- الموضوع
18k درجة الشعبية
18k درجة الشعبية
32k درجة الشعبية
31k درجة الشعبية
3k درجة الشعبية
95k درجة الشعبية
28k درجة الشعبية
27k درجة الشعبية
7k درجة الشعبية
18k درجة الشعبية
- تثبيت
18k درجة الشعبية
18k درجة الشعبية
32k درجة الشعبية
31k درجة الشعبية
3k درجة الشعبية
95k درجة الشعبية
28k درجة الشعبية
27k درجة الشعبية
7k درجة الشعبية
18k درجة الشعبية
مراجعة هجمات الجسور عبر السلسلة: تهديد 2 مليار دولار واسترداد أو تعويض 1.55 مليار
مراجعة أحداث هجوم الجسور عبر السلسلة: تهديد لأموال تقارب 2 مليار دولار، وتم استرداد أو تعويض أكثر من 1.55 مليار دولار
توجد العديد من سلاسل الكتل العامة في بيئة سلسلة الكتل، ولكن نظرًا لتركيز الأصول الرئيسية في عدد قليل من السلاسل، أصبحت الجسور عبر السلسلة أداة مهمة لربط أصول سلاسل الكتل المختلفة. ومع ذلك، فإن الحوادث الأمنية المتكررة في DeFi مؤخرًا أثارت القلق حول أمان الجسور عبر السلسلة. ستقوم هذه المقالة بمراجعة 10 أحداث هجوم عبر السلسلة الكبيرة خلال السنوات القليلة الماضية، وتلخيص الدروس المستفادة، وتقديم مرجع لفرق التطوير والمستخدمين.
ChainSwap: فقدت حوالي 8.8 مليون دولار نتيجة لهجمتين
في يوليو 2021، تعرضت ChainSwap لهجومين هاكر خلال 9 أيام فقط. أدى الهجوم الأول إلى خسارة حوالي 800,000 دولار، بينما كانت خسارة الهجوم الثاني أعلى بكثير حيث بلغت 8,000,000 دولار، مما أثر على أكثر من 20 مشروعًا تستخدم ChainSwap للجسور عبر السلسلة.
سبب الحادث هو أن البروتوكول لم يتحقق بدقة من صحة التوقيع، مما أتاح للمهاجمين استخدام التوقيع الذي تم إنشاؤه ذاتيًا لإكمال المعاملة. نظرًا لأن الأصول المتضررة كانت في الغالب رموز الحوكمة، اختارت ChainSwap والعديد من المشاريع المتضررة تعويض حاملي الرموز ومقدمي السيولة من خلال لقطة وإعادة إصدار الرموز.
شبكة بولي: استعادة جميع الأصول المسروقة بقيمة 6.1 مليار دولار
في 10 أغسطس 2021، تعرض بروتوكول عبر السلاسل Poly Network لهجوم شديد، حيث فقدت حوالي 610 مليون دولار من الأصول عبر ثلاثة شبكات: إيثريوم و Binance Smart Chain و Polygon.
استغل الهجوم ثغرة في إدارة صلاحيات العقود الذكية لشبكة Poly. نجح المهاجم في استبدال عنوان مصادق السلسلة المستهدفة بعنوان يسيطر عليه، مما مكنه من التوقيع وتنفيذ عمليات نقل الأصول.
على الرغم من أن المهاجمين خططوا بعناية واستخدموا رموز الخصوصية لإخفاء مصدر الأموال، إلا أنهم اختاروا في النهاية إعادة جميع الأموال المسروقة. ثم أطلقت Poly Network على ذلك اسم "هاكر القبعة البيضاء"، واقترحت توظيفه كمستشار أمني رئيسي.
متعددة السلاسل: فقدت أصول بقيمة 6 ملايين دولار، وتم استرداد ما يقرب من نصفها
في يناير 2022، اكتشفت Multichain ثغرة خطيرة تؤثر على العديد من الرموز. على الرغم من إصلاح الثغرة، لا يزال هناك ما يقرب من 8000 عنوان مستخدم متأثر، مما أدى إلى خسائر تصل إلى حوالي 6.04 مليون دولار.
أشار تحليل فريق الأمان إلى أن الثغرة ناتجة عن إغفال في Multichain عند التحقق من صحة الرموز التي يدخلها المستخدم، حيث لم يتم أخذ في الاعتبار أن جميع الرموز لا تنفذ الوظيفة المحددة. وقد أدى ذلك إلى نقل أصول بعض المستخدمين المخولين إلى عنوان خبيث أنشأه المهاجم.
اتخذت Multichain إجراءات سريعة، واستعادت حوالي 50% من الأموال المسروقة في وقت قصير. اقترح الفريق بعد ذلك خطة تعويض، ولكنها كانت موجهة فقط للمستخدمين الذين قاموا بإلغاء تفويض العقد قبل الموعد المحدد.
