مراجعة أحداث أمان Web3 لعام 2024: تحليل لأهم عشرة هجمات
في عام 2024، تواجه صناعة blockchain تحديات أمنية متزايدة في ظل الابتكار التكنولوجي وتوسع النظام البيئي. وفقًا لبيانات منصة مراقبة الأمان، بلغ إجمالي الخسائر في مجال Web3 الناتجة عن هجمات القراصنة، وعمليات الاحتيال عبر التصيد، وهروب المشاريع 24.91 مليار دولار حتى نهاية العام.
لم تكشف هذه الأحداث فقط عن عيوب تقنية مثل إدارة المفاتيح الخاصة وثغرات العقود الذكية، بل أبرزت أيضًا المخاطر المحتملة للهندسة الاجتماعية والإدارة الداخلية. ستستعرض هذه المقالة أبرز عشرة أحداث أمان في Web3 لعام 2024، على أمل استخلاص الدروس منها وتقديم مرجع لحماية الأمان في المستقبل للصناعة.
1. حدث DMM Bitcoin
مبلغ الخسارة: 304 مليون دولار أمريكي
أسلوب الهجوم: تسرب المفتاح الخاص
في 31 مايو 2024، تعرضت بورصة DMM Bitcoin اليابانية الشهيرة للعملات المشفرة لحادث أمني كبير. استخدم المهاجمون مفتاحًا خاصًا مسربًا لنقل أكثر من 300 مليون دولار من البيتكوين مباشرة، وسرعان ما قاموا بتوزيع الأموال المسروقة على أكثر من 10 عنوان مختلف. كشفت هذه الهجمة عن ثغرات خطيرة في إدارة المفاتيح الخاصة وحماية الأمان متعددة الطبقات في البورصة.
على الرغم من أن البورصة حاولت تتبع المتسللين من خلال المراقبة على السلسلة وتجميد الأموال، إلا أن العمل لاسترداد الأموال يواجه تحديات كبيرة بسبب تحويل البيتكوين المسروق بسرعة واستخدام أدوات خلط العملات لتبييضها. في نهاية العام، خلصت السلطات المحلية إلى أن الهجوم تم تنفيذه من قبل منظمة قراصنة دولية معينة.
2. واجهت PlayDapp إصدار مفرط للرموز
مبلغ الخسارة: 2.90 مليار دولار أمريكي
أسلوب الهجوم: تسرب المفتاح الخاص
في 9 فبراير 2024، تعرض مشروع PlayDapp لضرر كبير. قام القراصنة بالحصول على المفتاح الخاص واصطناع 2 مليار توكن PLA بشكل غير قانوني، بقيمة أولية تبلغ 36.5 مليون دولار. بسبب فشل المفاوضات بين فريق المشروع والقراصنة، قام المهاجمون في فترة قصيرة بإصدار 15.9 مليار توكن PLA أخرى، ليصل إجمالي القيمة إلى 253.9 مليون دولار. بعد أن دخلت بعض التوكنات إلى البورصات، اضطرت PlayDapp إلى تعليق عقد PLA والانتقال إلى عقد توكن جديد. تسلط هذه الحادثة الضوء على أوجه القصور في حماية المفاتيح الخاصة والتعامل مع الطوارئ في مشاريع البلوكشين.
3. تعرضت بورصة هندية لهجوم دقيق
مبلغ الخسارة: 2.35 مليار دولار أمريكي
وسيلة الهجوم: الهجمات الإلكترونية والصيد الاحتيالي
في 18 يوليو 2024، تعرضت محفظة متعددة التوقيع لأحد أكبر بورصات العملات المشفرة في الهند لهجوم دقيق من قبل قراصنة. قام المهاجمون بتحفيز الموقعين على التوقيع المتعدد للموافقة على صفقة ترقية للعقد من خلال أساليب الهندسة الاجتماعية، ثم استخدموا صلاحيات العقد المحدث لنقل جميع الأصول الموجودة في المحفظة. تكشف هذه القضية عن المخاطر المحتملة لمحافظ التوقيع المتعدد في تكوين الصلاحيات وشفافية العمليات، كما أثارت تفكيرًا عميقًا في آليات إدارة المخاطر الداخلية للمشاريع في الصناعة.
