لماذا ستؤدي طبقات الأمان المعيارية إلى إحداث تغييرات في أمان Web3؟
blockchain المعياري، تحليل شبكة GoPlus: لماذا ستحدث طبقة الأمان المعيارية تغييرات على أمان Web3؟ Golden Finance، هل ستكون الشبكة الموحدة الآمنة هي الحل الأمثل؟
JinseFinanceالمصدر: تكنولوجيا Shenzhen Lingshi
2023 هو عام الابتكار المتنوع في مجال العملات المشفرة العام العالمي، ولكن وراء هذا الابتكار، وقعت أيضًا العديد من الحوادث الأمنية المروعة. أصدر فريق أمان تقنية Zero-Hour "تقرير أبحاث أمان صناعة Web3 العالمية لعام 2023"، الذي استعرض السياسات العالمية لصناعة Web3 في عام 2023. وقد غطت المسارات الرئيسية المفاهيم الأساسية والحوادث الأمنية ومبالغ الخسارة وأنواع الهجمات، وأجرت مراجعة الحوادث الأمنية النموذجية، وتم إجراء تحليل تفصيلي واقتراح خطط وتدابير السلامة. نأمل أن نساعد الممارسين والمستخدمين على فهم الوضع الحالي لأمن Web3، وتحسين الوعي بأمن الشبكة، وحماية الأصول الرقمية، واتخاذ الاحتياطات الأمنية.
1. في عام 2023، ستصل القيمة السوقية الإجمالية للعملات المشفرة في صناعة Web3 العالمية إلى حد أقصى قدره 1.3 تريليون دولار أمريكي، متأثرة بانفجارات الصناعة، مقارنة بأعلى قيمة سوقية إجمالية في العام الماضي تبلغ 2.4 تريليون دولار أمريكي. دولار، انخفض هذا العام، ولكن بشكل عام عدد الأصول يتزايد باستمرار.
2. وفقًا لإحصائيات شركة Zero Hour Technology، وقع إجمالي 506 حوادث أمنية في عام 2023، وبلغت الخسائر التراكمية 11 مليار دولار أمريكي. مقارنة بعام 2022، هناك 110 حوادث أمنية جديدة لـ Web3 هذا العام، بزيادة سنوية قدرها 65.3%.
3. وقع إجمالي 435 حادثًا أمنيًا في المسارات الستة الرئيسية لـ Web3: السلسلة العامة، والجسر عبر السلسلة، والمحفظة، والتبادل، وNFT، وDeFi، مما تسبب في خسائر تزيد عن 7.983 مليار دولار أمريكي. بالإضافة إلى ذلك، أصبحت المجالات الناشئة مثل GameFi وDAO أهدافًا للمتسللين، حيث يتسبب الاحتيال والمحتالون المستمر في خسائر فادحة.
4. ستؤدي الحوادث الأمنية النموذجية التي تتجاوز خسائرها 100 مليون دولار أمريكي في عام 2023 إلى خسارة إجمالية قدرها 3.2 مليار دولار أمريكي، وهو ما يمثل 29% من إجمالي الخسارة في عام 2023. يشمل الممثلون النموذجيون: بورصة العملات المشفرة Bitzlato Lianchuang التي اعترفت بغسل أموال بقيمة 700 مليون دولار أمريكي، واستغلت VenusProtoco ثغرة Binance Bridge لسرقة BNB بقيمة 600 مليون دولار أمريكي تقريبًا، وتعرض الجسر عبر السلسلة Wormhole للهجوم وسرقة ما يقرب من 323 مليون دولار أمريكي من ETH؛ تم استغلال ثغرة Dfyn في البورصة اللامركزية متعددة السلاسل (DEX)، مما تسبب في خسارة قدرها 300 مليون دولار أمريكي.
5. في عام 2023، ستكون هناك أنواع مختلفة من الهجمات في حوادث أمان Web3 العالمية. وانطلاقًا من عدد الحوادث الأمنية، فإن أهم 5 أنواع من الهجمات النموذجية هي: هجمات القراصنة، والثغرات الأمنية، وسرقة الأصول، والتصيد الاحتيالي وأذونات غير صحيحة. من حيث حجم الخسائر، فإن أهم خمسة أنواع من الهجمات النموذجية هي: هجمات القراصنة، والثغرات الأمنية، وسرقة الأصول، وهجمات القروض السريعة، والاحتيال.
6. الحالة التنظيمية الأكثر تمثيلاً هذا العام هي: أصبحت منظمة القراصنة الكورية الشمالية Lazarus أخطر منظمة APT تؤثر على مجتمع Web 3. وفي عام 2023، تسببت مجموعة Lazarus في خسائر لا تقل عن 750 مليون دولار، وهو ما يمثل 20% من إجمالي المبلغ المسروق في مجال العملات المشفرة في عام 2023. قامت CertiK بتحليل خمس هجمات رئيسية للعملات المشفرة في عام 2023، بما في ذلك Atomic Wallet وAlphapo وCoinsPaid وStake.com وCoinEx، مما أدى إلى خسائر قدرها 290 مليون دولار.
يشير Web3 إلى جيل جديد من الشبكات القائمة على تقنية التشفير، ودمج تقنية blockchain، واقتصاديات الرمز المميز، واللامركزية، وتقنيات وأفكار مختلفة مثل نظرية التنظيم واللعبة التي تم اقتراحها من قبل المؤسس المشارك لـ Ethereum جافين وود في عام 2014. تم بناء Web3 على أساس blockchain، ومنذ عام 2008 حتى الآن، تم تطوير تقنية blockchain لأكثر من 15 عامًا. لا يمكن فصل اندلاع صناعة Web3 في عام 2023 عن تراكم سنوات عديدة من تطوير صناعة blockchain.
من وجهة نظر المستخدم، يمكن تقسيم نظام Web3 البيئي إلى طبقة أساسية وطبقة تطبيق وخدمات خارجية. تعتمد الطبقة الأساسية بشكل أساسي على السلاسل العامة والجسور عبر السلاسل وسلاسل التحالف لتوفير البنية التحتية للشبكة لـ Web3؛ وتعتمد طبقة التطبيق بشكل أساسي على APP (التطبيقات المركزية) وDAPP (التطبيقات اللامركزية)، والتي يشيع استخدامها من قبل المستخدمين. تتضمن التطبيقات التي سيتم التفاعل معها منصات التداول، والمحافظ، وDeFi، وNFT، وGameFi، وDAO، وبرامج التخزين والبرامج الاجتماعية، وما إلى ذلك. تعمل الطبقة الأساسية وطبقة التطبيق على تعزيز ازدهار نظام Web3 البيئي، ولكنها تسبب أيضًا مخاطر أمنية كبيرة على Web3. يعد النظام البيئي للخدمة طرفًا ثالثًا في صناعة Web3. تقدم وسائل الإعلام وحاضنات التعليم والمؤسسات الاستثمارية المساعدة لهذه الصناعة. تعد مؤسسات الخدمات الأمنية مثل Zero Hour Technology جزءًا لا غنى عنه لحماية أمان Web3.
اعتبارًا من ديسمبر 2023، وفقًا لإحصائيات CoinMarketCap، وصلت القيمة السوقية الإجمالية للعملات المشفرة لصناعة Web3 العالمية إلى ذروة بلغت 2.4 تريليون دولار أمريكي، متأثرًا بانفجارات الصناعة، انخفض هذا العام مقارنة بأعلى قيمة سوقية إجمالية بلغت 2.97 تريليون دولار أمريكي في العام الماضي . على الرغم من أن إجمالي القيمة السوقية يتقلب، إلا أن الحجم الإجمالي للأصول يتوسع باستمرار. نظرًا للوتيرة السريعة للابتكار في الصناعة، وضعف الوعي الأمني لدى المستخدم، ونقص الإشراف، والمشكلات الأمنية البارزة، أصبح Web3 "آلة صرف" للمتسللين.
وفقًا لإحصائيات شركة Zero Hour Technology، وقع إجمالي 506 حوادث أمنية في عام 2023، وبلغت الخسائر التراكمية 11 مليار دولار أمريكي. بالمقارنة مع عام 2022، هناك 116 حادثًا أمنيًا جديدًا لـ Web3 هذا العام، بزيادة سنوية قدرها 38٪. من بينها، وقع 152 حادثًا أمنيًا في المسارات الستة الرئيسية للسلسلة العامة والجسر عبر السلسلة والمحفظة والبورصة وNFT وDeFi، مما تسبب في خسائر تزيد عن 4.08 مليار دولار أمريكي.
