في عام 2024، ستواجه صناعة blockchain تحديات أمنية شديدة الخطورة أثناء خضوعها للابتكار التكنولوجي والتوسع البيئي. وبحسب رصد منصة Alert التابعة لشركة التدقيق الأمني Beosin، فقد بلغ إجمالي الخسائر الناجمة عن هجمات القرصنة وعمليات التصيد الاحتيالي وأطراف المشروع في مجال Web3 في عام 2024، حتى وقت النشر، 2.491 مليار دولار أمريكي.
لم تكشف هذه الحوادث عن عيوب فنية مثل إدارة المفاتيح الخاصة ونقاط ضعف العقود الذكية فحسب، بل سلطت الضوء أيضًا على المخاطر المحتملة للهندسة الاجتماعية والإدارة الداخلية. ستقوم هذه المقالة بتقييم أهم عشرة حوادث أمنية لـ Web3 في عام 2024 لمساعدة الصناعة على التعلم منها والاستجابة بشكل أفضل للتهديدات الأمنية المستقبلية.
رقم 1 في DMM Bitcoin
مبلغ الخسارة: 304 مليون دولار أمريكي
طريقة الهجوم: تسرب المفتاح الخاص
في 31 مايو 2024، تعرضت DMM Bitcoin، وهي بورصة يابانية راسخة للعملات المشفرة، لهجوم تاريخي. استخدم المهاجمون المفاتيح الخاصة المسربة لتحويل ما يزيد عن 300 مليون دولار من عملات البيتكوين مباشرة وسرعان ما قاموا بتوزيع الأموال المسروقة على أكثر من 10 عناوين مختلفة. كشف هذا الهجوم عن أوجه قصور خطيرة في إدارة المفاتيح الخاصة لـ DMM Bitcoin والحماية الأمنية متعددة الطبقات. على الرغم من أن البورصة حاولت تعقب المتسللين من خلال المراقبة على السلسلة وتجميد الأموال، إلا أنه تم تفريق عملات البيتكوين المسروقة ونقلها وتنظيفها باستخدام أدوات خلط العملات، مما جلب تحديات كبيرة لأعمال التتبع.
في 24 ديسمبر، قررت الشرطة اليابانية أن سرقة DMM Bitcoin كانت بسبب منظمة القرصنة الكورية الشمالية Lazarus Group.
PlayDapp رقم 2
مبلغ الخسارة: 290 مليون دولار أمريكي
طريقة الهجوم: تسرب المفتاح الخاص
في 9 فبراير 2024، تعرض PlayDapp لضربة قوية.قام المتسللون بسرقة 2 مليار دولار عن طريق سرقة المفتاح الخاص مفتاح PLA المميز بقيمة أولية تبلغ 36.5 مليون دولار. ومع فشل المفاوضات بين فريق المشروع والمتسلل، قام المتسلل بسك 15.9 مليار رمز PLA إضافي بقيمة 253.9 مليون دولار أمريكي في فترة قصيرة من الزمن. بعد تدفق بعض هذه الرموز المميزة إلى بورصة البوابة، اضطر PlayDapp إلى تعليق عقد PLA والانتقال إلى عقد رمز PDA المميز. يسلط هذا الحادث الضوء على أوجه القصور في مشاريع blockchain في حماية المفتاح الخاص والاستجابة لحالات الطوارئ للحوادث.
رقم 3 WazirX
مبلغ الخسارة: 235 مليون دولار أمريكي
أساليب الهجوم: الهجمات السيبرانية والتصيد الاحتيالي
18 يوليو 2024،< قوي>المحفظة الآمنة لـ WazirX، أكبر بورصة للعملات المشفرة في الهند تم استهداف المحافظ متعددة التوقيع من قبل المتسللينبدقة. حث المهاجم الموقّعين المتعددين على التوقيع على معاملة ترقية العقد من خلال الهندسة الاجتماعية، ثم استخدم أذونات العقد التي تمت ترقيتها لنقل جميع الأصول الموجودة في المحفظة. تسلط هذه الحالة الضوء على المخاطر المحتملة في تكوين إذن الإدارة والشفافية التشغيلية للمحافظ متعددة التوقيع، وتؤدي أيضًا إلى تفكير متعمق في الصناعة حول آلية مراقبة المخاطر الداخلية والأمن الخاصة بالمشروع.
الألعاب رقم 4 في الحفل
مبلغ الخسارة: 216 مليون دولار أمريكي
طريقة الهجوم: ثغرة أمنية في التحكم في الوصول
20 مايو 2024،Gala Games تم اختراق عنوان مميز معين من قبل أحد المتسللين، حيث قام المهاجم بسك 5 مليارات من رموز GALA مرة واحدة عن طريق استدعاء وظيفة النعناع في عقد الرمز المميز. بعد ذلك، قام المتسلل بتحويل الرموز الصادرة حديثًا إلى ETH على دفعات، مما تسبب بشكل مباشر في خسارة قدرها 216 مليون دولار أمريكي. بعد الحادث، قام فريق Gala Games بتنشيط وظيفة القائمة السوداء بشكل عاجل لحظر بعض حسابات المتسللين واسترداد الخسائر من خلال القنوات القضائية.
رقم 5 كريس لارسن (المؤسس المشارك لشركة Ripple)
مبلغ الخسارة: 112 مليون دولار
طريقة الهجوم: تسرب المفتاح الخاص
في 31 يناير 2024، تم اختراق أربع محافظ شخصية للمؤسس المشارك لشركة Rippleكريس لارسن<. /strong>أدى إلى سرقة 112 مليون دولار من عملة XRP. ويشتبه في أن هذه المحافظ مستهدفة بسبب عدم وجود حماية مزدوجة للأجهزة. بعد الحادث، نجحت منصة Binance في تجميد XRP بقيمة 4.2 مليون دولار وساعدت Larsen في تتبع الأصول المسروقة، ولكن تم غسل معظم الأموال من خلال البورصات اللامركزية وخدمات خلط العملات.
