مراجعة أحداث هجوم الجسور عبر السلسلة: 10 حالات كبيرة مع أموال متعلقة قدرها 1.9 مليار دولار، 1.55 مليار تم استردادها أو تعويضها
مع التطور المستمر للنظام البيئي للبلوكشين، أصبحت الجسور عبر السلسلة كالبنية التحتية المهمة التي تربط بين سلاسل الكتل المختلفة، محط اهتمام كبير من حيث الأمان. في السنوات الأخيرة، أدت عدة حوادث هجوم على الجسور عبر السلسلة إلى خسائر مالية ضخمة، مما أثار نقاشًا واسعًا في الصناعة. ستستعرض هذه المقالة 10 حالات هجوم على الجسور عبر السلسلة لها تأثير عميق، وتلخص الدروس والعبر المستفادة منها.
ChainSwap: خسارة 8 ملايين دولار نتيجة لهجومين
في يوليو 2021، تعرضت ChainSwap لهجومين من قبل قراصنة في غضون 9 أيام فقط. تسبب الهجوم الأول في خسائر تقدر بحوالي 800,000 دولار، في حين أن الثاني بلغ 8,000,000 دولار، مما أثر على أكثر من 20 مشروعًا استخدمت ChainSwap للجسور عبر السلسلة.
بعد التحقيق، استغل المهاجمون ثغرة في البروتوكول المتعلقة بالتحقق من صحة التوقيعات، مما مكنهم من إتمام المعاملات باستخدام توقيعات تم إنشاؤها بأنفسهم. نظرًا لأن الخسارة الرئيسية كانت في رموز الحوكمة الخاصة بالمشروع، اختار العديد من المشاريع المتأثرة إجراء لقطات وإعادة إصدار الرموز لتعويض الخسائر لحامليها وLP.
شبكة بولي: استعادة كافة المبلغ المسروق الذي يبلغ 6.1 مليون دولار
في 10 أغسطس 2021، تعرضت شبكة بولي للهجوم الأكبر في ذلك الوقت على DeFi. قام القراصنة بسرقة حوالي 610 مليون دولار من الأصول عبر ثلاثة شبكات: إيثيريوم، سلسلة بينانس الذكية، وبوليجون.
استغل الهجوم ثغرة في منطق إدارة صلاحيات العقود في شبكة Poly. تمكن المتسلل من استبدال عنوان Keeper في سلسلة الهدف بعنوان يسيطر عليه، مما منحه صلاحيات توقيع نقل الأصول.
على الرغم من أن القراصنة خططوا بعناية للهجوم، إلا أنهم اختاروا في النهاية إعادة جميع الأموال المسروقة. أطلقت Poly Network على ذلك اسم "القراصنة ذوي القبعات البيضاء"، واقترحت تعيينهم كمستشارين أمنيين رئيسيين. هذه الحادثة تسلط الضوء على التحديات الأمنية الكبيرة التي تواجه الجسور عبر السلسلة.
متعددة السلاسل: تم تعويض خسارة 6 ملايين دولار بسبب ثغرة
في يناير 2022، اكتشفت Multichain ثغرة مهمة تؤثر على العديد من الرموز. على الرغم من إصلاح الثغرة، إلا أن بعض المستخدمين عانوا من خسائر بسبب عدم سحب التفويض في الوقت المناسب. وفقًا للتقرير الرسمي، تأثرت 7962 عنوان مستخدم، حيث تم سرقة أصول تقدر بحوالي 6040000 دولار.
أشار تحليل فريق الأمان إلى أن الهجوم ناتج عن إهمال Multichain في التحقق من شرعية الرموز المميزة التي أدخلها المستخدمون. وقد استعاد الفريق ما يقرب من 50% من الأموال المسروقة، واقترح خطة تعويض، لكن ذلك يقتصر فقط على المستخدمين الذين قاموا بإلغاء التفويض ضمن المدة المحددة.