بالإضافة إلى المسارات الستة الرئيسية المذكورة أعلاه، كان هناك إجمالي 354 حادثًا أمنيًا آخر، بلغت خسائرها 6.92 مليار دولار أمريكي. وأصبحت المجالات الناشئة مثل GameFi وDAO أهدافًا للقراصنة والاحتيال و لقد ظهر المحتالون واحدًا تلو الآخر. مع دخول العديد من العمالقة إلى Metaverse وNFT، سيستمر حجم الأصول الموجودة على السلسلة في النمو في المستقبل، وقد يستمر عدد انتهاكات أمان شبكة Web3 في الارتفاع.
وفقًا لإحصائيات Zero Hour Technology، من بين المسارات الستة الرئيسية لنظام Web3 البيئي العالمي في عام 2023: وقع 13 حادثًا أمنيًا في السلاسل العامة، مع خسارة إجمالية تبلغ حوالي 280 مليون دولار أمريكي؛ ووقع 18 حادثًا أمنيًا في الجسور عبر السلسلة، مع خسارة إجمالية تبلغ حوالي 280 مليون دولار أمريكي؛ بلغت الخسارة 1.21 مليار دولار أمريكي؛ وقع 19 حادثًا أمنيًا في البورصات، مع خسارة إجمالية قدرها 1.208 مليار دولار أمريكي؛ ووقع 35 حادثًا أمنيًا في المحافظ، مع خسارة إجمالية بقيمة 600 مليون دولار أمريكي، ووقع 21 حادثًا أمنيًا في DeFi، مع خسارة إجمالية قدرها 720 مليون دولار أمريكي، ووقع 43 حادثًا أمنيًا في NFT منذ ذلك الحين، تجاوزت الخسائر 62 مليون دولار أمريكي.
انطلاقًا من عدد حوادث السلامة التي حدثت في حلبات السباق الكبرى، فإن NFT لديها أكبر عدد من الحوادث الأمنية، وهو أمر لا ينفصل عن حقيقة أنها أصبحت مضمارًا شائعًا تسعى إليه الصناعة في عام 2023. من ناحية أخرى، نظرًا للزيادة في عدد الأشخاص الذين يدخلون صناعة Web3، أصبحت المحافظ والتمويل اللامركزي (DeFi) أكثر المناطق تضررًا من الحوادث الأمنية. ومن حيث حجم الخسائر، احتلت الجسور عبر السلاسل المرتبة الأولى وتكبدت أكبر الخسائر.
في عام 2023، انطلاقًا من عدد حوادث أمان Web3 العالمية، فإن أهم 5 أنواع من الهجمات النموذجية هي: هجمات القرصنة، تمثل 47%؛ سرقة الأصول، تمثل 29.6%؛ الثغرات الأمنية، تمثل 20.1%؛ هجمات التصيد، المحاسبة بنسبة 13.8%، والأذونات الخاطئة بنسبة 13.4%.
من حيث مبلغ الخسارة، فإن أهم خمسة أنواع من الهجمات النموذجية لحوادث أمان Web3 العالمية هي: هجوم القراصنة، مبلغ الخسارة 6.05 مليار دولار أمريكي؛ الضعف الأمني، مبلغ الخسارة 4.8 مليار دولار أمريكي؛ سرقة الأصول ، مبلغ الخسارة 3.04 مليار دولار أمريكي دولار أمريكي؛ هجوم القروض السريعة، مبلغ الخسارة 1.26 مليار دولار أمريكي؛ الاحتيال، مبلغ الخسارة 750 مليون دولار أمريكي.
ومن الجدير بالذكر أن العديد من الحوادث الأمنية التي وقعت في عام 2023 تعرضت لأكثر من هجوم، وقد أدت بعض الحوادث إلى سرقة الأصول، وسرقة المفتاح الخاص، وهجمات القراصنة، وتسرب المفتاح الخاص، والثغرات الأمنية في نفس الوقت.
ملاحظة: يتم شرح أنواع الهجمات الرئيسية على النحو التالي
سرقة الأصول: سرقة العملة الافتراضية، سرقة النظام الأساسي
هجوم المتسللين: المتسللين وأنواع أخرى من الهجمات
تسرب المعلومات: تسرب المفتاح الخاص، وما إلى ذلك.
الثغرات الأمنية: ثغرات أمنية في العقود، وثغرات وظيفية
أذونات غير صحيحة: إعدادات أذونات النظام غير صحيحة، وأذونات عقد غير صحيحة، وما إلى ذلك.
< p>هجوم التصيد الاحتيالي: التصيد الاحتياليالتلاعب بالأسعار: التلاعب بالأسعار
وفقًا لمعلومات المراقبة من منصة الاستخبارات الأمنية الخاصة بتقنية blockchain الخاصة بـ Zero Time Technology، ستكلف الحوادث الأمنية النموذجية في عام 2023 أكثر من 100 مليون دولار أمريكي ، بإجمالي خسارة 3.2 مليار دولار أمريكي، تشكل 29% من إجمالي الخسائر في 2023.
في عام 2023، سيشهد الجيل التالي من Internet Web3 المستند إلى blockchain ذروة النمو. في مواجهة هذه الصناعة الناشئة بالتكنولوجيا المالية الخصائص، وتراقبها الحكومات والهيئات التنظيمية العالمية عن كثب. لدى Web3 مجموعة واسعة من مجالات التطبيق والتوزيع والتعاون العالمي والمحتوى التقني العالي، بالإضافة إلى ذلك، فإن البلدان في جميع أنحاء العالم وهيئاتها التنظيمية الداخلية ليست موحدة في اتجاه تطوير صناعة Web3 وتعريف الأصول الرقمية، والتي وقد جلبت تحديات هائلة للرقابة المالية العالمية. في عام 2023، ستحدث الجرائم المالية وهجمات القراصنة والاحتيال والابتزاز وحوادث غسيل الأموال بشكل متكرر، مع كميات هائلة من الأموال وخسائر جسيمة وتأثيرات واسعة النطاق. لضمان أمان Web3 والامتثال له، أدخلت العديد من البلدان سياسات تنظيمية.
من منظور السياسات التنظيمية العالمية لـ Web3 ككل، تعد حماية المستثمرين ومكافحة غسيل الأموال (AML) بمثابة إجماع عالمي، ويختلف قبول عمليات تبادل العملات المشفرة والإشراف عليها بشكل كبير من بلد إلى آخر. اقترح أعضاء الكونجرس الأمريكي "ضمان حدوث Web3 في الولايات المتحدة" ويعملون على تسريع الابتكار التنظيمي؛ ولدى دول الاتحاد الأوروبي سياسات واضحة وإيجابية نسبيًا؛ وتتأثر اليابان وسنغافورة وكوريا الجنوبية بالعواصف الرعدية في عام 2023، وأصبح الإشراف أكثر صرامة. لا يزال البر الرئيسي للصين يشجع تطبيق تقنية بلوكتشين، ويحظر بشكل صارم على المؤسسات المالية ومنظمات الدفع المشاركة في معاملات العملة الافتراضية وجمع الأموال بشكل غير قانوني، ويزيد من الحملة ضد جرائم العملة المشفرة. وتدعم هونج كونج، الصين، بشكل كامل تطوير الأصول الافتراضية وتطبق نظام ترخيص، وتعد الإمارات العربية المتحدة هي الأكثر نشاطًا في العالم في احتضان أصول العملات المشفرة. بالنسبة إلى NFT والعملات المستقرة والتمويل اللامركزي وبروتوكولات الأصول وحقول DAO، فإن العالم في حالة من الاستكشاف التنظيمي.
