مؤخراً، شارك خبير أمان معروف في الصناعة درساً حول أمان التمويل اللامركزي لأعضاء المجتمع. استعرض هذا الخبير الأحداث الأمنية الكبيرة التي واجهتها صناعة Web3 على مدار العام الماضي، وناقش بعمق أسباب هذه الأحداث والتدابير الوقائية، وخلص إلى الثغرات الأمنية الشائعة في العقود الذكية، وقدم بعض النصائح الأمنية للجهات المعنية والمستخدمين العاديين.
وفقًا للإحصائيات، حدثت أكثر من 300 حالة أمنية متعلقة بالبلوك تشين في عام 2022، بلغت قيمتها 4.3 مليار دولار. ستقوم هذه المقالة بتحليل ثمانية حالات نموذجية بمزيد من التفصيل، حيث تكبدت معظم هذه الحالات خسائر تجاوزت 100 مليون دولار.
حدث جسر رونين
في مارس 2022، تعرضت شبكة Ronin الجانبية لـ Axie Infinity للاختراق، مما أدى إلى خسارة حوالي 600 مليون دولار. حصل القراصنة على ثقة الموظفين من خلال أساليب الهندسة الاجتماعية، مما سمح لهم بالتسلل إلى النظام والسيطرة على معظم عقد التحقق. وقد كشف هذا عن مشاكل في إدارة الأمان الداخلي للشركة، وانعدام الوعي الأمني لدى الموظفين. ويعتبر هذا الحدث مرتبطًا بجماعات القراصنة الكورية الشمالية، مما يعكس أن قوى القرصنة على مستوى الدولة بدأت تستهدف مشاريع blockchain.
حدث وورم هول
تم هجوم جسر Wormhole عبر السلاسل بسبب ثغرة في الكود، مما أدى إلى خسارة حوالي 120,000 ETH. يعود السبب إلى استخدام بعض الوظائف التي تم إهمالها. هذا يُذكر المطورين بضرورة تحديث استخدام المكتبات البرمجية إلى أحدث الإصدارات لتجنب مشاكل مماثلة.
حدث جسر نوماد
تسبب جسر Nomad عبر السلاسل بسبب مشكلة في إعدادات التهيئة، مما سمح للمهاجمين بإعادة تشغيل المعاملات الصالحة وسحب الأموال، مما أدى إلى خسارة تقارب 1.9 مليار دولار. في هذه الحالة، كان هناك عدد كبير من روبوتات MEV تشارك في انتزاع الأموال. المشاريع مفتوحة المصدر معرضة للهجمات التحليلية، وعندما تظهر ثغرة، قد تتعرض لضربة مدمرة.
أحداث Beanstalk
تعرض مشروع عملة مستقرة خوارزمية Beanstalk لهجوم قرض فوري، مما أدى إلى خسارة حوالي 1.82 مليون دولار. استغل المهاجمون ثغرة في آلية حوكمة المشروع، حيث حصلوا على حقوق تصويت كبيرة من خلال القرض الفوري، ونقلوا الأموال من خلال اقتراحات خبيثة. وهذا يعكس أن آلية الحوكمة اللامركزية إذا لم يتم تصميمها بشكل صحيح قد تؤدي أيضًا إلى مخاطر أمنية.
حدث Wintermute
تسبب صانع السوق Wintermute في خسارة حوالي 1.6 مليار دولار بسبب استخدامه لأداة توليد عناوين تحتوي على ثغرات، مما أدى إلى اختراق المفتاح الخاص. وهذا يذكرنا بضرورة تقييم الأمان عند استخدام أدوات مفتوحة المصدر.
حدث جسر هارموني
تم سرقة أكثر من 100 مليون دولار من جسر Harmony عبر السلاسل Horizon. ويشير التحليل إلى أن ذلك قد يكون من تنفيذ مجموعة قراصنة كورية شمالية، حيث أن الأسلوب مشابه لحدث Ronin. يبرز هذا مرة أخرى التهديد الذي تشكله القراصنة على مستوى الدول لصناعة العملات المشفرة.
حدث Ankr
تسبب مشروع Ankr في خسائر مالية بسبب سوء تصرف بعض الأفراد داخله. تكمن المشكلة الأساسية في سوء التحكم في ملكية العقد، بالإضافة إلى وجود ثغرات في إدارة الأمان الداخلية. وهذا يعكس أهمية إدارة الأمان الداخلية لفريق المشروع.
حدث مانغو
تعرضت منصة Mango لهجوم من قبل السوق، مما أدى إلى خسارة تقارب 1.15 مليار دولار. استغل المهاجمون مشكلة نقص السيولة في العملات الصغيرة على المنصة للتلاعب بالأسعار لتحقيق الأرباح. هذا يذكرنا بضرورة النظر في مخاطر مختلف الحالات القصوى.
بناءً على ما سبق، تواجه مشاريع Web3 تهديدات أمنية متعددة، وتحتاج إلى تعزيز الوقاية من عدة جوانب مثل الشفرة وآليات الحوكمة والإدارة الداخلية. كما يجب على المستخدمين تقييم المخاطر بشكل كامل عند المشاركة في المشاريع، وعدم الاكتفاء بالنظر إلى العائدات وتجاهل الأمان.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
التمويل اللامركزي الأمن: ثمانية أحداث تكشف عن خسائر بقيمة 4.3 مليار دولار في مشاريع Web3
2022年التمويل اللامركزي الأمنية事件回顾与分析
المؤلف: خبير أمن Web3 محترف
مؤخراً، شارك خبير أمان معروف في الصناعة درساً حول أمان التمويل اللامركزي لأعضاء المجتمع. استعرض هذا الخبير الأحداث الأمنية الكبيرة التي واجهتها صناعة Web3 على مدار العام الماضي، وناقش بعمق أسباب هذه الأحداث والتدابير الوقائية، وخلص إلى الثغرات الأمنية الشائعة في العقود الذكية، وقدم بعض النصائح الأمنية للجهات المعنية والمستخدمين العاديين.