QBridge: خسارة بقيمة 80 مليون دولار تعوض بنسبة 2%
في نهاية يناير 2022، تعرض الجسر عبر السلسلة QBridge الخاص ببروتوكول الإقراض Qubit لهجوم، مما أسفر عن خسارة حوالي 80 مليون دولار. استغل المهاجم ثغرة منطقية في QBridge عند معالجة تحويلات رموز القائمة البيضاء، وقام بنجاح بصك كميات كبيرة من رموز xETH في BSC من لا شيء، واستخدم هذه الرموز المزيفة لاقتراض أصول أخرى من Qubit.
حاليًا، مشروع Qubit قريب من التوقف، حيث لم يتم تعويض 98% من الأموال المسروقة، مما يعكس واقع صعوبة استعادة بعض المشاريع بعد تعرضها لحوادث أمنية كبيرة.
Meter.io: خسارة 4.4 مليون دولار، والتزام بتعويضها من الأرباح المستقبلية
في فبراير 2022، تعرض جسر Meter Passport عبر السلسلة لهجوم، مما أسفر عن خسارة قدرها 4.4 مليون دولار. اعترفت السلطات بأن المشكلة تكمن في "افتراض الثقة الخاطئة" في الشيفرة الأساسية، مما أتاح للمهاجمين تزوير تحويلات BNB و ETH.
كان من المخطط في البداية أن تستخدم Meter رمز MTRG لتعويض خسائر المستخدمين، ولكن بعد تصويت المجتمع تم اتخاذ قرار بإصدار رمز PASS الجديد كتعويض، وتم التعهد بإعادة الشراء باستخدام الإيرادات المستقبلية. ومع ذلك، لم يتم اتخاذ أي إجراء ملموس للشراء حتى الآن.
رونين: 6.2 مليار دولار مسروقة، وتم تعويضها بالكامل
في مارس 2022، تعرضت سلسلة Ronin التي تدعم Axie Infinity لسرقة كبيرة بلغت 620 مليون دولار. سلطت هذه الهجمة الضوء على خطورة الهندسة الاجتماعية في الأمن السيبراني. تمكن المهاجمون من اختراق نظام Sky Mavis من خلال خدعة توظيف مزيفة مخططة بعناية، مما أدى في النهاية إلى السيطرة على معظم عقد التحقق في شبكة Ronin.
على الرغم من أنه لم يتم استرداد الأموال المسروقة، إلا أن Sky Mavis نجحت في تقديم تعويض كامل للمستخدمين من خلال تمويل إضافي قدره 150 مليون دولار. وقد أدت هذه الحادثة أيضًا إلى تحديث شامل لآلية الأمان في شبكة Ronin.
وورم هول: خسائر بقيمة 3.26 مليون دولار، تعويض سريع
في فبراير 2022، تعرض بروتوكول عبر السلاسل Wormhole لعملية قرصنة، مما أدى إلى خسارة حوالي 120,000 ETH، بقيمة 326 مليون دولار. استغل المهاجمون ثغرة في تحقق التوقيع في عقد Solana، مما سمح لهم بصك كمية كبيرة من whETH المزيف.
من الجدير بالذكر أن Jump Crypto قامت بسرعة بضخ 120,000 ETH لسد الفجوة التمويلية لـ Wormhole، مما سمح للبروتوكول بالعودة إلى العمل بسرعة. تُظهر هذه الخطوة أهمية الدعم المالي القوي في التعامل مع الأزمات.
EvoDeFi: خسائر تصل إلى عشرات الملايين من الدولارات لم يتم التعامل معها
في يونيو 2022، انفصل USDT بشكل كبير في DEX ValleySwap ضمن نظام Oasis البيئي، مما أدى إلى خسائر متوقعة تبلغ عشرات الملايين من الدولارات. كانت المشكلة ناتجة عن عدم كفاية السيولة في سلسلة المصدر للجسر عبر السلسلة EVODeFi.
للأسف، لم يتم التعامل مع هذا الحدث بشكل صحيح حتى الآن. الأطراف المعنية تبرأت بسرعة من المسؤولية، بينما المشروع في الواقع في حالة انقطاع الاتصال، ولا يمكن تعويض خسائر المستخدمين. وهذا يبرز افتقار بعض المشاريع إلى الشعور بالمسؤولية والقدرة على الاستجابة في مواجهة الأزمات الكبرى.