Web3 هي صناعة خاصة نسبيًا، وأبرز ما يميزها هو أنه فهي تنطوي على عدد كبير من الأرقام في إدارة الأصول المشفرة، حيث يتم تخزين عشرات الملايين من الأصول على السلسلة، ويتم تأكيد الحقوق من خلال مفتاح خاص فريد، ومن يتقن هذا المفتاح الخاص فهو مالك الأصول. إذا تعرض تطبيق أو بروتوكول في النظام البيئي لهجوم من قبل المتسللين، فقد يتسبب ذلك في خسائر فادحة. مع التطور السريع للنظام البيئي، تظهر أساليب الهجوم وطرق الاحتيال الجديدة المختلفة الواحدة تلو الأخرى، وتتقدم الصناعة بأكملها على حافة الأمان. قام فريق أمان تكنولوجيا Zero-Hour بمراقبة وإحصاء أنواع الهجمات الموجودة في Web3. حاليًا، توجد أنواع الهجمات التالية التي تشكل تهديدات لأمن Web3: هجمات APT، والتصيد الاحتيالي بالهندسة الاجتماعية، وهجمات سلسلة التوريد، وهجمات القروض السريعة وهجمات العقود الذكية وهجمات الثغرات الأمنية على جانب الويب وثغرات يوم الصفر والاحتيال عبر الإنترنت.
بعد ذلك، سنبدأ من منظور السلاسل العامة للبنية التحتية، والجسور عبر السلاسل، وممثلي التطبيقات من جانب التطبيق وDAPPs: منصات التداول، والمحافظ، وDeFi، وNFT، ومكافحة غسيل الأموال في المجالات التنظيمية وتعليم أمان الويب 3. تحليل الحالة الأمنية لكل بيئة ويب 3 في عام 2023، وتفسير أحداث الهجوم، وتقديم اقتراحات التدابير الأمنية المقابلة لكل بيئة.
السلسلة العامة هي البنية التحتية لصناعة Web3، والتي تحمل البروتوكولات والتطبيقات والأصول الخاصة بـ Web3 محاسبة الصناعة بأكملها، مع الطلب القوي في الصناعة على أداء السلسلة العامة وقابلية التشغيل البيني والتوافق وتوسيع السعة، يكتسب تطوير السلاسل المتعددة زخمًا، وأصبحت القضايا الأمنية ملحة.
وفقًا لإحصائيات غير كاملة من Zero Hour Technology، اعتبارًا من ديسمبر 2023، يوجد حاليًا 194 سلسلة عامة. من حيث عدد التطبيقات البيئية للسلسلة العامة، وفقًا لبيانات الجذر، لدى Ethereum 2,203 تطبيق، وPolygon لديه 1,301 تطبيق، وBNB Chian لديه 1,239 تطبيق، لتحتل المرتبة الأولى بقوة في المراكز الثلاثة الأولى، تليها سلاسل عامة جديدة مثل Solana وAvalanche. وبرنامج المقارنات الدولية. ومنذ ذلك الحين، أظهر اتجاهاً سريعاً للنمو.
من حيث القيمة السوقية للنظام البيئي للسلسلة العامة، وفقًا لبيانات Coingecko، تحتل الأنظمة البيئية Ethereum وBNB Chain وSolana المراكز الثلاثة الأولى بقيمة 334.3 مليار دولار أمريكي، و47.7 مليار دولار أمريكي، و42 مليار دولار أمريكي على التوالي. حاليًا، تجاوزت القيمة السوقية الإجمالية للنظام البيئي للسلسلة العامة تريليون دولار أمريكي، وقد جعل إغراء مثل هذه الأموال الضخمة المتسللين يراقبونها.
اعتبارًا من ديسمبر 2023، وفقًا لإحصائيات Zero Hour Technology، وقع 13 حادثًا يتعلق بالسلامة على مسار السلسلة العامة، مع خسارة تراكمية للأصول تتجاوز 280 مليون دولار أمريكي.
من منظور كمي، فإن الأنواع الرئيسية للهجمات على السلسلة العامة هي: هجمات القراصنة، وسرقة الأصول، ونقاط الضعف الأمنية، وهجمات القروض السريعة، والاحتيال، حيث تبلغ النسب المقابلة: 46.1%، 30.7%، 23%، 15.4%، 15.4%. ومن حيث حجم الخسارة، تسببت هجمات القراصنة في أكبر خسارة بلغت 167 مليون دولار أمريكي، أي ما نسبته 60.1%، وتسببت الخروقات الأمنية في ثاني أكبر خسارة بلغت 131 مليون دولار أمريكي، أي ما نسبته 46.7%. (ملاحظة: عانت بعض المشاريع من أنواع متعددة من الهجمات)
وفقًا لمعلومات المراقبة الخاصة بمنصة Zero Time Technology Blockchain Security Intelligence Platform، توضح الصورة التالية بعض الحالات النموذجية لهجمات السلسلة العامة في عام 2023:
اقتراحات بشأن المخاطر الأمنية للسلسلة العامة وتدابيرها
< p> وفقًا لتحليل فريق الأمان بشركة Zero Hour Technology، تأتي المخاطر الأمنية للسلسلة العامة بشكل أساسي من النقاط الثلاث التالية:1) التعقيد الفني: يتضمن العديد من المجالات التقنية والعديد من نقاط المخاطر الأمنية.
2) عدم اليقين لدى المطورين: تتم كتابة التعليمات البرمجية بواسطة المطورين، وستحدث ثغرات حتمًا في هذه العملية.
3) شفافية الثغرات الأمنية مفتوحة المصدر: رمز السلسلة العامة مفتوح المصدر، مما يسهل على المتسللين اكتشاف الثغرات الأمنية.
يقدم فريق أمان تكنولوجيا ساعة الصفر الاقتراحات الأربعة التالية لأمن السلسلة العامة:
1) قبل اتصال الشبكة الرئيسية بالإنترنت، من الضروري إنشاء مجموعة غنية نقاط الخطر للسلسلة العامة آلية الأمان:
فيما يتعلق بـ P2P وRPC، يتعين عليك الانتباه إلى هجمات الاختطاف، وهجمات رفض الخدمة، وأخطاء تكوين الأذونات، وما إلى ذلك؛
فيما يتعلق بخوارزمية الإجماع والتشفير، يلزمك الانتباه إلى هجمات 51%، وهجمات تمديد الطول، وما إلى ذلك؛
فيما يتعلق بأمان المعاملات، يلزمك الاهتمام لهجمات إعادة الشحن المزيفة، وهجمات إعادة تشغيل المعاملات، والأبواب الخلفية الضارة، وما إلى ذلك؛
فيما يتعلق بأمان المحفظة، من الضروري الاهتمام بإدارة أمان المفاتيح الخاصة، ومراقبة أمان الأصول، والتحكم في المخاطر الأمنية للمعاملات، وما إلى ذلك؛
يحتاج الموظفون ذوو الصلة في مشاريع السلسلة العامة إلى وعي أمني جيد، وأمن المكاتب، وأمن التطوير، وما إلى ذلك.
2) قم بإجراء عمليات تدقيق التعليمات البرمجية المصدر والعقود الذكية لضمان سد الثغرات الأساسية والواضحة:
يمكن أن تكون عمليات تدقيق التعليمات البرمجية المصدر تعليمات برمجية كاملة أو جزءًا منها من الوحدة. يمتلك فريق الأمان بشركة Zero Hour Technology مجموعة كاملة من معايير اختبار أمان السلسلة العامة، باستخدام استراتيجية يدوية + أداة لاختبار أمان التعليمات البرمجية المستهدفة، باستخدام ماسحات ضوئية مفتوحة المصدر أو تجارية للتحقق من جودة التعليمات البرمجية، جنبًا إلى جنب مع عمليات تدقيق الأمان اليدوية والأمن. التحقق من الضعف. يدعم جميع اللغات الشائعة، مثل: C/C++/C#/Golang/Rust/Java/Nodejs/Python.
3) بعد اتصال الشبكة الرئيسية بالإنترنت، قم بإجراء كشف أمني في الوقت الفعلي وتحذير مبكر من مخاطر النظام؛
4) بعد اختراق أحد المتسللين إذا وقع حادث، وتتبع المصدر في الوقت المناسب، وقم بالتحليل لتحديد المشكلة وتقليل احتمالية وقوع هجمات مستقبلية، وتتبع المصدر بسرعة ومراقبة تدفق الخسائر لاسترداد الأصول قدر الإمكان.
جسر عبر السلسلة، المعروف أيضًا باسم جسر blockchain، يربط بين سلسلتي blockchain ويسمح للمستخدمين بالإرسال العملة المشفرة من سلسلة إلى أخرى. تعمل الجسور عبر السلاسل على تمكين عمليات الأموال عبر السلاسل من خلال تمكين عمليات نقل الرموز والعقود الذكية وتبادل البيانات، بالإضافة إلى التعليقات والتعليمات الأخرى بين منصتين مستقلتين.