4. ثغرة عقد توكن Gala Games
مبلغ الخسارة: 2.16 مليار دولار أمريكي
أسلوب الهجوم: ثغرة في التحكم بالوصول
في 20 مايو 2024، تم اختراق عنوان خاص لشركة Gala Games. قام المهاجمون باستدعاء وظيفة mint في عقد الرمز المميز، وبهذا قاموا بإنشاء 5 مليارات رمز GALA دفعة واحدة. بعد ذلك، تم تحويل هذه الرموز المميزة غير الشرعية على دفعات إلى ETH، مما أدى مباشرة إلى خسارة بلغت 216 مليون دولار. بعد وقوع الحادث، قامت فريق Gala Games بتفعيل وظيفة القائمة السوداء بشكل عاجل لحظر بعض حسابات المخترقين، واستعادوا جزءًا من الخسائر من خلال القنوات القانونية.
5. تم سرقة المحفظة الشخصية لمؤسس عملة مشفرة معروفة
مبلغ الخسارة: 1.12 مليون دولار أمريكي
طريقة الهجوم: تسرب المفتاح الخاص
في 31 يناير 2024، تعرضت أربعة محافظ شخصية لأحد مؤسسي مشروع معروف للعملات المشفرة للاختراق، مما أدى إلى سرقة عملات مشفرة بقيمة 112 مليون دولار. ويُعتقد أن هذه المحافظ أصبحت هدفًا للهجمات بسبب نقص الحماية المزدوجة من الأجهزة. بعد الحادث، نجحت إحدى البورصات الكبرى في تجميد أصول مسروقة بقيمة 4.2 مليون دولار، وساعدت في تتبع الأموال المتبقية، لكن معظم الأموال قد تم غسلها عبر بورصات لامركزية وخدمات خلط.
6. Munchables تتعرض للاختراق الداخلي
مبلغ الخسارة: 62.5 مليون دولار أمريكي
أسلوب الهجوم: هجوم الهندسة الاجتماعية
في 26 مارس 2024، تعرضت منصة الألعاب Web3 Munchables المستندة إلى Blast لهجوم داخلي نادر. قام المهاجمون بالتنكر كمتخصصين في تطوير blockchain، واكتسبوا الشيفرة الأساسية والمفاتيح الحساسة من خلال التوغل لفترة طويلة. على الرغم من التسبب في خسائر ضخمة، إلا أنه تحت ضغط المجتمع والفريق، أعاد القراصنة في النهاية جميع الأموال المسروقة. تسلط هذه الحادثة الضوء على أهمية أمان سلسلة التوريد، خاصة بالنسبة لمشاريع blockchain التي تعتمد على تطوير طرف ثالث.
7. تسرب المفتاح الخاص من بورصة تركية معينة
مبلغ الخسارة: 55 مليون دولار أمريكي
طريقة الهجوم: تسرب مفتاح خاص
في 22 يونيو 2024، تعرضت بورصة كبيرة للعملات المشفرة في تركيا لهجوم تسرب مفاتيح خاصة، مما أدى إلى خسارة تزيد عن 55 مليون دولار من الأصول المشفرة. بمساعدة أحد البورصات الدولية، تم تجميد حوالي 5.3 مليون دولار من الأموال المسروقة بنجاح، ولكن الأصول المتبقية لم يتم استردادها بعد. وقد زاد هذا الحدث من مخاوف السوق بشأن قدرة البورصات المركزية على إدارة المفاتيح الخاصة.