QBridge: خسارة بقيمة 80 مليون دولار، تعويض بنسبة 2%
في نهاية يناير 2022، تعرض الجسر عبر السلسلة QBridge التابع لمنصة الإقراض Qubit لهجوم، مما أسفر عن خسائر تصل إلى 80 مليون دولار.
استغل المهاجمون ثغرة رئيسية في QBridge أثناء معالجة تحويلات الرموز المدرجة في القائمة البيضاء. نظرًا لعدم قيام النظام بتأكيد العنوان الصفري مرة ثانية، تمكن المهاجمون من سك كميات كبيرة من رموز xETH في شبكة BSC دون إيداع أي أصول فعلية. تم استخدام هذه الرموز المزيفة كضمانات لاستعارة رموز أخرى من Qubit، مما أدى إلى نفاد أموال المنصة.
حاليًا، وصلت نسبة استخدام Qubit إلى ما يقرب من الصفر، وتظهر البيانات الرسمية أن 98% من الأموال المسروقة لم يتم تعويضها بعد.
Meter.io: خسارة قدرها 4.4 مليون دولار، تعهد بسداد عوائد مستقبلية
في فبراير 2022، تعرضت Meter Passport الجسور عبر السلسلة لهجوم، مما أدى إلى خسارة قدرها 4.4 مليون دولار.
تفسير رسمي يقول إن المشكلة تكمن في "افتراض الثقة الخاطئ" في كود التمديد Meter، مما يمكّن المهاجمين من تزوير تحويلات BNB و ETH من خلال استدعاء وظيفة الإيداع الأساسية.
كانت Meter تخطط في البداية لتعويض خسائر المستخدمين باستخدام رمز MTRG، ولكن بعد تصويت المجتمع، تقرر إصدار رمز PASS الجديد كتعويض، وتعهدت بإعادة شراء هذه الرموز باستخدام العائدات المستقبلية. ومع ذلك، لم يتم إجراء أي عمليات إعادة شراء حتى الآن.
رونين: 6.2 مليار دولار مسروقة، تم تعويضها بالكامل
في مارس 2022، تعرضت سلسلة Ronin التي تقف وراء Axie Infinity لحدث أمان كبير، حيث خسرت حوالي 620 مليون دولار. من الجدير بالذكر أن الهجوم حدث في 23 مارس، لكنه لم يُكتشف إلا بعد حوالي أسبوع.
أظهرت التحقيقات أن هذه هجمة معقدة للهندسة الاجتماعية. قام المهاجمون من خلال عملية توظيف مزيفة بإغراء موظفي Sky Mavis (مطوري Axie Infinity و Ronin) بتحميل "خطاب القبول" الذي يحتوي على برامج ضارة. بهذه الطريقة، تمكن القراصنة من اختراق شبكة Ronin والسيطرة على العديد من عقد التحقق.
على الرغم من عدم استرداد الأموال المسروقة بشكل مباشر، أكملت Sky Mavis بسرعة جولة تمويل بقيمة 150 مليون دولار لتعويض خسائر المستخدمين. في نهاية يونيو، أعيد فتح جسر Ronin، وتمكن المستخدمون من الحصول على التعويض. ومع ذلك، بسبب الانخفاض الكبير في سعر ETH خلال هذه الفترة، تراجعت القيمة الفعلية للتعويض بنسبة تقارب الثلثين.
Wormhole: خسارة 3.26 مليار دولار، تم السداد الكامل
في أوائل فبراير 2022، تعرض بروتوكول عبر السلاسل Wormhole لهجوم، مما أدى إلى خسارة حوالي 120,000 قطعة من ETH، بقيمة 326 مليون دولار.
استغل الهجوم ثغرة في كود التحقق من توقيع العقد الأساسي لـ Wormhole على جانب Solana. نجح المهاجمون في تزوير رسالة "الحارس"، مما أدى إلى سك كمية كبيرة من whETH وسحب ما يعادلها من ETH من إيثيريوم.
لحسن الحظ، قامت الشركة الأم لـ Wormhole Jump Crypto بسرعة بضخ 120,000 ETH، مما عوض جميع الخسائر، مما سمح لـ Wormhole بالاستئناف السريع لعملياتها.
EvoDeFi: يُقدّر الخسائر بأكثر من عشرة ملايين دولار، ولم يتم التعامل معها
في يونيو 2022، فقد USDT قيمته بشكل خطير على أكبر DEX في نظام Oasis البيئي، ValleySwap، مما أدى إلى فقدان كميات كبيرة من الأموال. على الرغم من عدم الكشف عن المبلغ المحدد للخسارة، إلا أنه يقدر بمستوى يصل إلى عشرة ملايين دولار.
