مراجعة أمان التمويل اللامركزي: تحليل الأحداث الرئيسية في عام 2022 والدروس المستفادة

شهد عام 2022 تكرار حوادث الأمان في مجال blockchain، حيث وقع أكثر من 300 حادثة، بلغت قيمة الأموال المعنية 4.3 مليار دولار. ستقوم هذه المقالة بتحليل ثمانية حالات نموذجية بتفصيل، حيث تتجاوز قيمة الخسائر في معظم هذه الحالات 100 مليون دولار، مما يجعلها ذات أهمية كبيرة للاستفادة منها.

! Cobo DeFi Security Class I: مراجعة أحداث أمان DeFi لعام 2022

حدث جسر رونين

في 23 مارس 2022، تعرضت شبكة Ronin التابعة لـ Axie Infinity للاختراق، مما أدى إلى خسارة 173,600 ETH و 25,500,000 USD، بإجمالي حوالي 590,000,000 دولار أمريكي. المهاجمون يشتبه في أنهم مجموعة القراصنة الكورية الشمالية Lazarus.

قام المهاجمون بالتواصل مع موظفي شركة Sky Mavis من خلال أساليب الهندسة الاجتماعية، وزرعوا برامج ضارة للسيطرة على 5 نقاط تحقق، مما أدى إلى تنفيذ الهجوم في النهاية. هذا يكشف عن ضعف الوعي الأمني لدى الموظفين ووجود ثغرات في النظام الأمني الداخلي.

هذا الحدث يمثل تهديدًا مستمرًا متقدمًا نموذجياً APT( ). بدأت جماعات القرصنة التقليدية والقوى الوطنية في التحول نحو مهاجمة مشاريع البلوك تشين للحصول على فوائد اقتصادية مباشرة.

حادثة الثقب الدودي

تم الهجوم على جسر Wormhole عبر السلاسل، مما أدى إلى خسارة حوالي 120,000 قطعة من ETH. السبب الجذري هو وجود عيب في كود التحقق من التوقيع لعقد سولانا الأساسي، مما يسمح للمهاجمين بتزوير رسائل "الوصي" لصنع ETH المغلفة.

هذه مشكلة تتعلق بالشفرة، حيث تم استخدام بعض الدوال المهجورة. يجب على المطورين تحديث استخدامهم للإصدار الأحدث في الوقت المناسب، لتجنب مشاكل مماثلة.

حدث جسر نوماد

تم تعيين الجذر الموثوق به بشكل خاطئ عند تهيئة عقد جسر Nomad عبر السلاسل، ولم يتم تعطيل الجذر القديم عند التعديل، مما أدى إلى تمكين المهاجمين من إنشاء رسائل عشوائية لاستخراج الأموال، مما أدى إلى خسائر تزيد عن 190 مليون دولار.

هذه حالة خطأ نموذجية في تهيئة العقد. بمجرد اكتشافها، يمكن لأي شخص إعادة تنفيذ الصفقة الصالحة لتحقيق الربح. يشارك عدد كبير من روبوتات MEV في التنافس، مما يجعلها "معركة لنهب الأموال".

على الرغم من أن الشيفرة المصدرية مفتوحة، إلا أنها تسهل على المهاجمين اكتشاف الثغرات. يجب على فريق المشروع تعزيز تدقيق الشيفرة لضمان صحة المراحل الحيوية مثل التهيئة.

أحداث Beanstalk

تعرض مشروع العملة المستقرة الخوارزمية Beanstalk لهجوم اقتراض سريع، مما أدى إلى خسارة حوالي 1.82 مليون دولار. السبب الرئيسي هو عدم وجود فترة زمنية بين اقتراع الاقتراح وتنفيذه، مما يسمح للمهاجم بتنفيذ الاقتراحات الخبيثة على الفور.

المهاجمون يشترون الرموز مسبقًا للحصول على حقوق الاقتراح، ويستخدمون القروض الفورية للحصول على عدد كبير من حقوق التصويت، وينفذون التحكيم من خلال مقترحات خبيثة. هذا يكشف عن مخاطر الحوكمة اللامركزية البحتة.

يجب على المشروع إنشاء آلية مراجعة الاقتراحات، وفترة قفل التصويت، وآلية قفل وقت التنفيذ، وغيرها من التدابير، لتجنب المخاطر المماثلة.

حدث Wintermute

استخدم صانع السوق Wintermute أدوات مفتوحة المصدر لإنشاء عناوين جميلة، مما أدى إلى اختراق المفتاح الخاص للمالك في العقد، وخسارة حوالي 1.6 مليار دولار.

عند استخدام الأدوات مفتوحة المصدر، يجب تقييم المخاطر المحتملة بشكل كامل. يجب استخدام طريقة أكثر أمانًا لتوليد العناوين الرئيسية، وتجنب استخدام الأدوات التابعة لجهات خارجية غير موثوقة.

حدث جسر هارموني

تعرض جسر Harmony المتقاطع Horizon لهجوم، مما أدى إلى خسائر تجاوزت 100 مليون دولار. ووفقًا للتحليل، قد يكون هذا أيضًا من فعل مجموعة قراصنة كورية شمالية، حيث تشبه طريقة الهجوم تلك المستخدمة في جسر Ronin.

تعتبر جسور السلاسل كالبنية التحتية الأساسية التي تربط بين سلاسل مختلفة، هدفًا رئيسيًا لهجمات القراصنة. يجب على الفرق المعنية تعزيز الحماية الأمنية ورفع عتبة الهجمات.

حدث Ankr

تم تسريب المفتاح الخاص لمالك عقد Ankr، مما أدى إلى قيام قراصنة بصك كميات كبيرة من الرموز وتحويل 5000000 USDC إلى نقد. ثم ظهر متداولون يقومون بالتحكيم باستخدام تأخير في بيانات الأوراق المالية بقيمة 17000000 دولار.

هذا يكشف عن وجود مشاكل خطيرة في إدارة الأمن الداخلي لـ Ankr: يتم التحكم في المفاتيح الخاصة الرئيسية من قبل الأفراد، ويمكن للموظفين الذين يغادرون العمل استخدامها. يجب على المشروع إنشاء نظام شامل لإدارة المفاتيح، واستخدام آليات أكثر أمانًا مثل التوقيع المتعدد.

حدث مانغو

استغل المهاجمون ثغرة نقص السيولة في العملات الصغيرة على منصة مانجو، من خلال التلاعب بالأسعار لتحقيق أرباح تصل إلى 115 مليون دولار. وهذا يعتبر أكثر ثغرة في نموذج العمل وليس ثغرة أمنية.

يجب على فريق المشروع أن يأخذ في الاعتبار مختلف السيناريوهات المتطرفة وأن يُحسّن تدابير إدارة المخاطر. يجب على المستخدمين تقييم المخاطر بشكل شامل عند المشاركة في المشروع، ولا ينبغي عليهم النظر فقط إلى العوائد مع تجاهل الأمان.

بالمجمل، مع تعقد نظام Web3 بشكل متزايد، أصبحت تهديدات الأمان أكثر تنوعًا. يجب على الشركات إنشاء نظام أمان متكامل، ويجب على المستخدمين أيضًا تعزيز الوعي بالأمان، من أجل الحفاظ على التنمية الصحية للصناعة.

! Cobo DeFi Security Class I: مراجعة أحداث أمان DeFi لعام 2022