Horizon: تم سرقة ما يقرب من 100 مليون دولار، لا يزال خطة التعويض قيد المناقشة
في يونيو 2022، تعرض الجسر عبر السلسلة الرسمي لـ Harmony، Horizon، لهجوم، مما أسفر عن خسارة حوالي 100 مليون دولار. أظهرت التحقيقات أن الهجوم من المحتمل أن يكون ناجماً عن تسريب مفتاح خاص، مما كشف عن المخاطر المحتملة لآلية التوقيع المتعدد.
اقترحت Harmony تعويض المستخدمين تدريجياً على مدى 3 سنوات من خلال زيادة إصدار الرموز، لكنها لم تتمكن من الحصول على دعم موحد من المجتمع. حالياً، لا يزال يتم وضع خطة تعويض جديدة، مما يعكس التحديات في تحقيق توازن بين مصالح جميع الأطراف والحفاظ على استقرار النظام البيئي.
نوماد: 1.9 مليار دولار أمريكي مفقودة، ومن المتوقع استرداد جزء من الأموال
في أغسطس 2022، تسبب خطأ برمجي بسيط في فقدان حوالي 190 مليون دولار من الأموال عبر الجسر عبر السلسلة Nomad. استغل المهاجمون خطأ في إعداد معلمات رئيسية أثناء ترقية العقد، مما أتاح لهم تنفيذ هجوم لسحب الأموال دون أي عمليات معقدة.
تتعلق هذه الحادثة بعدد كبير من العناوين، بما في ذلك بعض القراصنة الأخلاقيين. حتى الآن، تم الالتزام بإعادة جزء من الأموال، لكن لم يتم تحديد خطة التعويض المحددة بعد. يبرز هذا أهمية تدقيق الكود وإدارة الترقية في مشاريع DeFi.
الخلاصة والدروس المستفادة
من خلال مراجعة هذه الهجمات على الجسور عبر السلسلة، يمكننا أن نستخلص النقاط المهمة التالية:
الجسور عبر السلسلة كهدف عالي القيمة، تواجه دائمًا تهديدات أمنية كبيرة. حتى المشاريع ذات السيولة المرتفعة لا تسلم من الهجمات، ويجب على المستخدمين أن يظلوا في حالة تأهب عالية عند الاستخدام.
خلفية فريق المشروع وقوة التمويل مهمة للغاية لمعالجة الحوادث. الفرق القوية غالبًا ما تكون قادرة على استعادة الأصول أو دفع التعويضات بشكل أسرع، كما يتضح من حالات Poly Network وRonin وWormhole.
آلية المراقبة في الوقت الفعلي والاستجابة السريعة هي مفتاح الحماية من الهجمات. بعض المشاريع مثل بروتوكول Hop و StarGate تمكنت من منع الهجمات المحتملة من خلال اكتشاف ومعالجة الأنشطة المشبوهة في الوقت المناسب.
لا يمكن تجاهل أهمية تدقيق الكود، واختبار الأمان، وإدارة الترقية. العديد من الهجمات تنبع من أخطاء برمجية بسيطة أو ثغرات منطقية، مما يبرز الحاجة إلى تدابير أمان شاملة وصارمة.
تلعب إدارة المجتمع دورًا مهمًا في التعامل مع الأزمات. تساعد عملية وضع خطة تعويض شفافة وعادلة في الحفاظ على ثقة المستخدمين وتطوير المشروع على المدى الطويل.
مع استمرار تطور تقنية عبر السلاسل، ستظل الأمان القضية الأساسية في هذا المجال. يحتاج أصحاب المشاريع والمطورون والمستخدمون إلى البقاء يقظين لبناء نظام بيئي عبر السلاسل أكثر أمانًا وموثوقية.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 17
أعجبني
17
3
مشاركة
تعليق
0/400
OvertimeSquid
· منذ 5 س
كيف تبدو استغلالات الثغرات متشابهة هكذا؟ عدل النص والصق!