تكمن جذور المشكلة في أن الجسر عبر السلسلة EVODeFi المستخدم من قبل ValleySwap يعاني من نقص حاد في السيولة على السلسلة الأصلية. على الرغم من أن EVODeFi يلقي اللوم على حالة الذعر في السوق، إلا أن هذا التفسير ليس مقنعًا. أما Oasis فقد أكدت أنها ليست مرتبطة بـ ValleySwap وEvoDeFi، وأشارت إلى أن EvoDeFi يحمل مخاطر عالية.
للأسف، لم يتم تقديم أي حل جوهري لخسائر المستخدمين حتى الآن. يبدو أن الأطراف المعنية قد اختارت التهرب من المسؤولية، وقد توقفت وسائل التواصل الاجتماعي الرسمية لـ ValleySwap وEVODeFi عن التحديث منذ وقوع الحدث.
Horizon: خسارة تقترب من 100 مليون دولار، لا تزال خطة التعويض قيد المناقشة
في 24 يونيو 2022، تعرض الجسر عبر السلسلة Horizon الرسمي من Harmony لهجوم، مما أدى إلى خسارة مالية تقدر بنحو 100 مليون دولار.
اعترف ستيفن تسه، مؤسس هارموني، أن الهجوم قد يكون ناتجًا عن تسرب المفتاح الخاص. وشمل الهجوم أصولًا متعددة على سلسلة إيثريوم وسلسلة بي إن بي. بعد وقوع الحادث، رفعت هارزون عتبة التوقيع المتعدد من 5 من 2 إلى 5 من 4.
اقترحت Harmony إصدار عملة ONE بشكل إضافي على مدى ثلاث سنوات لتعويض خسائر المستخدمين جزئيًا، ولكنها لم تتمكن من الحصول على دعم موحد من المجتمع. حاليًا، يقوم الفريق بإعادة صياغة خطة التعويض.
نومات: تم استنزاف 1.9 مليار دولار من السيولة، ومن المتوقع استرداد جزء من الأموال
في أوائل أغسطس 2022، تعرض جسر Nomad عبر السلسلة لحادثة أمنية كبيرة، مما أدى إلى فقدان سريع للسيولة بقيمة 190 مليون دولار. كما أثرت هذه الحادثة بشكل غير مباشر على بروتوكول التداخل Layer2 Connext، مما تسبب في خسارة تبلغ حوالي 3.34 مليون دولار.
كانت أسباب الحادث تتعلق بـ Nomad التي قامت بشكل خاطئ بتهيئة الجذر الموثوق به إلى 0x00 خلال ترقية العقد. وهذا سمح لأي شخص بسحب الأموال من الجسور عبر السلسلة من خلال تعديل بسيط في معلمات المعاملة.
وفقًا للتحليل، فإن هذا الهجوم يشمل 1251 عنوان ETH، حيث تمثل 12 عنوان ENS 38% من إجمالي المبلغ المفقود. على الرغم من أن الجهة المسؤولة عن المشروع لم تقدم خطة تعويض واضحة، إلا أن بعض القراصنة الأخلاقيين قد أعربوا عن استعدادهم لإعادة الأموال، مما يجلب الأمل في استرداد جزء من الخسائر.
ملخص ورؤى
تُبرز الحوادث الأمنية للجسور عبر السلسلة تكرارًا المخاطر العالية في هذا المجال. حتى الجسور عبر السلاسل الشهيرة مثل Multichain وWormhole وPoly Network التي تحتل مراتب عالية في السيولة قد واجهت مشكلات أمنية، مما يُنبهنا إلى أن أي جسور عبر السلسلة قد تواجه تهديدات أمنية.
ومع ذلك، لاحظنا أيضاً أن المشاريع التي تتمتع بقوة خلفية أكبر ورأسمال وفير، غالباً ما تستطيع استرداد الأصول أو تعويض المستخدمين بشكل أكثر فعالية بعد وقوع حوادث أمنية. على سبيل المثال، تمكنت مشاريع مثل Poly Network وRonin Network وWormhole من تحقيق تعويض كامل أو جزء كبير من التعويض بعد تعرضها لسرقات ضخمة.
بالإضافة إلى ذلك، فإن قدرة الفريق على المراقبة في الوقت الحقيقي والاستجابة السريعة هي أيضًا ذات أهمية قصوى. على سبيل المثال، قام بروتوكول هوب وStarGate باتخاذ إجراءات سريعة بعد تلقي تقارير عن نشاط مشبوه، مما حال دون حدوث هجوم محتمل.
تذكرنا هذه الدروس أنه عند اختيار الجسور عبر السلسلة، يجب أن نأخذ في الاعتبار ليس فقط القوة التقنية لها، ولكن أيضًا خلفية فريق المشروع، والقدرة المالية، وكذلك القدرة على التعامل مع المخاطر. في الوقت نفسه، يجب على المستخدمين أيضًا الحفاظ على اليقظة، والتحقق من حالة التفويض بانتظام، والتصرف بحذر عند استخدام خدمات عبر السلاسل.