اعتبارًا من ديسمبر 2023، وفقًا لبيانات Dune Analytics، تبلغ القيمة الإجمالية المقفلة (TVL) للجسور الرئيسية عبر السلاسل في Ethereum حوالي 6.5 مليار دولار أمريكي. TVL الحالي الذي يتمتع بأعلى قيمة TVL هو Polygon Bridges بمبلغ 2.99 مليار دولار أمريكي، يليه Aritrum Bridge بمبلغ 2.04 مليار دولار أمريكي، وتحتل Optimism Bridges المرتبة الثالثة بمبلغ 1 مليار دولار أمريكي.
مع نمو blockchain والبرامج الموجودة على السلسلة، هناك حاجة ملحة لتحويل الأموال متعددة السلاسل. يمكن للميزات التعاونية للجسور عبر السلاسل أن تسمح لكل blockchain بممارسة إمكانات تعاونية أكبر. لا توفر الجسور عبر السلاسل الراحة فقط للمستخدمين، ولكن أيضًا يوفر المتسللون بابًا آخر. نظرًا لطبيعة نقل الأصول عبر الجسور عبر السلسلة، بمجرد ظهور مشكلات في عمليات القفل والصب والتدمير وإلغاء القفل، سيتم تهديد أمان أصول المستخدم. لا يبدو الأمر وكأنه عملية تحويل أموال معقدة عبر السلسلة، ولكن في العديد من مشاريع الجسر عبر السلسلة، حدثت ثغرات أمنية في خطوات مختلفة.
وفقًا لإحصائيات شركة Zero Hour Technology، اعتبارًا من ديسمبر، وقع 18 حادثًا أمنيًا بسبب الهجمات على الجسور عبر السلاسل، مع خسارة أصول تراكمية قدرها 1.21 مليار دولار أمريكي.
في عام 2023، الجسور الخمسة الأهم التي عانت من خسائر الحوادث الأمنية هي: Harmony، وWormhole، وMultiChain، وAave fork، وHECO، بخسائر قدرها 350 مليون دولار أمريكي، و300 مليون دولار أمريكي، و210 مليون دولار أمريكي و1.5 مليار دولار أمريكي و100 مليون دولار أمريكي على التوالي.
انطلاقًا من عدد الحوادث الأمنية، فإن الأنواع الرئيسية لهجمات الجسور عبر السلسلة هي: هجمات المتسللين، وسرقة الأصول، ونقاط الضعف الأمنية، والأذونات الخاطئة، وهجمات القروض السريعة، وهو ما يمثل 61%، و33%، و28%، و17% و 17% على التوالي 11%. ومن حيث حجم الخسائر، شكلت هجمات القراصنة النسبة الأكبر بنسبة 55%، تليها سرقة الأصول بنسبة 29%، والخروقات الأمنية بنسبة 14%، لتحتل المرتبة الثالثة.
توضح الصورة أدناه بعض حالات الهجوم النموذجية على الجسور عبر السلسلة في عام 2023:
p>
المخاطر الأمنية للجسور عبر السلاسل واقتراحات بشأن التدابير
استنتج فريق أمان Zero Hour Technology من عدة هجمات للجسور عبر السلاسل أن هناك المزيد من الهجمات قبل السلاسل المتقاطعة و عند التوقيع، وهناك ارتباك رسمي، وسرقة بسبب الإهمال. فيما يتعلق بأمان المزيد والمزيد من المشاريع عبر السلاسل وعقود المشاريع، تقدم Zero Hour Technology اقتراحات الإجراءات الأمنية التالية:
1) إجراء تدقيق أمني للعقود قبل بدء تشغيل المشروع عبر الإنترنت؛
2 ) تحتاج واجهة استدعاء العقد إلى التحقق بدقة من ملاءمتها؛
3) يجب إعادة تقييم الواجهات ذات الصلة وأمان التوقيع عند تحديث الإصدار؛
4) يجب أن يتم إجراء فحص صارم للموقعين عبر السلسلة لضمان عدم سيطرة الجهات الفاعلة الضارة على التوقيعات.
تُسمى منصة التداول Web3 أيضًا بتبادل العملات الرقمية أو تبادل العملات المشفرة، وهي عبارة عن blockchain وهي جزء مهم من الصناعة، فهي توفر خدمات المعاملات بين العملات الرقمية المختلفة وبين العملات الرقمية والعملات القانونية، كما أنها المكان الرئيسي لتسعير وتداول العملات الرقمية.
وفقًا لبيانات Coingecko، اعتبارًا من ديسمبر 2023، هناك 887 بورصة عملات مشفرة، بما في ذلك 224 بورصة مركزية، بإجمالي حجم تداول على مدار 24 ساعة يبلغ 8 مليارات دولار أمريكي؛ بورصات لا مركزية لديها 663، بإجمالي 24 حجم تداول على مدار الساعة يبلغ 3.7 مليار دولار أمريكي؛ 94 بورصة مشتقات، بحجم تداول على مدار 24 ساعة يبلغ 1.93 تريليون دولار أمريكي.
تشير البيانات إلى أن أكبر 10 بورصات من حيث حجم التداول على مدار 24 ساعة هي: Binance، وBybit، وCoinbase Exchange، وOKX، وMEXC، وGate.io، وKraken، وKuCoin، وBitfinex، وBinance US. من بينها، تحتل Binance المرتبة الأولى بحجم تداول يبلغ 13.595 مليارًا في المركز الرابع والعشرين.
أفضل 10 مراكز لامركزية من حيث حجم المعاملات التبادلات هي: Uniswap V3 (Ethereum)، Orca، Uniswap V3 (Arbitrum One)، PancakeSwap (V3)، Curve (Ethereum)، Uniswap V3 (Ethereum)، THORWallet DEX، THORSwap، Raydium، Ferro Protocol، والتي Uniswap هي أحادية منها. احتلال أكثر من عشرة مراكز في المراكز العشرة الأولى.
وفقًا لإحصائيات شركة Zero Hour Technology، وقع 19 حادثًا أمنيًا في بورصات العملات المشفرة في عام 2023، مع تجاوز المبلغ التراكمي لخسائر الأصول 1.2 مليار دولار أمريكي.
وفقًا لإحصائيات منصة Zero Time Technology Blockchain Security Threat Intelligence Platform، في عام 2023، فإن أكبر 6 منصات تداول تعرضت لخسائر بسبب حوادث أمنية هي: Curve، Coinbase، OKX، Platypus Finanace، Uniswap، Coins. ph، الخسارة تبلغ المبالغ على التوالي 440 مليون دولار أمريكي، و360 مليون دولار أمريكي، و180 مليون دولار أمريكي، و100 مليون دولار أمريكي، و60 مليون دولار أمريكي، و40 مليون دولار أمريكي.
بالنظر إلى توزيع خسائر الحوادث الأمنية عبر منصات التداول، تمثل Couve 36.6%، وتمثل CoinBase 30%، وتمثل Platypus Finanace 15%، لتحتل المراكز الثلاثة الأولى.
وفقًا لإحصائيات Lingshi Technology، فيما يتعلق بعدد الحوادث الأمنية، فإن الأنواع الرئيسية للهجمات على منصات التداول هي هجمات القراصنة على الثغرات الأمنية، وسرقة الأصول، وهجمات التصيد الاحتيالي، وهجمات القروض السريعة، وهو ما يمثل 59%، 31.8% ، 27% على التوالي، 9%، 9%. وانطلاقًا من توزيع حجم الخسائر، شكلت هجمات القراصنة 59% وكانت النوع الرئيسي للحوادث الأمنية، وشكلت الثغرات الأمنية 40%، وشكلت سرقة الأصول 33.3%.
توضح الصورة أدناه بعض الحالات النموذجية للحوادث الأمنية للتبادل في عام 2023:
التداول المخاطر الأمنية للمنصة واقتراحات التدابير
بمراجعة الحوادث الأمنية لجميع التبادلات في الماضي، يعتقد فريق أمان تكنولوجيا ساعة الصفر أنه من منظور البنية الأمنية الشاملة لـ منصة التداول، تواجه منصة التداول مخاطر أمنية تشمل بشكل رئيسي: التطوير، وتكوين الخادم، والتشغيل والصيانة، والوعي الأمني للفريق، والموظفين الداخليين، ومخاطر السوق وسلسلة التوريد.