10 حالات هجوم عبر السلاسل: تحليل عميق للدروس والعبر خلف خسائر بقيمة 1.9 مليار دولار
مراجعة أحداث هجوم الجسور عبر السلسلة: 10 حالات كبيرة مع أموال متعلقة قدرها 1.9 مليار دولار، 1.55 مليار تم استردادها أو تعويضها
مع التطور المستمر للنظام البيئي للبلوكشين، أصبحت الجسور عبر السلسلة كالبنية التحتية المهمة التي تربط بين سلاسل الكتل المختلفة، محط اهتمام كبير من حيث الأمان. في السنوات الأخيرة، أدت عدة حوادث هجوم على الجسور عبر السلسلة إلى خسائر مالية ضخمة، مما أثار نقاشًا واسعًا في الصناعة. ستستعرض هذه المقالة 10 حالات هجوم على الجسور عبر السلسلة لها تأثير عميق، وتلخص الدروس والعبر المستفادة منها.
ChainSwap: خسارة 8 ملايين دولار نتيجة لهجومين
في يوليو 2021، تعرضت ChainSwap لهجومين من قبل قراصنة في غضون 9 أيام فقط. تسبب الهجوم الأول في خسائر تقدر بحوالي 800,000 دولار، في حين أن الثاني بلغ 8,000,000 دولار، مما أثر على أكثر من 20 مشروعًا استخدمت ChainSwap للجسور عبر السلسلة.
بعد التحقيق، استغل المهاجمون ثغرة في البروتوكول المتعلقة بالتحقق من صحة التوقيعات، مما مكنهم من إتمام المعاملات باستخدام توقيعات تم إنشاؤها بأنفسهم. نظرًا لأن الخسارة الرئيسية كانت في رموز الحوكمة الخاصة بالمشروع، اختار العديد من المشاريع المتأثرة إجراء لقطات وإعادة إصدار الرموز لتعويض الخسائر لحامليها وLP.
شبكة بولي: استعادة كافة المبلغ المسروق الذي يبلغ 6.1 مليون دولار
في 10 أغسطس 2021، تعرضت شبكة بولي للهجوم الأكبر في ذلك الوقت على DeFi. قام القراصنة بسرقة حوالي 610 مليون دولار من الأصول عبر ثلاثة شبكات: إيثيريوم، سلسلة بينانس الذكية، وبوليجون.
استغل الهجوم ثغرة في منطق إدارة صلاحيات العقود في شبكة Poly. تمكن المتسلل من استبدال عنوان Keeper في سلسلة الهدف بعنوان يسيطر عليه، مما منحه صلاحيات توقيع نقل الأصول.
على الرغم من أن القراصنة خططوا بعناية للهجوم، إلا أنهم اختاروا في النهاية إعادة جميع الأموال المسروقة. أطلقت Poly Network على ذلك اسم "القراصنة ذوي القبعات البيضاء"، واقترحت تعيينهم كمستشارين أمنيين رئيسيين. هذه الحادثة تسلط الضوء على التحديات الأمنية الكبيرة التي تواجه الجسور عبر السلسلة.
متعددة السلاسل: تم تعويض خسارة 6 ملايين دولار بسبب ثغرة
في يناير 2022، اكتشفت Multichain ثغرة مهمة تؤثر على العديد من الرموز. على الرغم من إصلاح الثغرة، إلا أن بعض المستخدمين عانوا من خسائر بسبب عدم سحب التفويض في الوقت المناسب. وفقًا للتقرير الرسمي، تأثرت 7962 عنوان مستخدم، حيث تم سرقة أصول تقدر بحوالي 6040000 دولار.
أشار تحليل فريق الأمان إلى أن الهجوم ناتج عن إهمال Multichain في التحقق من شرعية الرموز المميزة التي أدخلها المستخدمون. وقد استعاد الفريق ما يقرب من 50% من الأموال المسروقة، واقترح خطة تعويض، لكن ذلك يقتصر فقط على المستخدمين الذين قاموا بإلغاء التفويض ضمن المدة المحددة.