8. تم اختراق محفظة Radiant Capital متعددة التوقيعات
مبلغ الخسارة: 53 مليون دولار أمريكي
أسلوب الهجوم: تسرب المفتاح الخاص
في 17 أكتوبر 2024، تعرض محفظة التوقيع المتعدد لشركة Radiant Capital للاختراق. بسبب اعتماد نموذج تحقق 3/11 بتكلفة منخفضة، تمكن القراصنة من الحصول على مفاتيح خاصة لثلاثة من الموقعين وبدء توقيع خارجي، مما أدى إلى نقل ملكية عقد المحفظة إلى عنوان خبيث، مما أسفر في النهاية عن سرقة 53 مليون دولار. أثار هذا الهجوم تأملاً في تصميم محافظ التوقيع المتعدد وآليات الحوكمة في الصناعة.
من المهم ملاحظة أن Radiant Capital قد خسرت سابقًا 4.5 مليون دولار بسبب ثغرة في العقد، وتمت سرقة أكثر من 1900 ETH. وهذا يبرز مرة أخرى أن مستوى اهتمام مشاريع Web3 بالأمان لا يزال بحاجة إلى تحسين.
9. تم استغلال ثغرة عقد Hedgey Finance
مبلغ الخسارة: 44.7 مليون دولار أمريكي
طرق الهجوم: ثغرات العقود
في 19 أبريل 2024، تعرضت Hedgey Finance لهجوم يستهدف عدة عقود على السلسلة. استغل القراصنة ثغرة الموافقة في عقد ClaimCampaigns الخاص بها، مما أدى إلى استخراج الرموز على سلسلتي الإيثيريوم وآربتريم، حيث بلغ إجمالي الخسائر 44.7 مليون دولار. تسلط هذه الحادثة الضوء على أهمية تدقيق الشفرات، خاصةً التحقق الدقيق من منطق الموافقة على الرموز.
10. اختراق المحفظة الساخنة في بورصة دولية معينة
مبلغ الخسارة: 44.7 مليون دولار أمريكي
أسلوب الهجوم: تسريب المفتاح الخاص
في 19 سبتمبر 2024، تعرضت المحفظة الساخنة لواحدة من البورصات الدولية الشهيرة للاختراق، مما أثر على عدة سلاسل عامة مثل الإيثيريوم وBNB Chain وTron. على الرغم من أن البورصة بدأت بسرعة في تنفيذ آلية نقل الأصول وتجميد السحب، إلا أن القراصنة تمكنوا من سحب أصول بقيمة 44.7 مليون دولار. تؤكد هذه الهجمة مرة أخرى على المخاطر العالية لإدارة المحافظ الساخنة في البورصات المركزية، مما يدفع الصناعة لاستكشاف حلول تخزين أصول أكثر أمانًا.
الخاتمة
تُذكّرنا الحوادث الأمنية المتكررة في عام 2024 مرة أخرى بأن التنمية الصحية لصناعة blockchain تعتمد على ضمان الأمان. من إدارة المفاتيح الخاصة إلى ثغرات العقود، ومن الحوكمة الداخلية إلى ترقية أساليب الهجوم الخارجية، كل حادث يُنبه الصناعة. في مواجهة التهديدات الأمنية المتزايدة التعقيد، يحتاج القطاع إلى تعزيز الاستثمار المستمر في مجالات البحث والتطوير التكنولوجي، والمعايير الإدارية، والوقاية من المخاطر. في المستقبل، نتطلع إلى بناء نظام بيئي أكثر أمانًا وموثوقية للـ blockchain من خلال التعاون في الصناعة والابتكار التكنولوجي، لتوفير حماية أقوى للمستخدمين والمستثمرين.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 15
أعجبني
15
6
إعادة النشر
مشاركة
تعليق
0/400
ETHReserveBank
· منذ 6 س
25 مليار دولار أمريكي اختفت هكذا؟
شاهد النسخة الأصليةرد0
ChainComedian
· منذ 6 س
صعب، صعب جداً! خمسة وعشرون مليار هكذا طارت.
