مراجعة أحداث الأمان للجسور عبر السلسلة: خسائر تقارب 2 مليار دولار، تم استرداد أو تعويض أكثر من 1.5 مليار دولار
يوجد في نظام بيئة blockchain مئات من سلاسل الكتل العامة، ولكن نظرًا لافتقار العديد من السلاسل للأصول الرئيسية، تحتاج إلى الحصول على الأصول من سلاسل الكتل العامة الرئيسية مثل Ethereum عبر الجسور عبر السلسلة. مؤخرًا، تكررت حوادث الأمان في مجال DeFi، وأصبحت الجسور عبر السلسلة هدفًا رئيسيًا للمهاجمين بسبب سيولتها العالية. ستستعرض هذه المقالة 10 حوادث كبيرة سابقة لهجمات الجسور عبر السلسلة، وستلخص الدروس المستفادة منها، لتذكير فرق التطوير والمستخدمين بضرورة البقاء vigilant.
من المهم أن نلاحظ أن مشاريع الجسور عبر السلسلة التي تتمتع بخلفية قوية وموارد مالية كافية، غالبًا ما تكون قادرة على استرداد الأصول أو تقديم تعويضات للمستخدمين بشكل أكثر فعالية بعد حدوث حوادث أمنية. لذلك، من الحكمة أن يفكر المستخدمون في قوة وسمعة المشروع عند اختيار الجسور عبر السلسلة.
ChainSwap: خسارة 8 مليون دولار، إعادة تشغيل المشروع
في يوليو 2021، تعرضت ChainSwap لهجومين من قبل قراصنة، مما أدى إلى خسائر تقدر بحوالي 8.8 مليون دولار. كانت نطاق الهجوم الثاني واسعاً، حيث أثر على أكثر من 20 مشروعاً استخدمت ChainSwap للجسور عبر السلسلة.
أظهرت التحقيقات أن سبب الهجوم هو عدم التحقق الصارم من صحة التوقيع في البروتوكول، مما سمح للمهاجمين باستخدام توقيعات تم إنشاؤها بأنفسهم لإكمال المعاملات. نظرًا لأن الخسائر تتعلق بشكل أساسي برموز الحوكمة الخاصة بالمشاريع، اختار العديد من المشاريع المتأثرة، بما في ذلك ChainSwap، إجراء لقطة وإعادة إصدار الرموز لتعويض حاملي الرموز ومقدمي السيولة.
شبكة بولي: 6.1 مليار دولار مسروقة، تم استردادها بالكامل
في 10 أغسطس 2021، تعرض بروتوكول التشغيل البيني عبر السلاسل Poly Network لهجوم واسع النطاق، حيث فقدت أصول تقدر بحوالي 610 مليون دولار على كل من إيثريوم وسلسلة بينانس الذكية وPolygon.
استغل المهاجمون ثغرة في منطق إدارة صلاحيات عقود Poly Network، من خلال تعديل عنوان موثق سلسلة الهدف، وتمكنوا من نقل كميات كبيرة من الأصول. على الرغم من أن أسلوب الهجوم كان بارعًا، إلا أن القراصنة أعادوا في النهاية جميع الأموال المسروقة. ثم وصفت Poly Network هذا بأنه "قراصنة القبعة البيضاء" واقترحت توظيفهم كاستشاريين رئيسيين للأمان.
متعددة السلاسل: خسارة 6 مليون دولار، تم تعويض جزء منها
في يناير 2022، اكتشفت Multichain ثغرة كبيرة تؤثر على عدة رموز. على الرغم من إصلاح الثغرة، إلا أن بعض المستخدمين تكبدوا خسائر بسبب عدم سحب التفويض في الوقت المناسب، بإجمالي حوالي 6040000 دولار.