الأطعمة الخفيفة رقم 6
مبلغ الخسارة: 62.5 مليون دولار أمريكي
طريقة الهجوم: هجوم الهندسة الاجتماعية
26 مارس 2024، استنادًا إلى Blast منصة ألعاب Web3 Munchables واجهت هجوم اختراق داخلي نادر. المهاجم هو متسلل كوري شمالي متنكر في هيئة مطور blockchain وقد حصل على الكود الأساسي والمفاتيح الحساسة من خلال التربص على المدى الطويل. وعلى الرغم من أن الهجوم تسبب في خسائر فادحة، إلا أن المتسللين أعادوا في النهاية جميع الأموال المسروقة بسبب ضغوط المجتمع والفريق. يسلط هذا الحادث الضوء على أهمية أمن سلسلة التوريد، خاصة بالنسبة لمشاريع البلوكتشين التي تعتمد على تطوير الطرف الثالث.
رقم 7 BtcTurk
مبلغ الخسارة: 55 مليون دولار أمريكي
طريقة الهجوم: تسرب المفتاح الخاص
22 يونيو 2024BtcTurk ، أكبر بورصة للعملات المشفرة في تركيا تعرضت لهجوم تسرب المفتاح الخاص وخسرت أكثر من 55 مليون دولار من أصول العملات المشفرة. وبمساعدة فريق Binance، تم تجميد 5.3 مليون دولار أمريكي من الأموال المسروقة بنجاح، ولكن لم يتم استرداد الأصول الأخرى بعد. أدى هذا الحادث إلى تعميق مخاوف السوق بشأن إدارة المفاتيح الخاصة في البورصات المركزية.
إعلان BtcTurk الرسمي عن الهجوم
No.8 Radiant Capital
مبلغ الخسارة: 53 مليون دولار أمريكي
طريقة الهجوم: تسرب المفتاح الخاص
في 17 أكتوبر 2024، تعرضت محفظة Radiant Capital متعددة التوقيع للاختراق من قبل المتسللين. نظرًا لاعتماد العتبة المنخفضة لوضع التحقق من التوقيع في 11/3، بدأ المتسللون توقيعات خارج السلسلة من خلال إتقان المفاتيح الخاصة لثلاثة موقعين ونقل ملكية المحفظة أدى التعاقد على العناوين الضارة في النهاية إلى سرقة 53 مليون دولار. أدى الهجوم إلى إعادة التفكير في الصناعة بشأن تصميم المحفظة متعددة التوقيع وآليات الإدارة.
خسرت Radiant Capital 4.5 مليون دولار بسبب ثغرات في العقد قبل هذا الهجوم، وتمت سرقة أكثر من 1,900 ETH. لا تزال أطراف مشروع Web3 بحاجة إلى إيلاء المزيد من الاهتمام للأمان.
رقم 9 Hedgey Finance
مبلغ الخسارة: 4470 عشرة آلاف دولار أمريكي
أسلوب الهجوم: ثغرة العقد
19 أبريل 2024، هيدجي واجهت شركة Finance هجمات تستهدف عقودًا متعددة على السلسلة. استغل المتسلل ثغرة الموافقة في عقد ClaimCampaigns الخاص به ونجح في سحب الرموز المميزة من سلسلتي Ethereum وArbitrum، مع خسارة إجمالية قدرها 44.7 مليون دولار. يوضح هذا الحادث أهمية تدقيق التعليمات البرمجية، وخاصة التحقق الصارم من منطق الموافقة على الرمز المميز.
رقم 10 بينج إكس
مبلغ الخسارة: 44.7 مليون دولار أمريكي
طريقة الهجوم: تسرب المفتاح الخاص
في 19 سبتمبر 2024، تم اختراق المحفظة الساخنة لبورصة BingX ، وتشمل السلاسل المعنية Ethereum وBNB Chain وTron والعديد من السلاسل العامة الأخرى. على الرغم من أن البورصة بدأت بسرعة في نقل الأصول وآليات تجميد السحب، إلا أن المتسللين نجحوا في سحب أصول بقيمة 44.7 مليون دولار. يعكس هذا الهجوم الطبيعة عالية المخاطر لإدارة المحفظة الساخنة في البورصات المركزية ويدفع الصناعة أيضًا إلى استكشاف حلول أكثر أمانًا لتخزين الأصول.
تذكرنا الهجمات الأمنية المتكررة في عام 2024 مرة أخرى أنه لا يمكن فصل تطوير صناعة blockchain عن الحماية الأمنية. بدءًا من تسريبات المفاتيح الخاصة إلى نقاط الضعف في العقود، ومن عمليات الرقابة الإدارية الداخلية إلى ترقية أساليب الهجوم الخارجية، جلبت كل حادثة دروسًا عميقة. ومن أجل التعامل مع تهديدات الهجمات المعقدة بشكل متزايد، تحتاج جميع الأطراف في الصناعة إلى مواصلة زيادة الاستثمار في البحث والتطوير التكنولوجي، ولوائح الإدارة، ومنع المخاطر والسيطرة عليها. في المستقبل، نتطلع إلى بناء نظام بيئي أكثر أمانًا لـ blockchain بشكل مشترك من خلال التعاون الصناعي والابتكار التكنولوجي لتزويد المستخدمين والمستثمرين بحماية أكثر موثوقية. ص>