شاهد النسخة الأصليةرد0
SatoshiChallenger
· منذ 6 س
هاكر سنة بعد سنة، حمقى لا يعرفون الكبر، يخسرون كل شيء في النهاية.
استعراض لأهم 10 حوادث أمنية في Web3: هجمات هاكر في عام 2024 تسببت في خسائر قدرها 2.491 مليار دولار
مراجعة أحداث أمان Web3 لعام 2024: تحليل لأهم عشرة هجمات
في عام 2024، تواجه صناعة blockchain تحديات أمنية متزايدة في ظل الابتكار التكنولوجي وتوسع النظام البيئي. وفقًا لبيانات منصة مراقبة الأمان، بلغ إجمالي الخسائر في مجال Web3 الناتجة عن هجمات القراصنة، وعمليات الاحتيال عبر التصيد، وهروب المشاريع 24.91 مليار دولار حتى نهاية العام.
لم تكشف هذه الأحداث فقط عن عيوب تقنية مثل إدارة المفاتيح الخاصة وثغرات العقود الذكية، بل أبرزت أيضًا المخاطر المحتملة للهندسة الاجتماعية والإدارة الداخلية. ستستعرض هذه المقالة أبرز عشرة أحداث أمان في Web3 لعام 2024، على أمل استخلاص الدروس منها وتقديم مرجع لحماية الأمان في المستقبل للصناعة.
1. حدث DMM Bitcoin
مبلغ الخسارة: 304 مليون دولار أمريكي أسلوب الهجوم: تسرب المفتاح الخاص
في 31 مايو 2024، تعرضت بورصة DMM Bitcoin اليابانية الشهيرة للعملات المشفرة لحادث أمني كبير. استخدم المهاجمون مفتاحًا خاصًا مسربًا لنقل أكثر من 300 مليون دولار من البيتكوين مباشرة، وسرعان ما قاموا بتوزيع الأموال المسروقة على أكثر من 10 عنوان مختلف. كشفت هذه الهجمة عن ثغرات خطيرة في إدارة المفاتيح الخاصة وحماية الأمان متعددة الطبقات في البورصة.
على الرغم من أن البورصة حاولت تتبع المتسللين من خلال المراقبة على السلسلة وتجميد الأموال، إلا أن العمل لاسترداد الأموال يواجه تحديات كبيرة بسبب تحويل البيتكوين المسروق بسرعة واستخدام أدوات خلط العملات لتبييضها. في نهاية العام، خلصت السلطات المحلية إلى أن الهجوم تم تنفيذه من قبل منظمة قراصنة دولية معينة.
2. واجهت PlayDapp إصدار مفرط للرموز
مبلغ الخسارة: 2.90 مليار دولار أمريكي أسلوب الهجوم: تسرب المفتاح الخاص
في 9 فبراير 2024، تعرض مشروع PlayDapp لضرر كبير. قام القراصنة بالحصول على المفتاح الخاص واصطناع 2 مليار توكن PLA بشكل غير قانوني، بقيمة أولية تبلغ 36.5 مليون دولار. بسبب فشل المفاوضات بين فريق المشروع والقراصنة، قام المهاجمون في فترة قصيرة بإصدار 15.9 مليار توكن PLA أخرى، ليصل إجمالي القيمة إلى 253.9 مليون دولار. بعد أن دخلت بعض التوكنات إلى البورصات، اضطرت PlayDapp إلى تعليق عقد PLA والانتقال إلى عقد توكن جديد. تسلط هذه الحادثة الضوء على أوجه القصور في حماية المفاتيح الخاصة والتعامل مع الطوارئ في مشاريع البلوكشين.