أشار تحليل فريق الأمان من Slow Mist إلى أن سبب الهجوم هو وجود ثغرة في Multichain عند التحقق من قانونية الرموز المميزة المدخلة من قبل المستخدمين، حيث لم يؤخذ في الاعتبار أن ليس جميع الرموز المميزة الأساسية قد نفذت دالة permit. بعد الحادث، تم استرداد ما يقرب من 50% من الأموال المسروقة، وقد قدم فريق المشروع أيضًا خطة تعويض.
QBridge: خسارة 80 مليون دولار، تقدم التعويض بطيء
في 28 يناير 2022 ، تعرضت الجسور عبر السلسلة QBridge التابعة لبروتوكول الإقراض Qubit للاختراق ، مما أدى إلى خسائر تقدر بحوالي 80 مليون دولار.
استغل المهاجمون ثغرة في QBridge عند معالجة تحويلات الرموز المميزة في القائمة البيضاء دون التحقق مرة أخرى من عنوان الصفر. من خلال تعيين عنوان رمز ERC20 إلى عنوان الصفر، قام المهاجمون بصك كميات كبيرة من رموز xETH على شبكة BSC دون إيداع أي رموز، واستخدموا ذلك كضمان لاقتراض رموز أخرى.
حالياً، انخفض استخدام Qubit بشكل كبير، ولا يزال 98% من الأموال المسروقة غير مُعوضة.
Meter.io: خسارة 4.4 مليون دولار، والتزام بتعويض الأرباح المستقبلية
في 6 فبراير 2022 ، تعرض جسر Meter Passport عبر السلسلة لهجوم ، مما أسفر عن خسارة قدرها 4.4 مليون دولار.
أعلنت Meter رسميًا أن المشكلة تكمن في "افتراض الثقة الخاطئ" في كود التوسع الأصلي، مما يسمح للمهاجمين بتزوير تحويلات BNB و ETH. كانت خطة المشروع في البداية تعويض الخسائر باستخدام رمز MTRG، ولكن تم اتخاذ القرار لاحقًا بإصدار رمز PASS جديد كتعويض، مع الالتزام بإعادة شراء هذه الرموز من الإيرادات المستقبلية.
رونين: 6.2 مليار دولار تم سرقتها، وتم التعويض بالكامل
في مارس 2022، تعرضت سلسلة Ronin وراء Axie Infinity لحادث أمني كبير، مما أسفر عن خسارة تبلغ حوالي 620 مليون دولار. وقع هذا الهجوم في 23 مارس، لكن لم يتم اكتشافه إلا بعد 6 أيام.
أظهرت التحقيقات أن المهاجمين استخدموا أساليب الهندسة الاجتماعية لكسب ثقة موظفي Sky Mavis، مما سمح لهم بالسيطرة على عدة عقد تصديق في شبكة Ronin. على الرغم من عدم استرداد الأموال المسروقة، إلا أن Sky Mavis قدمت تعويضًا للمستخدمين من خلال تمويل قدره 150 مليون دولار.
وورم هول: خسارة 326 مليون دولار، تم التعويض بالكامل
في 3 فبراير 2022، تعرض بروتوكول التشغيل البيني عبر السلاسل Wormhole للاختراق، مما أدى إلى خسارة حوالي 120,000 قطعة من ETH، بقيمة 326 مليون دولار.
سبب الهجوم هو وجود ثغرة في كود التحقق من توقيع العقد الرئيسي لWormhole على شبكة Solana، مما مكن المهاجمين من تزوير رسالة "الوصي" لصك whETH. بعد وقوع الحادث، قامت Jump Crypto بسرعة بضخ 120,000 ETH لتعويض الخسائر، مما سمح لWormhole بالعودة إلى العمل.
EvoDeFi: تقديرات الخسائر تتجاوز عشرة ملايين دولار، ولا تزال غير محلولة
في 7 يونيو 2022 ، حدث انفصال حاد لـ USDT على DEX ValleySwap في نظام Oasis البيئي. كانت هذه المشكلة ناتجة عن نقص السيولة في سلسلة المصدر الخاصة بالجسور عبر السلسلة EVODeFi.