نشر فريق أمان تكنولوجيا Zero-Hour "مقدمة حول أمان Blockchain والقتال العملي"، والذي أجرى تحليلاً شاملاً ومفصلاً للمشكلات الأمنية لمنصات تداول العملات المشفرة. يتضمن خطوات اختبار الاختراق، مثل جمع المعلومات، والهندسة الاجتماعية، وما إلى ذلك، ويقدم أيضًا أسطح هجوم مختلفة، مثل منطق الأعمال، والإدخال والإخراج، وتكوين الأمان، وتسرب المعلومات، وأمن الواجهة، وأمن مصادقة المستخدم، وأمن التطبيقات ، إلخ.
بالنسبة للمخاطر الأمنية للبورصة، يقدم فريق الأمان بشركة Zero Hour Technology الاقتراحات التالية:
من منظور منصة التداول:
1) تنمية الوعي الأمني للموظفين الداخليين، وتعزيز العزل الأمني لبيئة إنتاج البورصة، وبيئة الاختبار وبيئة تصحيح الأخطاء، ومحاولة استخدام منتجات حماية أمان الشبكة الاحترافية.
2) من خلال التعاون مع شركات الأمن المتخصصة، قم بإجراء عمليات تدقيق التعليمات البرمجية واختبارات الاختراق لفهم ما إذا كانت هناك نقاط ضعف ومخاطر أمنية مخفية في النظام، وإنشاء آلية حماية أمنية كاملة وشاملة. في العمليات اليومية، يتم إجراء اختبارات السلامة المنتظمة ويتم تعزيز أعمال تعزيز السلامة.
3) ترقية الهيكل الرئيسي وإجراءات التحكم في المخاطر للحساب، وإنشاء هيكل رئيسي مناسب متعدد التوقيعات وإنشاء آليات صارمة لمراقبة المخاطر والكشف عنها والإنذار المبكر، وتعزيز المحفظة الخلفية الساخنة والباردة تعزيز الأمان، مثل التحكم في تردد النقل، والتحويلات الكبيرة، وعزل المحفظة الساخنة والباردة، وما إلى ذلك.
لأن معظم المستخدمين، بالإضافة إلى استخدام التبادلات للمعاملات، يستخدمون في كثير من الأحيان المحافظ لتخزين الأصول الرقمية.
لذلك، من وجهة نظر المستخدم:
1) لا تقم بتثبيت البرامج من مصادر غير معروفة حسب الرغبة.
2) يجب على خوادم الكمبيوتر تجنب فتح المنافذ غير الضرورية، ويجب تصحيح نقاط الضعف المقابلة في الوقت المناسب. يوصى بأن يقوم المضيف بتثبيت برنامج مكافحة فيروسات فعال وموثوق به أو برامج أمان أخرى، وتثبيت مكون عزل البرنامج النصي للتعدين -ins على متصفح الويب.
3) لا تنقر على الروابط غير المعروفة التي يرسلها الغرباء حسب رغبتك.
محفظة Web3 هي محفظة رقمية لسلسلة الكتل، تُعرف أيضًا باسم محفظة العملات المشفرة أو محفظة الأصول الرقمية. أداة لتخزين وإدارة واستخدام العملة الرقمية، وتلعب دوراً هاماً في مجال البلوكتشين وتعتبر مدخلاً للمستخدمين للاتصال بالعملة الرقمية. اليوم، مع تطور النظام البيئي، أصبحت المحافظ الرقمية منصة لإدارة متعددة السلاسل والأصول.
وفقًا لإحصائيات منصة Zero Time Technology Blockchain Security Threat Intelligence Platform، اعتبارًا من ديسمبر 2023، يوجد إجمالي 153 مشروعًا للمحفظة الرقمية. وفقًا لإحصائيات موقع Blockchain.com، سيستخدم أكثر من 400 مليون شخص حول العالم الأصول المشفرة في عام 2023. ومن بينها، سيصل عدد مستخدمي المحافظ المشفرة إلى 81 مليونًا في عام 2022، وبحلول نوفمبر 2023، يصل عدد مستخدمي المحفظة المشفرة إلى 221 مليونًا، مع تزايد العدد بشكل كبير.
كمدخل إلى Web3، أصبحت المحافظ منذ فترة طويلة بمثابة "بطاطس ساخنة" في عيون المتسللين. وفقًا لإحصائيات شركة Zero Hour Technology، كان هناك 35 حادثًا أمنيًا في المحافظ الرقمية في عام 2023، مع تجاوز الخسارة التراكمية للأصول 600 مليون دولار أمريكي.
في عام 2023، جاءت أهم خمس حوادث أمنية للمحافظ تعرضت لهجمات وخسائر بشكل أساسي من: BitKeep، وSolana، وCropto.com، وTransit، وBable Finanace. وكانت الخسائر على التوالي: 200 مليون دولار أمريكي، و130 دولارًا أمريكيًا مليون دولار أمريكي، و120 مليون دولار أمريكي، و100 مليون دولار أمريكي، و40 مليون دولار أمريكي. من بينها، تكبدت BitKeep أعلى خسارة بسبب الهجوم.
وفقًا لإحصائيات شركة Zero Hour Technology، واستنادًا إلى عدد الحوادث الأمنية، فإن الأنواع الرئيسية للهجمات على المحافظ الرقمية هي: هجمات القراصنة، وسرقة الأصول، ونقاط الضعف الأمنية، وهجمات التصيد والاحتيال، والتي تمثل 44.9%، 35.5%، 27 % على التوالي 13.4%، 9.8%. تمثل الهجمات أعلى نسبة، وتحتل المرتبة الأولى.
نسبة خسائر الحوادث الأمنية المقابلة لكل نوع من أنواع الهجمات الرئيسية هي كما يلي: تتسبب هجمات القراصنة في أعلى الخسائر، حيث تمثل 48.2%؛ وتسبب الخروقات الأمنية خسائر في المرتبة الثانية، وتمثل 41%؛ وخسائر سرقة الأصول المرتبة الأعلى والثالثة بنسبة 28%.
عندما تتعرض المحفظة للهجوم، هناك حالتان بشكل عام. إحداهما محفظة مؤسسية، والأخرى محفظة شخصية.
المخاطر الأمنية للمحفظة الرقمية واقتراحات التدابير
وفقًا للتحليل الذي أجراه فريق الأمان بشركة Zero Hour Technology، توجد محافظ blockchain الرقمية بأشكال عديدة.تشمل المخاطر الأمنية الرئيسية، ولكنها ليست كذلك تقتصر على الجوانب التالية:
الجوانب المؤسسية: المخاطر الأمنية لبيئة التشغيل، والمخاطر الأمنية لنقل الشبكة، والمخاطر الأمنية لطرق تخزين الملفات، والأمان مخاطر التطبيق نفسه، والمخاطر الأمنية للنسخ الاحتياطي للبيانات، وما إلى ذلك.
يرشد رمز الاستجابة السريعة العملاء إلى نقل الأصول وسرقةها، وسرقة المفاتيح الخاصة/العبارات التذكيرية من خلال مهاجمة النظام الأساسي السحابي حيث يقوم العملاء بتخزين المعلومات، والبرامج الضارة، والاحتيال عبر البث الجوي، والتصيد الاحتيالي، وغير ذلك من عمليات التصيد الاحتيالي (ما قبل البيع، وتنزيلات التطبيقات، والفخاخ الفائزة) و مخاطر أخرى.
كيف يمكن حماية أمان المحفظة في مواجهة هذه المخاطر؟
من الجانب المؤسسي، يوصي فريق الأمان في Zero Hour Technology بما يلي:
سواء كانت محفظة مركزية أو لا مركزية أو محفظة برمجية أو أجهزة يجب أن تخضع المحافظ لاختبارات أمنية كافية من حيث الأمان. بالنسبة للتدقيق الأمني للمحافظ الرقمية، يتضمن فريق الأمان التابع لشركة Zero Hour Technology، على سبيل المثال لا الحصر، عناصر الاختبار التالية:
1. اختبار أمان الشبكات والاتصالات. يجب أن تحقق عقد الشبكة وظيفة الاكتشاف في الوقت المناسب ومقاومة هجمات الشبكة؛
2. بيئة تشغيل المحفظة آمنة. يمكن للمحفظة اكتشاف نقاط الضعف الرئيسية المعروفة في نظام التشغيل، واكتشاف الجهاز الظاهري، واكتشاف السلامة ؛ يجب أن تحتوي المحافظ الرقمية على الثلث. تمنع وظيفة الكشف عن اختطاف برامج الجهات الخارجية برامج الجهات الخارجية من اختطاف المحافظ وسرقة معلومات المستخدم ذات الصلة.