3. تعرضت بورصة هندية لهجوم دقيق
مبلغ الخسارة: 2.35 مليار دولار أمريكي وسيلة الهجوم: الهجمات الإلكترونية والصيد الاحتيالي
في 18 يوليو 2024، تعرضت محفظة متعددة التوقيع لأحد أكبر بورصات العملات المشفرة في الهند لهجوم دقيق من قبل قراصنة. قام المهاجمون بتحفيز الموقعين على التوقيع المتعدد للموافقة على صفقة ترقية للعقد من خلال أساليب الهندسة الاجتماعية، ثم استخدموا صلاحيات العقد المحدث لنقل جميع الأصول الموجودة في المحفظة. تكشف هذه القضية عن المخاطر المحتملة لمحافظ التوقيع المتعدد في تكوين الصلاحيات وشفافية العمليات، كما أثارت تفكيرًا عميقًا في آليات إدارة المخاطر الداخلية للمشاريع في الصناعة.
4. ثغرة عقد توكن Gala Games
مبلغ الخسارة: 2.16 مليار دولار أمريكي أسلوب الهجوم: ثغرة في التحكم بالوصول
في 20 مايو 2024، تم اختراق عنوان خاص لشركة Gala Games. قام المهاجمون باستدعاء وظيفة mint في عقد الرمز المميز، وبهذا قاموا بإنشاء 5 مليارات رمز GALA دفعة واحدة. بعد ذلك، تم تحويل هذه الرموز المميزة غير الشرعية على دفعات إلى ETH، مما أدى مباشرة إلى خسارة بلغت 216 مليون دولار. بعد وقوع الحادث، قامت فريق Gala Games بتفعيل وظيفة القائمة السوداء بشكل عاجل لحظر بعض حسابات المخترقين، واستعادوا جزءًا من الخسائر من خلال القنوات القانونية.
5. تم سرقة المحفظة الشخصية لمؤسس عملة مشفرة معروفة
مبلغ الخسارة: 1.12 مليون دولار أمريكي طريقة الهجوم: تسرب المفتاح الخاص
في 31 يناير 2024، تعرضت أربعة محافظ شخصية لأحد مؤسسي مشروع معروف للعملات المشفرة للاختراق، مما أدى إلى سرقة عملات مشفرة بقيمة 112 مليون دولار. ويُعتقد أن هذه المحافظ أصبحت هدفًا للهجمات بسبب نقص الحماية المزدوجة من الأجهزة. بعد الحادث، نجحت إحدى البورصات الكبرى في تجميد أصول مسروقة بقيمة 4.2 مليون دولار، وساعدت في تتبع الأموال المتبقية، لكن معظم الأموال قد تم غسلها عبر بورصات لامركزية وخدمات خلط.
6. Munchables تتعرض للاختراق الداخلي
مبلغ الخسارة: 62.5 مليون دولار أمريكي أسلوب الهجوم: هجوم الهندسة الاجتماعية
في 26 مارس 2024، تعرضت منصة الألعاب Web3 Munchables المستندة إلى Blast لهجوم داخلي نادر. قام المهاجمون بالتنكر كمتخصصين في تطوير blockchain، واكتسبوا الشيفرة الأساسية والمفاتيح الحساسة من خلال التوغل لفترة طويلة. على الرغم من التسبب في خسائر ضخمة، إلا أنه تحت ضغط المجتمع والفريق، أعاد القراصنة في النهاية جميع الأموال المسروقة. تسلط هذه الحادثة الضوء على أهمية أمان سلسلة التوريد، خاصة بالنسبة لمشاريع blockchain التي تعتمد على تطوير طرف ثالث.
7. تسرب المفتاح الخاص من بورصة تركية معينة
مبلغ الخسارة: 55 مليون دولار أمريكي طريقة الهجوم: تسرب مفتاح خاص
في 22 يونيو 2024، تعرضت بورصة كبيرة للعملات المشفرة في تركيا لهجوم تسرب مفاتيح خاصة، مما أدى إلى خسارة تزيد عن 55 مليون دولار من الأصول المشفرة. بمساعدة أحد البورصات الدولية، تم تجميد حوالي 5.3 مليون دولار من الأموال المسروقة بنجاح، ولكن الأصول المتبقية لم يتم استردادها بعد. وقد زاد هذا الحدث من مخاوف السوق بشأن قدرة البورصات المركزية على إدارة المفاتيح الخاصة.
