في الغالب برموز الحوكمة الخاصة بالمشاريع، اختارت عدة مشاريع، بما في ذلك ChainSwap، إجراء لقطة وإصدار رموز جديدة لتعويض حاملي الرموز ومقدمي السيولة.
2. شبكة بولي: 6.1 مليون دولار أمريكي مسروقة، وتم استردادها بالكامل في النهاية
في 10 أغسطس 2021، تعرض بروتوكول التشغيل البيني عبر السلاسل Poly Network للاختراق، حيث فقدت حوالي 610 مليون دولار من الأصول على شبكات Ethereum و Binance Smart Chain و Polygon.
استغل المهاجمون ثغرة في منطق إدارة صلاحيات العقود في شبكة Poly، ونجحوا في تعديل عنوان المصادقين على السلسلة المستهدفة، مما أتاح لهم التحكم في عمليات نقل الأصول. على الرغم من أن أسلوب الهجوم كان بارعًا، إلا أن القراصنة أعادوا في النهاية جميع الأموال. وأعلنت شبكة Poly لاحقًا أنهم "قراصنة القبعات البيضاء"، واقترحت تعيينهم كاستشاري أمني رئيسي للشركة.
3. متعدد السلاسل: 600 ألف دولار أمريكي تأثرت، وقد تم تعويض جزء منها
في يناير 2022، اكتشفت Multichain ثغرة هامة تؤثر على عدة رموز. على الرغم من أن الثغرة قد تم إصلاحها، إلا أن بعض المستخدمين ما زالوا يعانون من خسائر بسبب عدم سحبهم للتفويض في الوقت المناسب. تم سرقة ما مجموعه حوالي 6.04 مليون دولار من WETH و AVAX.
سبب الحادث هو وجود عيب في Multichain عند التحقق من شرعية الرموز التي يقدمها المستخدم، حيث لم يُؤخذ في الاعتبار أن ليس كل الرموز الأساسية (underlying) قد نفذت وظيفة التصريح (permit). لقد استعادت الفريق حوالي 50% من الأموال المسروقة، وقد اقترحت خطة تعويض، ولكنها تقتصر فقط على المستخدمين الذين قاموا بإلغاء تفويض العقود قبل التاريخ المحدد.
4. QBridge: خسارة 80 مليون دولار، تعويض فقط 2%
في أواخر يناير 2022، تعرض الجسر عبر السلسلة QBridge التابع لبروتوكول الإقراض Qubit للاختراق، مما أسفر عن خسارة تقدر بحوالي 80 مليون دولار.
استغل المهاجمون ثغرة في QBridge أثناء معالجة تحويلات رموز القائمة البيضاء من خلال عدم إعادة التحقق مما إذا كانت العنوان صفر، مما أدى إلى سك كميات كبيرة من رموز xETH بشكل غير قانوني على BSC، واستخدموا ذلك كضمان لاستعارة رموز أخرى من Qubit، مما أدى إلى نفاد الضمانات في Qubit.
حاليًا، أصبحت نسبة استخدام Qubit تقريبًا صفرًا، وتظهر البيانات الرسمية أن 98% من الأموال المسروقة لم يتم تعويضها بعد.
5. Meter.io: خسارة 440 مليون دولار، وعد بالتعويض من الأرباح المستقبلية
في فبراير 2022، استغل القراصنة جسور Meter Passport عبر السلسلة بسبب "افتراض الثقة الخاطئ"، مما أدى إلى خسارة قدرها 4.4 مليون دولار. نفذ المهاجمون الهجوم من خلال تزوير تحويلات BNB و ETH.
كان فريق Meter يخطط في البداية لتعويض خسائر المستخدمين باستخدام رمز MTRG، لكنه قرر لاحقًا إصدار رمز PASS الجديد للتعويض، ووعد بإعادة شراء هذه الرموز من خلال العوائد المستقبلية. ومع ذلك، لم يتم إجراء أي عمليات إعادة شراء حتى الآن.
6. رونين: 6.2 مليار دولار مسروقة، تم تعويضها بالكامل
في مارس 2022، تعرضت سلسلة Ronin التي تقف وراء لعبة blockchain Axie Infinity لهجوم كبير، مما أدى إلى خسارة حوالي 620 مليون دولار. وقد حدث هذا الهجوم في الواقع في 23 مارس، ولكن لم يتم اكتشافه إلا بعد 6 أيام.
هاجم المهاجمون عبر وسائل الهندسة الاجتماعية، متظاهرين بأنهم شركة توظيف للتواصل مع موظفي Sky Mavis، وفي النهاية تمكنوا من اختراق شبكة Ronin والسيطرة على العديد من عقد التحقق. على الرغم من أن الأموال المسروقة لم يتم استردادها، إلا أن Sky Mavis جمعت 150 مليون دولار من خلال جولة تمويل جديدة لتعويض خسائر المستخدمين.
7. Wormhole: خسارة 326 مليون دولار، تم التعويض بالكامل
في أوائل فبراير 2022، تعرض بروتوكول التشغيل البيني عبر السلاسل Wormhole لهجوم من قراصنة، مما أدى إلى خسارة حوالي 120,000 قطعة من ETH، بقيمة 326 مليون دولار.