وفقًا للإحصائيات، حدثت أكثر من 300 حالة أمنية متعلقة بالبلوك تشين في عام 2022، بلغت قيمتها 4.3 مليار دولار. ستقوم هذه المقالة بتحليل ثمانية حالات نموذجية بمزيد من التفصيل، حيث تكبدت معظم هذه الحالات خسائر تجاوزت 100 مليون دولار.
حدث جسر رونين
في مارس 2022، تعرضت شبكة Ronin الجانبية لـ Axie Infinity للاختراق، مما أدى إلى خسارة حوالي 600 مليون دولار. حصل القراصنة على ثقة الموظفين من خلال أساليب الهندسة الاجتماعية، مما سمح لهم بالتسلل إلى النظام والسيطرة على معظم عقد التحقق. وقد كشف هذا عن مشاكل في إدارة الأمان الداخلي للشركة، وانعدام الوعي الأمني لدى الموظفين. ويعتبر هذا الحدث مرتبطًا بجماعات القراصنة الكورية الشمالية، مما يعكس أن قوى القرصنة على مستوى الدولة بدأت تستهدف مشاريع blockchain.
حدث وورم هول
تم هجوم جسر Wormhole عبر السلاسل بسبب ثغرة في الكود، مما أدى إلى خسارة حوالي 120,000 ETH. يعود السبب إلى استخدام بعض الوظائف التي تم إهمالها. هذا يُذكر المطورين بضرورة تحديث استخدام المكتبات البرمجية إلى أحدث الإصدارات لتجنب مشاكل مماثلة.
حدث جسر نوماد
تسبب جسر Nomad عبر السلاسل بسبب مشكلة في إعدادات التهيئة، مما سمح للمهاجمين بإعادة تشغيل المعاملات الصالحة وسحب الأموال، مما أدى إلى خسارة تقارب 1.9 مليار دولار. في هذه الحالة، كان هناك عدد كبير من روبوتات MEV تشارك في انتزاع الأموال. المشاريع مفتوحة المصدر معرضة للهجمات التحليلية، وعندما تظهر ثغرة، قد تتعرض لضربة مدمرة.
أحداث Beanstalk
تعرض مشروع عملة مستقرة خوارزمية Beanstalk لهجوم قرض فوري، مما أدى إلى خسارة حوالي 1.82 مليون دولار. استغل المهاجمون ثغرة في آلية حوكمة المشروع، حيث حصلوا على حقوق تصويت كبيرة من خلال القرض الفوري، ونقلوا الأموال من خلال اقتراحات خبيثة. وهذا يعكس أن آلية الحوكمة اللامركزية إذا لم يتم تصميمها بشكل صحيح قد تؤدي أيضًا إلى مخاطر أمنية.
حدث Wintermute
تسبب صانع السوق Wintermute في خسارة حوالي 1.6 مليار دولار بسبب استخدامه لأداة توليد عناوين تحتوي على ثغرات، مما أدى إلى اختراق المفتاح الخاص. وهذا يذكرنا بضرورة تقييم الأمان عند استخدام أدوات مفتوحة المصدر.
حدث جسر هارموني
تم سرقة أكثر من 100 مليون دولار من جسر Harmony عبر السلاسل Horizon. ويشير التحليل إلى أن ذلك قد يكون من تنفيذ مجموعة قراصنة كورية شمالية، حيث أن الأسلوب مشابه لحدث Ronin. يبرز هذا مرة أخرى التهديد الذي تشكله القراصنة على مستوى الدول لصناعة العملات المشفرة.
حدث Ankr
تسبب مشروع Ankr في خسائر مالية بسبب سوء تصرف بعض الأفراد داخله. تكمن المشكلة الأساسية في سوء التحكم في ملكية العقد، بالإضافة إلى وجود ثغرات في إدارة الأمان الداخلية. وهذا يعكس أهمية إدارة الأمان الداخلية لفريق المشروع.
حدث مانغو
تعرضت منصة Mango لهجوم من قبل السوق، مما أدى إلى خسارة تقارب 1.15 مليار دولار. استغل المهاجمون مشكلة نقص السيولة في العملات الصغيرة على المنصة للتلاعب بالأسعار لتحقيق الأرباح. هذا يذكرنا بضرورة النظر في مخاطر مختلف الحالات القصوى.
بناءً على ما سبق، تواجه مشاريع Web3 تهديدات أمنية متعددة، وتحتاج إلى تعزيز الوقاية من عدة جوانب مثل الشفرة وآليات الحوكمة والإدارة الداخلية. كما يجب على المستخدمين تقييم المخاطر بشكل كامل عند المشاركة في المشاريع، وعدم الاكتفاء بالنظر إلى العائدات وتجاهل الأمان.
! Cobo DeFi Security Class I: مراجعة أحداث أمان DeFi لعام 2022