على الرغم من أن المبلغ المحدد للخسارة غير معروف، إلا أنه يُقدّر في مستوى عشرات الملايين من الدولارات. ومن المحزن أن كل من Oasis الرسمية و ValleySwap و EVODeFi لم يتمكنوا من تقديم حل فعال للمستخدمين.
Horizon: خسارة تقارب 100 مليون دولار، خطة التعويض قيد الإعداد
في 24 يونيو 2022 ، تعرض الجسر عبر السلسلة الرسمي لـ Harmony Horizon للهجوم ، مما أسفر عن خسارة حوالي 100 مليون دولار.
اعترف ستيفن تسه، مؤسس Harmony، بأن الهجوم قد يكون ناتجًا عن تسرب المفتاح الخاص. اقترح فريق المشروع تعويض خسائر المستخدمين من خلال إصدار المزيد من رموز ONE على مدار ثلاث سنوات، لكن هذا الاقتراح لم يحصل على توافق جماعي من المجتمع. حاليًا، يتم إعداد خطة تعويض جديدة.
نوماد: 1.9 مليار دولار مسروقة، ومن المتوقع استرداد جزء من الأموال
في 2 أغسطس 2022، تعرض جسر Nomad عبر السلسلة لحادث أمني重大، مما أدى إلى فقدان 190 مليون دولار من الأموال. كما أثر هذا الحدث على بروتوكول التفاعل بين الطبقات Layer2 Connext، مما تسبب في خسائر تقدر بنحو 3.34 مليون دولار.
تحليل يظهر أن الهجوم نشأ من Nomad، حيث تم تهيئة الجذر الموثوق به بشكل خاطئ إلى 0x00 أثناء ترقية العقد، مما سمح لأي شخص بسحب الأموال بسهولة من الجسور عبر السلسلة. حاليًا، أبدى بعض القراصنة الأخلاقيين استعدادهم لإعادة الأموال، لكن فريق المشروع لم يقدم بعد خطة تعويض واضحة.
الخاتمة
تسليط الضوء على تكرار حوادث الأمان في الجسور عبر السلسلة يظهر المخاطر العالية في هذا المجال. حتى مشاريع الجسور عبر السلسلة الكبيرة مثل Multichain وPortal (Wormhole) وPoly Network واجهت مشكلات أمنية. وهذا ينبهنا إلى أن أي جسر عبر السلسلة يمكن أن يواجه تهديدات أمنية.
ومع ذلك، لاحظنا أن المشاريع التي تتمتع بقوة خلفية كبيرة وموارد مالية كافية غالبًا ما تكون أكثر فعالية في استرداد الأصول أو تعويض المستخدمين عند مواجهة حوادث أمان. على سبيل المثال، بعد تعرضها لسرقات كبيرة للأموال، تمكنت كل من Poly Network وRonin Network وWormhole من استرداد الأموال أو تقديم تعويضات كافية.
بالإضافة إلى ذلك، فإن المراقبة في الوقت الحقيقي والاستجابة السريعة من قبل فريق المشروع أمران في غاية الأهمية. مثل بروتوكول Hop و StarGate، حيث اتخذوا إجراءات سريعة بعد تلقي تقارير عن أنشطة مشبوهة، مما ساعد في منع الهجمات المحتملة.