QBridge: خسارة بقيمة 80 مليون دولار تعوض بنسبة 2%
في نهاية يناير 2022، تعرض الجسر عبر السلسلة QBridge الخاص ببروتوكول الإقراض Qubit لهجوم، مما أسفر عن خسارة حوالي 80 مليون دولار. استغل المهاجم ثغرة منطقية في QBridge عند معالجة تحويلات رموز القائمة البيضاء، وقام بنجاح بصك كميات كبيرة من رموز xETH في BSC من لا شيء، واستخدم هذه الرموز المزيفة لاقتراض أصول أخرى من Qubit.
حاليًا، مشروع Qubit قريب من التوقف، حيث لم يتم تعويض 98% من الأموال المسروقة، مما يعكس واقع صعوبة استعادة بعض المشاريع بعد تعرضها لحوادث أمنية كبيرة.
Meter.io: خسارة 4.4 مليون دولار، والتزام بتعويضها من الأرباح المستقبلية
في فبراير 2022، تعرض جسر Meter Passport عبر السلسلة لهجوم، مما أسفر عن خسارة قدرها 4.4 مليون دولار. اعترفت السلطات بأن المشكلة تكمن في "افتراض الثقة الخاطئة" في الشيفرة الأساسية، مما أتاح للمهاجمين تزوير تحويلات BNB و ETH.
كان من المخطط في البداية أن تستخدم Meter رمز MTRG لتعويض خسائر المستخدمين، ولكن بعد تصويت المجتمع تم اتخاذ قرار بإصدار رمز PASS الجديد كتعويض، وتم التعهد بإعادة الشراء باستخدام الإيرادات المستقبلية. ومع ذلك، لم يتم اتخاذ أي إجراء ملموس للشراء حتى الآن.
رونين: 6.2 مليار دولار مسروقة، وتم تعويضها بالكامل
في مارس 2022، تعرضت سلسلة Ronin التي تدعم Axie Infinity لسرقة كبيرة بلغت 620 مليون دولار. سلطت هذه الهجمة الضوء على خطورة الهندسة الاجتماعية في الأمن السيبراني. تمكن المهاجمون من اختراق نظام Sky Mavis من خلال خدعة توظيف مزيفة مخططة بعناية، مما أدى في النهاية إلى السيطرة على معظم عقد التحقق في شبكة Ronin.
على الرغم من أنه لم يتم استرداد الأموال المسروقة، إلا أن Sky Mavis نجحت في تقديم تعويض كامل للمستخدمين من خلال تمويل إضافي قدره 150 مليون دولار. وقد أدت هذه الحادثة أيضًا إلى تحديث شامل لآلية الأمان في شبكة Ronin.
وورم هول: خسائر بقيمة 3.26 مليون دولار، تعويض سريع
في فبراير 2022، تعرض بروتوكول عبر السلاسل Wormhole لعملية قرصنة، مما أدى إلى خسارة حوالي 120,000 ETH، بقيمة 326 مليون دولار. استغل المهاجمون ثغرة في تحقق التوقيع في عقد Solana، مما سمح لهم بصك كمية كبيرة من whETH المزيف.
من الجدير بالذكر أن Jump Crypto قامت بسرعة بضخ 120,000 ETH لسد الفجوة التمويلية لـ Wormhole، مما سمح للبروتوكول بالعودة إلى العمل بسرعة. تُظهر هذه الخطوة أهمية الدعم المالي القوي في التعامل مع الأزمات.
EvoDeFi: خسائر تصل إلى عشرات الملايين من الدولارات لم يتم التعامل معها
في يونيو 2022، انفصل USDT بشكل كبير في DEX ValleySwap ضمن نظام Oasis البيئي، مما أدى إلى خسائر متوقعة تبلغ عشرات الملايين من الدولارات. كانت المشكلة ناتجة عن عدم كفاية السيولة في سلسلة المصدر للجسر عبر السلسلة EVODeFi.