8. تم اختراق محفظة Radiant Capital متعددة التوقيعات
مبلغ الخسارة: 53 مليون دولار أمريكي أسلوب الهجوم: تسرب المفتاح الخاص
في 17 أكتوبر 2024، تعرض محفظة التوقيع المتعدد لشركة Radiant Capital للاختراق. بسبب اعتماد نموذج تحقق 3/11 بتكلفة منخفضة، تمكن القراصنة من الحصول على مفاتيح خاصة لثلاثة من الموقعين وبدء توقيع خارجي، مما أدى إلى نقل ملكية عقد المحفظة إلى عنوان خبيث، مما أسفر في النهاية عن سرقة 53 مليون دولار. أثار هذا الهجوم تأملاً في تصميم محافظ التوقيع المتعدد وآليات الحوكمة في الصناعة.
من المهم ملاحظة أن Radiant Capital قد خسرت سابقًا 4.5 مليون دولار بسبب ثغرة في العقد، وتمت سرقة أكثر من 1900 ETH. وهذا يبرز مرة أخرى أن مستوى اهتمام مشاريع Web3 بالأمان لا يزال بحاجة إلى تحسين.
9. تم استغلال ثغرة عقد Hedgey Finance
مبلغ الخسارة: 44.7 مليون دولار أمريكي طرق الهجوم: ثغرات العقود
في 19 أبريل 2024، تعرضت Hedgey Finance لهجوم يستهدف عدة عقود على السلسلة. استغل القراصنة ثغرة الموافقة في عقد ClaimCampaigns الخاص بها، مما أدى إلى استخراج الرموز على سلسلتي الإيثيريوم وآربتريم، حيث بلغ إجمالي الخسائر 44.7 مليون دولار. تسلط هذه الحادثة الضوء على أهمية تدقيق الشفرات، خاصةً التحقق الدقيق من منطق الموافقة على الرموز.
10. اختراق المحفظة الساخنة في بورصة دولية معينة
مبلغ الخسارة: 44.7 مليون دولار أمريكي أسلوب الهجوم: تسريب المفتاح الخاص
في 19 سبتمبر 2024، تعرضت المحفظة الساخنة لواحدة من البورصات الدولية الشهيرة للاختراق، مما أثر على عدة سلاسل عامة مثل الإيثيريوم وBNB Chain وTron. على الرغم من أن البورصة بدأت بسرعة في تنفيذ آلية نقل الأصول وتجميد السحب، إلا أن القراصنة تمكنوا من سحب أصول بقيمة 44.7 مليون دولار. تؤكد هذه الهجمة مرة أخرى على المخاطر العالية لإدارة المحافظ الساخنة في البورصات المركزية، مما يدفع الصناعة لاستكشاف حلول تخزين أصول أكثر أمانًا.
الخاتمة
تُذكّرنا الحوادث الأمنية المتكررة في عام 2024 مرة أخرى بأن التنمية الصحية لصناعة blockchain تعتمد على ضمان الأمان. من إدارة المفاتيح الخاصة إلى ثغرات العقود، ومن الحوكمة الداخلية إلى ترقية أساليب الهجوم الخارجية، كل حادث يُنبه الصناعة. في مواجهة التهديدات الأمنية المتزايدة التعقيد، يحتاج القطاع إلى تعزيز الاستثمار المستمر في مجالات البحث والتطوير التكنولوجي، والمعايير الإدارية، والوقاية من المخاطر. في المستقبل، نتطلع إلى بناء نظام بيئي أكثر أمانًا وموثوقية للـ blockchain من خلال التعاون في الصناعة والابتكار التكنولوجي، لتوفير حماية أقوى للمستخدمين والمستثمرين.