لذلك، بالنسبة للمستخدمين، عند اختيار الجسور عبر السلسلة، بالإضافة إلى النظر في العوامل التقنية، يجب عليهم تقييم خلفية المشروع، والقدرة المالية، وفعالية إدارة المخاطر. بالنسبة لفريق التطوير، فإن التدقيق الأمني المستمر، وإصلاح الثغرات بشكل سريع، وآلية الاستجابة للطوارئ المتكاملة هي العناصر الأساسية لضمان أمان الجسور عبر السلسلة.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
مراجعة أمان الجسور عبر السلسلة: خسائر بقيمة 2 مليار دولار تم استرداد 75% منها أو تعويضها
مراجعة أحداث الأمان للجسور عبر السلسلة: خسائر تقارب 2 مليار دولار، تم استرداد أو تعويض أكثر من 1.5 مليار دولار
يوجد في نظام بيئة blockchain مئات من سلاسل الكتل العامة، ولكن نظرًا لافتقار العديد من السلاسل للأصول الرئيسية، تحتاج إلى الحصول على الأصول من سلاسل الكتل العامة الرئيسية مثل Ethereum عبر الجسور عبر السلسلة. مؤخرًا، تكررت حوادث الأمان في مجال DeFi، وأصبحت الجسور عبر السلسلة هدفًا رئيسيًا للمهاجمين بسبب سيولتها العالية. ستستعرض هذه المقالة 10 حوادث كبيرة سابقة لهجمات الجسور عبر السلسلة، وستلخص الدروس المستفادة منها، لتذكير فرق التطوير والمستخدمين بضرورة البقاء vigilant.
من المهم أن نلاحظ أن مشاريع الجسور عبر السلسلة التي تتمتع بخلفية قوية وموارد مالية كافية، غالبًا ما تكون قادرة على استرداد الأصول أو تقديم تعويضات للمستخدمين بشكل أكثر فعالية بعد حدوث حوادث أمنية. لذلك، من الحكمة أن يفكر المستخدمون في قوة وسمعة المشروع عند اختيار الجسور عبر السلسلة.
ChainSwap: خسارة 8 مليون دولار، إعادة تشغيل المشروع
في يوليو 2021، تعرضت ChainSwap لهجومين من قبل قراصنة، مما أدى إلى خسائر تقدر بحوالي 8.8 مليون دولار. كانت نطاق الهجوم الثاني واسعاً، حيث أثر على أكثر من 20 مشروعاً استخدمت ChainSwap للجسور عبر السلسلة.
أظهرت التحقيقات أن سبب الهجوم هو عدم التحقق الصارم من صحة التوقيع في البروتوكول، مما سمح للمهاجمين باستخدام توقيعات تم إنشاؤها بأنفسهم لإكمال المعاملات. نظرًا لأن الخسائر تتعلق بشكل أساسي برموز الحوكمة الخاصة بالمشاريع، اختار العديد من المشاريع المتأثرة، بما في ذلك ChainSwap، إجراء لقطة وإعادة إصدار الرموز لتعويض حاملي الرموز ومقدمي السيولة.
شبكة بولي: 6.1 مليار دولار مسروقة، تم استردادها بالكامل
في 10 أغسطس 2021، تعرض بروتوكول التشغيل البيني عبر السلاسل Poly Network لهجوم واسع النطاق، حيث فقدت أصول تقدر بحوالي 610 مليون دولار على كل من إيثريوم وسلسلة بينانس الذكية وPolygon.
استغل المهاجمون ثغرة في منطق إدارة صلاحيات عقود Poly Network، من خلال تعديل عنوان موثق سلسلة الهدف، وتمكنوا من نقل كميات كبيرة من الأصول. على الرغم من أن أسلوب الهجوم كان بارعًا، إلا أن القراصنة أعادوا في النهاية جميع الأموال المسروقة. ثم وصفت Poly Network هذا بأنه "قراصنة القبعة البيضاء" واقترحت توظيفهم كاستشاريين رئيسيين للأمان.
متعددة السلاسل: خسارة 6 مليون دولار، تم تعويض جزء منها
في يناير 2022، اكتشفت Multichain ثغرة كبيرة تؤثر على عدة رموز. على الرغم من إصلاح الثغرة، إلا أن بعض المستخدمين تكبدوا خسائر بسبب عدم سحب التفويض في الوقت المناسب، بإجمالي حوالي 6040000 دولار.