3. أمان معاملات المحفظة. يجب توقيع جميع المعاملات الصادرة عن المحفظة. عند التوقيع، يجب فك تشفير المفتاح الخاص عن طريق إدخال كلمة مرور الدفع. بعد إنشاء توقيع المعاملة، يتم إدخال المفتاح الخاص الذي تم فك تشفيره في يجب مسح الذاكرة لمنع سرقة المفتاح الخاص وتسريبه، وما إلى ذلك.
4. أمان سجل المحفظة. من أجل تسهيل المستخدمين لتدقيق سلوكيات تشغيل المحفظة ومنع العمليات غير الطبيعية والعمليات غير المصرح بها، يجب تسجيل سجل تشغيل المحفظة. وفي الوقت نفسه، يجب أن يكون سجل المحفظة حساسة ويجب ألا تحتوي على معلومات سرية.
5. تدقيق أمان واجهة العقدة. تحتاج الواجهة إلى توقيع البيانات لمنع المتسللين من التلاعب بالبيانات؛ يحتاج الوصول إلى الواجهة إلى إضافة آلية مصادقة رمزية لمنع المتسللين من تنفيذ هجمات إعادة التشغيل؛ العقدة تحتاج الواجهة إلى التحكم في معدل اتصال المستخدم. تنفيذ قيود لمنع المتسللين من محاكاة عمليات المستخدم لتنفيذ هجمات CC.
بالنسبة للعميل، يوصي فريق الأمان بشركة Zero Hour Technology بما يلي:
1) اتخاذ إجراءات لتخزين المفاتيح الخاصة: مثل نسخ المفاتيح الخاصة وعمل نسخة احتياطية لها قدر الإمكان، أو استخدم الأنظمة الأساسية السحابية والشبكات الاجتماعية مثل البريد الإلكتروني لنقل المفاتيح الخاصة أو تخزينها.
2) استخدم كلمات مرور قوية وقم بتمكين التحقق بخطوتين MFA (أو 2FA) كلما أمكن ذلك، وحافظ دائمًا على الوعي واليقظة الأمنية.
3) انتبه إلى التحقق من قيمة التجزئة عند تحديث إصدار البرنامج. قم بتثبيت برنامج مكافحة الفيروسات واستخدم جدار الحماية عندما يكون ذلك ممكنًا. قم بمراقبة حسابك/محفظتك للتأكد من عدم وجود معاملات ضارة.
4) تعد محافظ الأجهزة مناسبة للمستخدمين الذين لديهم كميات كبيرة من الأصول الرقمية والذين يحتاجون إلى مستوى أعلى من الحماية الأمنية. التوصية المعتادة هي استخدام محفظة برمجية لتخزين أصولك الصغيرة للاستخدام اليومي، ومحفظة أجهزة لتخزين الأصول الكبيرة، والتي يمكن أن تحقق الراحة والأمان.
ماذا لو سُرقت الأموال؟
في حالة حدوث عملية تفويض غير مقصودة، قبل سرقة الأموال، قم بتحويل أموال المحفظة إلى الخارج في أقرب وقت ممكن وقم بإلغاء التفويض؛ إذا تمت سرقة الأموال أو سرقة المفتاح الخاص بعد الحصول على الترخيص، بالنسبة لتحويلات الأموال، يرجى الاتصال بفريق الأمان التابع لشركة Zero Hour Technology على الفور لتتبع الأصول.
الاسم الكامل لـ DeFi: التمويل اللامركزي، ويُترجم عمومًا إلى التمويل الموزع أو التمويل اللامركزي. تنقسم مشاريع التمويل اللامركزي (DeFi) تقريبًا إلى خمس فئات: أوراكل، وديكس، والإقراض العقاري، وأصول العملة المستقرة، والمشتقات الاصطناعية.
الاسم الكامل لـ TVL: إجمالي القيمة المقفلة يعني إجمالي القيمة المقفلة. تعد القيمة الإجمالية للأصول المرهونة من قبل المستخدمين أحد أهم المؤشرات لقياس تطور النظام البيئي DeFi، وعادة ما يمثل نمو TVL التطور الأفضل للمشروع.
وفقًا للإحصاءات الصادرة عن منصة استخبارات التهديدات الأمنية الخاصة بتكنولوجيا blockchain الخاصة بـ Zero Hour Technology، اعتبارًا من ديسمبر 2023، يوجد إجمالي 1,297 مشروعًا للتمويل اللامركزي. وفقًا لبيانات DeFi Llama، بلغ إجمالي القيمة المقفلة لـ DeFi 39.051 مليار دولار أمريكي. من بينها، تمثل Ethereum نسبة 58.59٪، لتحتل المرتبة الأولى بقيمة TVL بقيمة 23.02 مليار دولار أمريكي، تليها Tron بنسبة 11.1٪، لتحتل المرتبة الثانية بقيمة TVL بقيمة 4.036 مليار دولار أمريكي، تليها BSC بنسبة 10.47٪، مع احتل TVL البالغ 40.12 TVL المرتبة الثالثة من حيث 100 مليون دولار أمريكي. لقد طورت العديد من السلاسل العامة الناشئة مثل Avalanche وPloygon وOptimism وما إلى ذلك بيئة السلسلة بسرعة من خلال احتضان DeFi، واجتذبت أيضًا عددًا كبيرًا من المستخدمين وودائع رأس المال.
أصبحت المشكلات الأمنية البارزة للعقود الذكية في DeFi أكبر تحدٍ في صناعة DeFi. بالإضافة إلى ذلك، لا يمكن لأي مزود خدمة DeFi أو وكالة تنظيمية استرداد الأموال المحولة عن طريق الخطأ. عندما يعثر المتسللون على نقاط ضعف في العقود الذكية أو جوانب أخرى من خدمات التمويل اللامركزي ويسرقون أصول المستخدمين، فقد لا يكون هناك بالضرورة مزود خدمة التمويل اللامركزي لتعويض المستثمرين، بالإضافة إلى ذلك، قد تتسبب العديد من مشكلات الاتصال البيني الخفية في سلسلة من الحوادث المالية.
وفقًا لإحصائيات Zero Hour Technology، اعتبارًا من ديسمبر 2023، وقع إجمالي 24 حادثًا أمنيًا للتمويل اللامركزي، مع تجاوز المبلغ التراكمي للأصول المفقودة 720 مليون دولار أمريكي.
بالنظر إلى توزيع عدد حوادث أمان DeFi التي حدثت في كل بيئة، كان النظام البيئي لإيثريوم يحتوي على 6 حوادث لكل منها، وهو ما يمثل 25%، ليحتل المرتبة الأولى، وتعرض BSC (BNB Chian) لـ 5 حوادث في المجموع، وهو ما يمثل 25٪، من 20٪، وهو ما يمثل 24٪، لتحتل المرتبة الثانية، وكان هناك 3 حوادث في النظام البيئي سولانا، وهو ما يمثل 15٪، لتحتل المرتبة الثالثة.
بالنظر إلى توزيع خسائر الحوادث الأمنية في مختلف DeFi، فإن أكبر ثلاثة أنظمة بيئية للسلسلة العامة هي: تجاوز مبلغ خسارة حادث DeFi للنظام البيئي Ethereum 216 مليون دولار أمريكي، وهو ما يمثل 30٪، ليحتل المرتبة الأولى؛ Solana في المرتبة الثانية، مبلغ الخسارة 144 مليون دولار أمريكي بنسبة 20%، واحتلت سلسلة BNB المرتبة الثالثة بخسارة قدرها 130 مليون دولار أمريكي، بنسبة 18%. ويمكن ملاحظة أنه كلما كانت البيئة أكثر نشاطا، كلما زاد الاهتمام الذي تحظى به من المتسللين، وكانت الخسائر هي الأبرز.
وفقًا لإحصائيات Zero Time Technology، من منظور أنواع هجمات DeFi، فهي بشكل أساسي: هجمات المتسللين، وسرقة الأصول، وهجمات القروض السريعة، ونقاط الضعف الأمنية. توزيع عدد الحوادث الأمنية المقابلة لكل نوع من أنواع الهجمات الرئيسية هو كما يلي: تمثل هجمات القراصنة 50%، لتحتل المرتبة الأولى، وتمثل الثغرات الأمنية 29%، وتحتل المرتبة الثانية، وتمثل سرقة الأصول 20%، وتحتل المرتبة الثالثة، والقروض السريعة وشكلت الهجمات 16٪، لتحتل المرتبة الرابعة.
