مراجعة وتأملات في أهم عشرة أحداث أمنية في Web3 لعام 2024
في عام 2024، تواجه صناعة blockchain، مع الابتكار التكنولوجي وتوسع النظام البيئي، تحديات أمان متزايدة. وفقًا لبيانات مراقبة الأمان، بلغت الخسائر الإجمالية في هذا العام في مجال Web3 بسبب هجمات القراصنة، احتيال التصيد وهروب المشروع 24.91 مليار دولار.
تظهر هذه الأحداث ليس فقط عيوبًا تقنية مثل إدارة المفاتيح الخاصة وثغرات العقود الذكية، ولكن أيضًا تبرز المخاطر المحتملة للهندسة الاجتماعية والإدارة الداخلية. ستستعرض هذه المقالة أبرز عشرة أحداث أمان في Web3 لعام 2024، على أمل الاستفادة منها لتوفير مرجعية لأمان الصناعة في المستقبل.
1. DMM Bitcoin: تسرب المفتاح الخاص يؤدي إلى خسائر بقيمة 304 مليون دولار
في 31 مايو 2024، تعرضت بورصة DMM Bitcoin اليابانية الشهيرة للعملات المشفرة لهجوم كبير. استغل المتسللون مفتاحًا خاصًا مسربًا لنقل أكثر من 300 مليون دولار من البيتكوين مباشرة، وسرعان ما قاموا بتوزيع الأموال المسروقة على عدة عناوين. كشفت هذه الحادثة عن نقص خطير في إدارة المفاتيح الخاصة والحماية الأمنية متعددة الطبقات في تلك البورصة.
على الرغم من أن البورصات حاولت تتبع المتسللين من خلال مراقبة الشبكة وتجميد الأموال، إلا أن البيتكوين المسروق تم تحويله بسرعة وتوزيعه باستخدام أدوات الخلط، مما زاد بشكل كبير من صعوبة استرداده. ومن الجدير بالذكر أن الشرطة اليابانية أكدت في 24 ديسمبر أن الحادث كان من تنفيذ مجموعة القراصنة الكورية الشمالية Lazarus.
2. PlayDapp: تسرب المفتاح الخاص أدى إلى خسارة قدرها 2.90 مليار دولار
في 9 فبراير 2024، تعرضت PlayDapp لضربة قاسية. قام هاكر بسرقة المفاتيح الخاصة وصك 2 مليار رمز PLA، بقيمة أولية تبلغ 36.5 مليون دولار. وبسبب فشل المفاوضات بين المشروع والهاكر، قام الهاكر بعد ذلك بصك 15.9 مليار رمز PLA إضافي، بقيمة 253.9 مليون دولار. بعد أن تسربت بعض الرموز المسروقة إلى البورصات، اضطرت PlayDapp إلى تعليق عقد PLA والانتقال إلى عقد رموز PDA جديدة. تبرز هذه الحادثة نقص مشاريع blockchain في حماية المفاتيح الخاصة والتعامل مع الطوارئ.
3. بورصة العملات المشفرة الهندية: الهجمات الإلكترونية وعمليات التصيد تؤدي إلى خسائر بقيمة 2.35 مليار دولار
في 18 يوليو 2024، تعرضت محفظة Safe Wallet متعددة التوقيع لأكبر بورصة عملات رقمية في الهند لهجوم دقيق. قام المهاجمون باستخدام أساليب الهندسة الاجتماعية لخداع الموقعين المتعددين على التوقيع لتوقيع صفقة ترقية للعقد، ثم استغلوا صلاحيات العقد المحدث لنقل جميع الأصول الموجودة في المحفظة. تسلط هذه الحالة الضوء على المخاطر المحتملة لمحافظ متعددة التوقيع فيما يتعلق بإدارة الصلاحيات وشفافية العمليات، كما أثارت تفكيرًا عميقًا في آليات التحكم الداخلي والأمان في المشاريع.
4. ألعاب جالا: ثغرة التحكم في الوصول تؤدي إلى خسارة 2.16 مليار دولار
في 20 مايو 2024، تم اختراق عنوان امتياز من Gala Games. قام المهاجمون باستدعاء وظيفة mint في عقد الرموز، وصنعوا 5 مليارات من رموز GALA دفعة واحدة. بعد ذلك، قام المهاجمون بتحويل هذه الرموز إلى ETH على دفعات، مما أدى مباشرة إلى خسائر تقدر بـ 216 مليون دولار. قامت فريق Gala Games بعد وقوع الحادث بتفعيل ميزة القائمة السوداء بشكل عاجل لحظر بعض حسابات المهاجمين، واستعادوا جزءًا من الخسائر من خلال القنوات القانونية.