أشار تحليل فريق الأمان من Slow Mist إلى أن سبب الهجوم هو وجود ثغرة في Multichain عند التحقق من قانونية الرموز المميزة المدخلة من قبل المستخدمين، حيث لم يؤخذ في الاعتبار أن ليس جميع الرموز المميزة الأساسية قد نفذت دالة permit. بعد الحادث، تم استرداد ما يقرب من 50% من الأموال المسروقة، وقد قدم فريق المشروع أيضًا خطة تعويض.
QBridge: خسارة 80 مليون دولار، تقدم التعويض بطيء
في 28 يناير 2022 ، تعرضت الجسور عبر السلسلة QBridge التابعة لبروتوكول الإقراض Qubit للاختراق ، مما أدى إلى خسائر تقدر بحوالي 80 مليون دولار.
استغل المهاجمون ثغرة في QBridge عند معالجة تحويلات الرموز المميزة في القائمة البيضاء دون التحقق مرة أخرى من عنوان الصفر. من خلال تعيين عنوان رمز ERC20 إلى عنوان الصفر، قام المهاجمون بصك كميات كبيرة من رموز xETH على شبكة BSC دون إيداع أي رموز، واستخدموا ذلك كضمان لاقتراض رموز أخرى.
حالياً، انخفض استخدام Qubit بشكل كبير، ولا يزال 98% من الأموال المسروقة غير مُعوضة.
Meter.io: خسارة 4.4 مليون دولار، والتزام بتعويض الأرباح المستقبلية
في 6 فبراير 2022 ، تعرض جسر Meter Passport عبر السلسلة لهجوم ، مما أسفر عن خسارة قدرها 4.4 مليون دولار.
أعلنت Meter رسميًا أن المشكلة تكمن في "افتراض الثقة الخاطئ" في كود التوسع الأصلي، مما يسمح للمهاجمين بتزوير تحويلات BNB و ETH. كانت خطة المشروع في البداية تعويض الخسائر باستخدام رمز MTRG، ولكن تم اتخاذ القرار لاحقًا بإصدار رمز PASS جديد كتعويض، مع الالتزام بإعادة شراء هذه الرموز من الإيرادات المستقبلية.
رونين: 6.2 مليار دولار تم سرقتها، وتم التعويض بالكامل
في مارس 2022، تعرضت سلسلة Ronin وراء Axie Infinity لحادث أمني كبير، مما أسفر عن خسارة تبلغ حوالي 620 مليون دولار. وقع هذا الهجوم في 23 مارس، لكن لم يتم اكتشافه إلا بعد 6 أيام.
أظهرت التحقيقات أن المهاجمين استخدموا أساليب الهندسة الاجتماعية لكسب ثقة موظفي Sky Mavis، مما سمح لهم بالسيطرة على عدة عقد تصديق في شبكة Ronin. على الرغم من عدم استرداد الأموال المسروقة، إلا أن Sky Mavis قدمت تعويضًا للمستخدمين من خلال تمويل قدره 150 مليون دولار.
وورم هول: خسارة 326 مليون دولار، تم التعويض بالكامل
في 3 فبراير 2022، تعرض بروتوكول التشغيل البيني عبر السلاسل Wormhole للاختراق، مما أدى إلى خسارة حوالي 120,000 قطعة من ETH، بقيمة 326 مليون دولار.
سبب الهجوم هو وجود ثغرة في كود التحقق من توقيع العقد الرئيسي لWormhole على شبكة Solana، مما مكن المهاجمين من تزوير رسالة "الوصي" لصك whETH. بعد وقوع الحادث، قامت Jump Crypto بسرعة بضخ 120,000 ETH لتعويض الخسائر، مما سمح لWormhole بالعودة إلى العمل.
EvoDeFi: تقديرات الخسائر تتجاوز عشرة ملايين دولار، ولا تزال غير محلولة
في 7 يونيو 2022 ، حدث انفصال حاد لـ USDT على DEX ValleySwap في نظام Oasis البيئي. كانت هذه المشكلة ناتجة عن نقص السيولة في سلسلة المصدر الخاصة بالجسور عبر السلسلة EVODeFi.