سبب الهجوم هو وجود خطأ في كود التحقق من التوقيع في العقد الأساسي لـ Wormhole على شبكة Solana، مما مكن المهاجمين من تزوير رسائل الوصي لصك whETH. بعد الحادث، قامت Jump Crypto بسرعة بضخ 120,000 ETH إلى Wormhole لتعويض جميع الخسائر، مما مكن Wormhole من استئناف العمليات.
8. EvoDeFi: تقدير الخسائر بما يزيد عن عشرة ملايين دولار، ولم يتم معالجتها
في يونيو 2022، حدثت ظاهرة انفصال خطير لـ USDT على DEX ValleySwap في نظام Oasis. على الرغم من عدم وضوح مبلغ الخسائر الدقيقة، إلا أنه يقدر بنحو عشرات الملايين من الدولارات.
تكمن جذر المشكلة في نقص السيولة على السلسلة الأصلية للجسر عبر السلسلة EVODeFi الذي يستخدمه ValleySwap. تدعي EVODeFi أن الذعر ناتج عن FUD، لكن هذا التفسير غير مقنع. من ناحية أخرى، تؤكد Oasis أنها ليست مرتبطة بـ ValleySwap وEvoDeFi، وتوضح أن EvoDeFi هو مشروع عالي المخاطر وغير مدقق وغير مفتوح المصدر.
حتى الآن، لم يتم العثور على أي حل لخسائر المستخدمين، ويبدو أن الأطراف المعنية قد توقفت عن التواصل بشكل إضافي.
9. Horizon: خسارة تقارب 100 مليون دولار، لا يزال يتم وضع خطة التعويض.
في 24 يونيو 2022، تعرض جسر Harmony الرسمي عبر السلسلة Horizon لهجوم، مما أسفر عن خسارة حوالي 100 مليون دولار.
اعترف ستيفن تسه، مؤسس هارموني، بأن الهجوم قد يكون ناتجًا عن "تسرب المفتاح الخاص". الأموال المسروقة تشمل عدة شبكات وأنواع مختلفة من العملات المشفرة. بعد الحادث، زادت هورايزون من عتبة التوقيع المتعدد، لكن هذه الخطوة لم تتمكن من تعويض الخسائر التي تم تكبدها.
اقترحت Harmony تعويض خسائر المستخدمين تدريجياً على مدى 3 سنوات من خلال إصدار إضافي لرموز ONE، لكن هذا الاقتراح لم يحصل على موافقة جماعية من المجتمع. حالياً، يقوم الفريق بإعادة صياغة خطة التعويض.
10. نوماد: 1.9 مليار دولار أمريكي متأثر، المعالجة جارية
في أوائل أغسطس 2022، واجه جسر Nomad عبر السلسلة حادثة أمان كبيرة، مما أدى إلى فقدان سريع للسيولة بقيمة 190 مليون دولار. كما أثرت هذه الحادثة بشكل غير مباشر على بروتوكول التفاعل بين الطبقات الثانية Connext، مما تسبب في خسائر إضافية قدرها حوالي 3.34 مليون دولار.
حسب تحليل المتخصصين، فإن الحادثة هذه نشأت عن قيام Nomad في عملية ترقية العقد بتعيين الجذر الموثوق إلى 0x00، مما مكن أي شخص من استخدام المعاملات الصالحة لاستبدال العنوان وسحب الأموال.
الهجمات تشمل 1251 عنوان ETH، حيث تمثل عناوين ENS 38% من المبلغ الإجمالي. حتى الآن، لم يقدم الفريق المشروع خطة تعويض واضحة، ولكن بعض قراصنة القبعات البيضاء قد أعربوا عن استعدادهم لإعادة الأموال.
الخاتمة
يجب أن تحظى الحوادث الأمنية للجسور عبر السلسلة باهتمام كبير من قبل الصناعة. حتى الجسور التي تحتل المراكز الثلاثة الأولى من حيث السيولة مثل Multichain وPortal (Wormhole) وPoly Network قد واجهت مشاكل أمنية، مما يشير إلى أن مجال الجسور عبر السلسلة لا يزال يحمل مخاطر عالية، وأي مشروع قد يواجه ثغرات أمنية مرة أخرى.
من خلال الحالات السابقة، فإن مشاريع الجسور عبر السلسلة التي تتمتع بخلفية قوية وقوة مالية كبيرة غالبًا ما تكون قادرة على استرداد الأصول أو تقديم تعويضات للمستخدمين بشكل أكثر فعالية بعد تعرضها لحوادث أمنية. على سبيل المثال، تمكنت Poly Network وRonin Network وWormhole من استعادة الأموال أو قامت بالتعويض الكامل بعد حدوث سرقات ضخمة.
بالإضافة إلى ذلك، تعتبر قدرة الفريق على المراقبة في الوقت الفعلي والاستجابة السريعة ضرورية. مشاريع مثل بروتوكول هوب ونجمة البوابة، عندما تتلقى تقارير عن أنشطة مشبوهة، يمكنها اتخاذ إجراءات سريعة، مما يمنع بفعالية الهجمات المحتملة.