5. تم اختراق المحفظة الشخصية لمؤسس Ripple المشارك: سرقة 112 مليون دولار من XRP
في 31 يناير 2024، تم اختراق أربعة محافظ شخصية لمؤسس Ripple المشارك كريس لارسون من قبل قراصنة، مما أدى إلى سرقة 112 مليون دولار من XRP. قد تكون هذه المحافظ هدفًا للهجوم بسبب نقص الحماية المزدوجة للأجهزة. بعد الحادث، نجحت إحدى البورصات في تجميد XRP بقيمة 4.2 مليون دولار، وساعدت لارسون في تتبع الأصول المسروقة، لكن تم غسل معظم الأموال بالفعل من خلال بورصات لامركزية وخدمات خلط.
6. Munchables: هجمات الهندسة الاجتماعية تسبب خسائر بقيمة 6250 مليون دولار
في 26 مارس 2024، تعرضت منصة الألعاب Web3 المبنية على Blast، Munchables، لهجوم نادر من اختراق داخلي. كان المهاجمون قراصنة متخفين في شكل مطوري بلوكتشين، وقد تمكنوا من الحصول على الشيفرة الأساسية والمفاتيح الحساسة من خلال التواجد لفترة طويلة. على الرغم من أن الهجوم تسبب في خسائر مالية ضخمة، إلا أنه تحت ضغط المجتمع والفريق، أعاد القراصنة في النهاية جميع الأموال المسروقة. تكشف هذه الحادثة عن أهمية أمان سلسلة التوريد، خاصة بالنسبة لمشاريع البلوكتشين التي تعتمد على تطوير طرف ثالث.
7. إحدى بورصات العملات المشفرة التركية: تسرب المفتاح الخاص أدى إلى خسائر بقيمة 55 مليون دولار
في 22 يونيو 2024، تعرضت أكبر بورصة عملات رقمية في تركيا لهجوم تسرب مفاتيح خاصة، مما أدى إلى خسارة تزيد عن 55 مليون دولار من الأصول المشفرة. بمساعدة فريق من إحدى البورصات، تم تجميد 5.3 مليون دولار من الأموال المسروقة بنجاح، ولكن لم يتم استرداد الأصول الأخرى. لقد عمق هذا الحدث المخاوف في السوق بشأن إدارة المفاتيح الخاصة في البورصات المركزية.
8. Radiant Capital: ثغرة في محفظة متعددة التوقيعات تؤدي إلى خسارة 53 مليون دولار
في 17 أكتوبر 2024، تم اختراق محفظة التوقيع المتعدد لشركة راديانت كابيتال من قبل قراصنة. نظرًا لاعتماد نموذج التحقق من التوقيع 3/11 ذو العتبة المنخفضة، تمكن القراصنة من السيطرة على المفاتيح الخاصة لثلاثة من الموقعين، مما أدى إلى إجراء توقيع خارج السلسلة، ونقل ملكية عقد المحفظة إلى عنوان ضار، مما أسفر في النهاية عن سرقة 53 مليون دولار. أثارت هذه الهجمة تأملاً في تصميم محافظ التوقيع المتعدد وآليات الحوكمة في الصناعة.
من الجدير بالذكر أن Radiant Capital قد خسرت 4.5 مليون دولار بسبب ثغرة في العقد قبل هذا الهجوم، وتم سرقة أكثر من 1900 قطعة ETH. وهذا يؤكد مرة أخرى على المساحة المتاحة لمشاريع Web3 في تعزيز مستوى اهتمامها بالأمان.
9. Hedgey Finance: تسبب ثغرات العقود في خسارة 44.7 مليون دولار
في 19 أبريل 2024، تعرضت Hedgey Finance لهجوم يستهدف عدة عقود على السلسلة. استغل القراصنة ثغرة الموافقة في عقد ClaimCampaigns الخاص بها، حيث تمكنوا من استخراج الرموز من سلسلتي Ethereum وArbitrum، وبلغ إجمالي الخسائر 44.7 مليون دولار. تسلط هذه الحادثة الضوء على أهمية تدقيق الشفرات، خاصة فيما يتعلق بالتحقق الصارم من منطق الموافقة على الرموز.