ومن منظور توزيع الخسائر لأنواع الهجمات الرئيسية، تسببت هجمات القراصنة في أعلى الخسائر بنسبة 48.6%، تليها سرقة الأصول بنسبة 34.7%، وجاءت الثغرات الأمنية في المرتبة الثالثة بنسبة 43%.
المخاطر الأمنية لـ DeFi والتدابير المقترحة
تواجه مشاريع DeFi مخاطر أمنية متعددة، والتي يمكن تقسيمها من المجموعة إلى جانب المشروع (تنفيذ البروتوكول) وجانب المستخدم؛ ومن نوع الأمان إلى البروتوكول، فهي وتنقسم إلى أمان المجموعات، بما في ذلك بعض العيوب بين المجموعات، وأمن العقود الذكية، وأمن المصادر المفتوحة، والعوائد المرتفعة مصحوبة بمخاطر عالية، وبعض المشكلات الأمنية الناجمة عن نقص الإشراف.
من منظور التدقيق الأمني، تظهر المخاطر التي تواجهها مشاريع DeFi في الشكل أدناه:
< img src="https://img.jinse.cn/7174945_image3.png" alt="52inDQVXcu0Owhr77nvjCBJg47F05kEHHGlcZVmV.png">
من عملية تنفيذ البروتوكول، تشمل مخاطر DeFi ما يلي:< /strong>مخاطر الهجوم على العقود الذكية، ومشكلات التصميم في الحوافز الاقتصادية، ومخاطر الحضانة، وإعادة بناء البروتوكول الأصلي، ونقص الخصوصية والمخاطر الأخرى.
من وجهة نظر المستخدم، فإن المخاطر التي يواجهها مستخدمو DeFi هي: المخاطر الفنية: هناك ثغرات في العقود الذكية وتتعرض لهجمات أمنية؛ مخاطر السيولة: سيولة المنصة منخفضة. مرهقة؛ مخاطر العملة المشفرة: مخاطر إدارة المفاتيح: قد يتم سرقة المفتاح الخاص الرئيسي للمنصة. مخاطر الوعي الأمني: التعرض للتصيد الاحتيالي، ومواجهة مشاريع الاحتيال المراجحة، وما إلى ذلك.
يوصي فريق أمان تقنية Zero Hour بأنه، باعتبارك أطرافًا في المشروع ومستخدمين، يمكنك التعامل مع المخاطر من النقاط الأربع التالية:
1) أطراف المشروع يتم إطلاق مشاريع DeFi عند القيام بذلك، يجب عليك العثور على فريق أمان محترف لإجراء تدقيق شامل للكود، ومحاولة العثور على أكبر عدد ممكن من عمليات التدقيق المشتركة لاكتشاف أكبر عدد ممكن من عيوب تصميم المشروع لتجنب الخسائر غير الضرورية بعد الاتصال بالإنترنت.
2) يوصى بأن يقوم المستخدمون بالتحقق بعناية عند الاستثمار في هذه المشاريع، أو أن يكون لديهم فهم معين للمشروع، أو التحقق مما إذا كان قد اجتاز تدقيقًا أمنيًا قبل الاتصال بالإنترنت.
3) زيادة الوعي الأمني الشخصي، بما في ذلك سلوك الإنترنت وتخزين الأصول وعادات استخدام المحفظة، وتطوير عادات الوعي الأمني الجيدة.
4) المشاريع ذات عائد مرتفع وشديدة الخطورة، لذا عليك توخي الحذر عند المشاركة. إذا لم تفهم المشروع، حاول عدم المشاركة لتجنب الخسائر.
6. NFT - مجموعة من هجمات التصيد الاحتيالي
NFT هو اختصار لـ Non-Fungible Token، وهو رمز مميز غير قابل للاستبدال يعتمد على blockchain ، وهو أصل رقمي فريد يتم تخزينه على blockchain، وغالبًا ما يستخدم كشهادة إلكترونية أو شهادة ملكية السلع الافتراضية، والتي يمكن شراؤها أو بيعها.
وفقًا لبيانات NFTScan، اعتبارًا من 31 ديسمبر، تم تضمين 4,624 مشروع NFT، بإجمالي 1,476,479,394 NFT. تصل القيمة السوقية الإجمالية الحالية لـ NFT إلى 25.6 مليار دولار أمريكي، مع 4.7338 مليون حامل. انطلاقًا من توزيع القيمة السوقية لمختلف المشاريع، PFP (صورة للإثبات)، أي أن القيمة السوقية لصورة الملف الشخصي لـ NFT متقدمة جدًا، وهذا أيضًا هو NFT مع السيناريوهات الأكثر استخدامًا في الوقت الحالي، تليها المقتنيات. بالنظر إلى أصول وعقود NFT من السلاسل العامة الثماني الرئيسية الحالية، فإن Polygon تتقدم كثيرًا من حيث عدد الأصول والعقود.
من منظور حجم المعاملات: من بين أفضل 10 منصات تداول NFT تم تصنيفها حسب حجم المبيعات خلال 24 ساعة، احتلت Blur المرتبة الأولى، تليها OKX NFT، واحتلت OpenSea المرتبة الثالثة. ومن وجهة نظر المتداولين، فمن بين أفضل 10 أسواق مرتبة حسب عدد المتداولين والمشترين والبائعين خلال 24 ساعة، احتلت Blur المرتبة الأولى، واحتلت OKX NFT المرتبة الثانية، واحتلت OpenSea المرتبة الثالثة.
مع تزايد أهمية NFT، يتطلع المتسللون أيضًا إلى هذه القطعة من الدهون. على الرغم من أن سوق العملات المشفرة بأكمله يشهد حاليًا اتجاهًا هبوطيًا عنيفًا، إلا أن شعبية NFTs لا تزال بلا هوادة.
وفقًا لإحصائيات غير كاملة من Zero Hour Technology، اعتبارًا من ديسمبر 2023، وقع إجمالي 44 حادثًا يتعلق بالسلامة على مسار NFT، مع خسارة تراكمية تبلغ حوالي 62 مليون دولار أمريكي في الأصول.
من منظور أنواع الهجمات على مسار NFT، فهي بشكل أساسي: هجمات القراصنة، والثغرات الأمنية، وسرقة الأصول، وهجمات التصيد الاحتيالي، وما إلى ذلك، وقد شكل العدد المقابل للحوادث الأمنية 50%، و35%، و25%، و 23% على التوالي.
بالنظر إلى نسبة الخسائر الناجمة عن الأنواع الرئيسية لهجمات NFT، تسببت هجمات القراصنة في أكبر قدر من الخسائر، وهو ما يمثل 50%، تليها سرقة الأصول، وهو ما يمثل 30%، واحتلت الثغرات الأمنية المرتبة الثالثة، وهو ما يمثل 30%.
اقتراحات بشأن المخاطر والتدابير الأمنية لـ NFT
في الوقت الحالي، هناك العديد من هجمات القراصنة في مسار NFT. فيما يتعلق بالمجموعات، فإن الكائنات المعرضة للخطر بشكل عام هي المنصات والمستخدمين.
بالنسبة للنظام الأساسي المركزي، تشمل المخاطر الأمنية التي قد تواجهها ما يلي: مخاطر الحساب، ومخاطر المنافسة التجارية، ومخاطر الوعي الأمني، والمخاطر الداخلية، ومخاطر السوق، وما إلى ذلك.
بالنسبة لجانب المستخدم، أصبحت هجمات Discord هي طريقة الهجوم الرئيسية هذا العام.
بالنسبة للمخاطر الأمنية المذكورة أعلاه، يقدم فريق الأمان بشركة Zero Hour Technology الاقتراحات التالية:
بالنسبة للمستخدمين العاديين، strong>
strong> لحماية Discord الخاص بك، عليك الانتباه إلى النقاط التالية: تأكد من أن كلمة المرور آمنة بدرجة كافية، واستخدم الأحرف الأبجدية الرقمية الخاصة لإنشاء كلمة مرور عشوائية طويلة؛ في مصادقة 2FA، على الرغم من أن كلمة المرور نفسها معقدة بدرجة كافية، إلا أنه لا يمكن حمايتها بطريقة واحدة؛ لا تنقر فوق من مرسلين غير معروفين أو روابط تبدو مشبوهة، فكر في تحديد من يمكنه إرسال رسائل خاصة إليك؛ لا تقم بتنزيل البرامج أو نسخ/لصق الكود لا تتعرف عليه، لا تشارك رمز التفويض الخاص بك أو تشاركه على الشاشة، لا تقم بمسح أي شيء ضوئيًا من شخص لا تعرفه أو شخص تعرفه أو رمز الاستجابة السريعة الذي لا يمكنك التحقق من شرعيته.