على الرغم من أن المبلغ المحدد للخسارة غير معروف، إلا أنه يُقدّر في مستوى عشرات الملايين من الدولارات. ومن المحزن أن كل من Oasis الرسمية و ValleySwap و EVODeFi لم يتمكنوا من تقديم حل فعال للمستخدمين.
Horizon: خسارة تقارب 100 مليون دولار، خطة التعويض قيد الإعداد
في 24 يونيو 2022 ، تعرض الجسر عبر السلسلة الرسمي لـ Harmony Horizon للهجوم ، مما أسفر عن خسارة حوالي 100 مليون دولار.
اعترف ستيفن تسه، مؤسس Harmony، بأن الهجوم قد يكون ناتجًا عن تسرب المفتاح الخاص. اقترح فريق المشروع تعويض خسائر المستخدمين من خلال إصدار المزيد من رموز ONE على مدار ثلاث سنوات، لكن هذا الاقتراح لم يحصل على توافق جماعي من المجتمع. حاليًا، يتم إعداد خطة تعويض جديدة.
نوماد: 1.9 مليار دولار مسروقة، ومن المتوقع استرداد جزء من الأموال
في 2 أغسطس 2022، تعرض جسر Nomad عبر السلسلة لحادث أمني重大، مما أدى إلى فقدان 190 مليون دولار من الأموال. كما أثر هذا الحدث على بروتوكول التفاعل بين الطبقات Layer2 Connext، مما تسبب في خسائر تقدر بنحو 3.34 مليون دولار.
تحليل يظهر أن الهجوم نشأ من Nomad، حيث تم تهيئة الجذر الموثوق به بشكل خاطئ إلى 0x00 أثناء ترقية العقد، مما سمح لأي شخص بسحب الأموال بسهولة من الجسور عبر السلسلة. حاليًا، أبدى بعض القراصنة الأخلاقيين استعدادهم لإعادة الأموال، لكن فريق المشروع لم يقدم بعد خطة تعويض واضحة.
الخاتمة
تسليط الضوء على تكرار حوادث الأمان في الجسور عبر السلسلة يظهر المخاطر العالية في هذا المجال. حتى مشاريع الجسور عبر السلسلة الكبيرة مثل Multichain وPortal (Wormhole) وPoly Network واجهت مشكلات أمنية. وهذا ينبهنا إلى أن أي جسر عبر السلسلة يمكن أن يواجه تهديدات أمنية.
ومع ذلك، لاحظنا أن المشاريع التي تتمتع بقوة خلفية كبيرة وموارد مالية كافية غالبًا ما تكون أكثر فعالية في استرداد الأصول أو تعويض المستخدمين عند مواجهة حوادث أمان. على سبيل المثال، بعد تعرضها لسرقات كبيرة للأموال، تمكنت كل من Poly Network وRonin Network وWormhole من استرداد الأموال أو تقديم تعويضات كافية.
بالإضافة إلى ذلك، فإن المراقبة في الوقت الحقيقي والاستجابة السريعة من قبل فريق المشروع أمران في غاية الأهمية. مثل بروتوكول Hop و StarGate، حيث اتخذوا إجراءات سريعة بعد تلقي تقارير عن أنشطة مشبوهة، مما ساعد في منع الهجمات المحتملة.
لذلك، بالنسبة للمستخدمين، عند اختيار الجسور عبر السلسلة، بالإضافة إلى النظر في العوامل التقنية، يجب عليهم تقييم خلفية المشروع، والقدرة المالية، وفعالية إدارة المخاطر. بالنسبة لفريق التطوير، فإن التدقيق الأمني المستمر، وإصلاح الثغرات بشكل سريع، وآلية الاستجابة للطوارئ المتكاملة هي العناصر الأساسية لضمان أمان الجسور عبر السلسلة.