للأسف، لم يتم التعامل مع هذا الحدث بشكل صحيح حتى الآن. الأطراف المعنية تبرأت بسرعة من المسؤولية، بينما المشروع في الواقع في حالة انقطاع الاتصال، ولا يمكن تعويض خسائر المستخدمين. وهذا يبرز افتقار بعض المشاريع إلى الشعور بالمسؤولية والقدرة على الاستجابة في مواجهة الأزمات الكبرى.
Horizon: تم سرقة ما يقرب من 100 مليون دولار، لا يزال خطة التعويض قيد المناقشة
في يونيو 2022، تعرض الجسر عبر السلسلة الرسمي لـ Harmony، Horizon، لهجوم، مما أسفر عن خسارة حوالي 100 مليون دولار. أظهرت التحقيقات أن الهجوم من المحتمل أن يكون ناجماً عن تسريب مفتاح خاص، مما كشف عن المخاطر المحتملة لآلية التوقيع المتعدد.
اقترحت Harmony تعويض المستخدمين تدريجياً على مدى 3 سنوات من خلال زيادة إصدار الرموز، لكنها لم تتمكن من الحصول على دعم موحد من المجتمع. حالياً، لا يزال يتم وضع خطة تعويض جديدة، مما يعكس التحديات في تحقيق توازن بين مصالح جميع الأطراف والحفاظ على استقرار النظام البيئي.
نوماد: 1.9 مليار دولار أمريكي مفقودة، ومن المتوقع استرداد جزء من الأموال
في أغسطس 2022، تسبب خطأ برمجي بسيط في فقدان حوالي 190 مليون دولار من الأموال عبر الجسر عبر السلسلة Nomad. استغل المهاجمون خطأ في إعداد معلمات رئيسية أثناء ترقية العقد، مما أتاح لهم تنفيذ هجوم لسحب الأموال دون أي عمليات معقدة.
تتعلق هذه الحادثة بعدد كبير من العناوين، بما في ذلك بعض القراصنة الأخلاقيين. حتى الآن، تم الالتزام بإعادة جزء من الأموال، لكن لم يتم تحديد خطة التعويض المحددة بعد. يبرز هذا أهمية تدقيق الكود وإدارة الترقية في مشاريع DeFi.
الخلاصة والدروس المستفادة
من خلال مراجعة هذه الهجمات على الجسور عبر السلسلة، يمكننا أن نستخلص النقاط المهمة التالية:
الجسور عبر السلسلة كهدف عالي القيمة، تواجه دائمًا تهديدات أمنية كبيرة. حتى المشاريع ذات السيولة المرتفعة لا تسلم من الهجمات، ويجب على المستخدمين أن يظلوا في حالة تأهب عالية عند الاستخدام.
خلفية فريق المشروع وقوة التمويل مهمة للغاية لمعالجة الحوادث. الفرق القوية غالبًا ما تكون قادرة على استعادة الأصول أو دفع التعويضات بشكل أسرع، كما يتضح من حالات Poly Network وRonin وWormhole.
آلية المراقبة في الوقت الفعلي والاستجابة السريعة هي مفتاح الحماية من الهجمات. بعض المشاريع مثل بروتوكول Hop و StarGate تمكنت من منع الهجمات المحتملة من خلال اكتشاف ومعالجة الأنشطة المشبوهة في الوقت المناسب.
لا يمكن تجاهل أهمية تدقيق الكود، واختبار الأمان، وإدارة الترقية. العديد من الهجمات تنبع من أخطاء برمجية بسيطة أو ثغرات منطقية، مما يبرز الحاجة إلى تدابير أمان شاملة وصارمة.
تلعب إدارة المجتمع دورًا مهمًا في التعامل مع الأزمات. تساعد عملية وضع خطة تعويض شفافة وعادلة في الحفاظ على ثقة المستخدمين وتطوير المشروع على المدى الطويل.
مع استمرار تطور تقنية عبر السلاسل، ستظل الأمان القضية الأساسية في هذا المجال. يحتاج أصحاب المشاريع والمطورون والمستخدمون إلى البقاء يقظين لبناء نظام بيئي عبر السلاسل أكثر أمانًا وموثوقية.