بالنسبة لأصحاب الخادم: قم بمراجعة أذونات الخادم لديك، خاصة بالنسبة للأدوات ذات المستوى الأعلى مثل WebHook؛ عند إجراء أي تغييرات، حافظ على تحديث دعوات الخادم الرسمية وعلى كل ما هو مرئي على النظام الأساسي، خاصة عندما يكون غالبية أعضاء الخادم الجدد من مجتمعات خارج Discord، وبالمثل، لا تنقر على الروابط المشبوهة أو غير المعروفة! إذا تم اختراق الحساب، فقد يكون لذلك تأثير أكبر على المجتمع الخاضع للإشراف.
بالنسبة للمشاريع: يوصى بأن يحكم العقد بشكل صارم على عقلانية إدخال كمية الشراء من قبل المستخدم؛ ويوصى بأن يحد العقد من إمكانية شراء NFT باستخدام صفر أموال، يوصى بتنفيذ رموز NFT لبروتوكولي ERC721 وERC1155، ويجب التمييز بدقة لتجنب الارتباك والحالات الرسمية المزيفة لـ Discord. في الوقت الحاضر، توجد روابط سك العملة الخبيثة في العديد من برامج الدردشة، وقد تمت سرقة العديد من أموال المستخدمين. ومن أجل تجنب مثل هذه حوادث سرقة العملات، يوصى الجميع بالتحقق من موثوقية مصدر الرابط عند إجراء عمليات سك العملة، وعلى وفي نفس الوقت التأكد من محتوى ومحتوى المعاملة الموقعة الفعلية وتطابق التوقعات.
الحالة المعروفة لجميع موظفي Sohu الذين يعانون من التصيد الاحتيالي عبر البريد الإلكتروني لدعم الرواتب جعلت العديد من الشركات تدرك أنه إذا لم يكن هناك وعي بأمن الشبكات إذا تحسنت هذه الشركات، فإنها ستواجه صعوبات في المستقبل. فالحوادث الأمنية المختلفة، مثل الأسرار التجارية، ستؤثر حتماً على تطور المؤسسات. إن طريقة المشاركة اللامركزية ذاتية التنظيم الخاصة بـ Web3 تجعل الأفراد يدركون أنهم إذا لم يقوموا بتحسين وعيهم الأمني، فسوف يصبحون ماكينة صرف آلي للمتسللين.
في الوقت الحاضر، هناك مسلسلات تلفزيونية وأفلام ومجتمعات وطرق أخرى لتحسين الوعي بأمن الشبكات الشخصية في السوق. كما قامت Zero Hour Technology أيضًا بتبشير المئات من المعرفة بأمن الشبكات على منصات مختلفة.
بالإضافة إلى ذلك، طورت Lingshi Technology أيضًا نظامًا أساسيًا لتقييم الوعي الأمني وإدارته تم تطويره ذاتيًا، والذي يستهدف بشكل أساسي مؤسسات الصناعة التي لديها احتياجات للوعي بأمن الشبكات، بما في ذلك الحكومة والأمن العام والتعليم والمالية والطاقة الكهربائية وما إلى ذلك، وتقييم الوعي بأمن الشبكة استنادًا إلى تقنية التصيد الاحتيالي، تساعد المنصة المؤسسات على بناء منصة خاصة لتقييم الوعي بأمن الشبكة وإدارتها قائمة على السحابة، ودمج الأنظمة النظرية، وتدريبات التصيد الاحتيالي، واكتشاف المضيف، وتقييمات الإدارة، وتخصيص السيناريو أنظمة لتمكين المؤسسات من تحسين أمن الشبكات بشكل مستمر ومنهجي لجميع الموظفين. بالإضافة إلى ذلك، واستنادًا إلى القوة المهنية لفريق الأمان بشركة Zero Hour Technology، فإنها تقدم أيضًا خدمات استشارات وتدريب لأمن شبكات الشركات، مما يعزز الدرع الأمني من المصدر.
Web3 نظرًا لقدراته الابتكارية الضخمة وقد أصبحت مزايا المصادر المفتوحة بمثابة جيل جديد مزدهر من البنية التحتية للشبكات، مما يوفر نظامًا بيئيًا أكثر جدارة بالثقة وأكثر قيمة في عالم الإنترنت بأكمله. على الرغم من استمرار الحوادث الأمنية في صناعة Web3، واستخدام المتسللين والمجرمين لأساليب مختلفة في تدفق لا نهاية له، إلا أن هذا لا يعيق التطور الصحي لصناعة Web3.
على العكس من ذلك، تمامًا مثل الجانبين في اللعبة، "القبعات البيضاء" في عالم Web3، وكالات الأمن مثل تقنية Zero Hour الخاصة بنا، ستحمي بالتأكيد هذا النظام البيئي الخصب وتحمي أصول المستخدمين في العالم الجديد، حارب الذكاء والشجاعة مع المتسللين، واستمر في العمل الجاد لإنشاء آلية أكثر اكتمالاً ونظام تقني أقوى ومعاملات أكثر أمانًا.
نقاط الضعف موجودة دائمًا، والأمن لا يقدر بثمن، ولن تتوقف اللعبة بين التطوير والأمن أبدًا. آمل أن نتمكن جميعًا من تجهيز أنفسنا بدرع أمان للتعامل مع عالم المستقبل التكنولوجي المعقد! ص>
blockchain المعياري، تحليل شبكة GoPlus: لماذا ستحدث طبقة الأمان المعيارية تغييرات على أمان Web3؟ Golden Finance، هل ستكون الشبكة الموحدة الآمنة هي الحل الأمثل؟
JinseFinanceرأيت هذا في وقت مبكر من الصباح أن @GoPlusSecurity يقوم ببناء طبقة أمان موحدة للمستخدم.
JinseFinanceتبدأ هذه المقالة بالتحديات الأمنية التي يواجهها السوق الحالي وتناقش المخاطر الأمنية الناجمة عن النمو السريع لمستخدمي Web3.
JinseFinanceيعمل تكامل RepubliK مع Fireblocks على تعزيز أمان Web3، مع إعطاء الأولوية للشفافية والتركيز على المستخدم. تمثل هذه الخطوة الرائدة خطوة محورية في تحصين منصات وسائل التواصل الاجتماعي ضد التهديدات الرقمية المتطورة.
Berniceيركز Cosmos على تحسين قابلية التشغيل البيني لـ blockchain وتحقيق قابلية التشغيل البيني الفعالة بين سلاسل blockchain المختلفة. تم إنشاء سلسلة من المشاريع الرائدة بما في ذلك Celestia وdYdX v4 استنادًا إلى بروتوكول Cosmos SDK وIBC.
JinseFinanceتم اكتشاف هذه الثغرات الأمنية في 21 نوفمبر، وتشكل خطرًا على العديد من العقود الذكية في نظام Web3 البيئي، بما في ذلك بعض العقود الذكية المعدة مسبقًا الخاصة بـ Thirdweb.
Brianتحدد شركة Thirdweb ثغرة أمنية في عقود Web3 الذكية، وتحث على اتخاذ إجراءات فورية بشأن العقود التي تم إنشاؤها قبل 23 نوفمبر. وتشمل خطوات التخفيف تأمين العقود، وأخذ اللقطات، والانتقال إلى البدائل الآمنة. يجب على حاملي الرموز المميزة في المجمعات سحب الرموز المميزة، ويجب على منشئي العقود مطالبة المستخدمين بإلغاء الموافقات. قامت شركة Thirdweb بمعالجة العقود المتأثرة التي تم إنشاؤها بعد 23 نوفمبر، مع عدم تأثر الخدمات الأخرى.
Huang Boإذا كان كل شيء سيئا، ما هو الطريق إلى الأمام؟
Clementتم رصد ما مجموعه 37 من برمجيات إكسبلويت الرئيسية ، مع خسارة إجمالية تقارب 405 مليون دوالر