10. بورصة العملات المشفرة: تم اختراق المحفظة الساخنة وخسارة 4470 مليون دولار
في 19 سبتمبر 2024، تعرضت المحفظة الساخنة لأحد بورصات العملات المشفرة للاختراق من قبل هاكر، مما أثر على عدة سلاسل عامة مثل Ethereum و BNB Chain و Tron. على الرغم من أن البورصة بدأت بسرعة في تنفيذ آلية نقل الأصول وتجميد السحب، إلا أن الهاكر تمكن من استخراج أصول بقيمة 44.7 مليون دولار. تعكس هذه الهجمة المخاطر العالية لإدارة المحافظ الساخنة في البورصات المركزية، وتدفع الصناعة لمزيد من البحث عن حلول أكثر أمانًا لتخزين الأصول.
الخاتمة
تزايد حوادث الهجمات الأمنية في عام 2024 يذكرنا مرة أخرى بأن تطوير صناعة blockchain يعتمد على الأمن. من تسريبات المفاتيح الخاصة إلى ثغرات العقود، ومن الإهمال في الإدارة الداخلية إلى ترقية أساليب الهجوم الخارجية، كل حادثة جاءت بدروس عميقة. لمواجهة التهديدات الهجومية المتزايدة التعقيد، يحتاج جميع الأطراف في الصناعة إلى تعزيز الاستثمار في تطوير التكنولوجيا، والمعايير الإدارية، والوقاية من المخاطر. في المستقبل، نتطلع إلى التعاون بين الصناعة والابتكار التكنولوجي لبناء نظام بيئي أكثر أمانًا لـ blockchain، وتوفير حماية أكثر موثوقية للمستخدمين والمستثمرين.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
استعراض لأهم 10 حوادث أمنية في Web3: خسائر تصل إلى 24.91 مليار دولار في عام 2024
مراجعة وتأملات في أهم عشرة أحداث أمنية في Web3 لعام 2024
في عام 2024، تواجه صناعة blockchain، مع الابتكار التكنولوجي وتوسع النظام البيئي، تحديات أمان متزايدة. وفقًا لبيانات مراقبة الأمان، بلغت الخسائر الإجمالية في هذا العام في مجال Web3 بسبب هجمات القراصنة، احتيال التصيد وهروب المشروع 24.91 مليار دولار.
تظهر هذه الأحداث ليس فقط عيوبًا تقنية مثل إدارة المفاتيح الخاصة وثغرات العقود الذكية، ولكن أيضًا تبرز المخاطر المحتملة للهندسة الاجتماعية والإدارة الداخلية. ستستعرض هذه المقالة أبرز عشرة أحداث أمان في Web3 لعام 2024، على أمل الاستفادة منها لتوفير مرجعية لأمان الصناعة في المستقبل.
1. DMM Bitcoin: تسرب المفتاح الخاص يؤدي إلى خسائر بقيمة 304 مليون دولار
في 31 مايو 2024، تعرضت بورصة DMM Bitcoin اليابانية الشهيرة للعملات المشفرة لهجوم كبير. استغل المتسللون مفتاحًا خاصًا مسربًا لنقل أكثر من 300 مليون دولار من البيتكوين مباشرة، وسرعان ما قاموا بتوزيع الأموال المسروقة على عدة عناوين. كشفت هذه الحادثة عن نقص خطير في إدارة المفاتيح الخاصة والحماية الأمنية متعددة الطبقات في تلك البورصة.
على الرغم من أن البورصات حاولت تتبع المتسللين من خلال مراقبة الشبكة وتجميد الأموال، إلا أن البيتكوين المسروق تم تحويله بسرعة وتوزيعه باستخدام أدوات الخلط، مما زاد بشكل كبير من صعوبة استرداده. ومن الجدير بالذكر أن الشرطة اليابانية أكدت في 24 ديسمبر أن الحادث كان من تنفيذ مجموعة القراصنة الكورية الشمالية Lazarus.
2. PlayDapp: تسرب المفتاح الخاص أدى إلى خسارة قدرها 2.90 مليار دولار
في 9 فبراير 2024، تعرضت PlayDapp لضربة قاسية. قام هاكر بسرقة المفاتيح الخاصة وصك 2 مليار رمز PLA، بقيمة أولية تبلغ 36.5 مليون دولار. وبسبب فشل المفاوضات بين المشروع والهاكر، قام الهاكر بعد ذلك بصك 15.9 مليار رمز PLA إضافي، بقيمة 253.9 مليون دولار. بعد أن تسربت بعض الرموز المسروقة إلى البورصات، اضطرت PlayDapp إلى تعليق عقد PLA والانتقال إلى عقد رموز PDA جديدة. تبرز هذه الحادثة نقص مشاريع blockchain في حماية المفاتيح الخاصة والتعامل مع الطوارئ.
3. بورصة العملات المشفرة الهندية: الهجمات الإلكترونية وعمليات التصيد تؤدي إلى خسائر بقيمة 2.35 مليار دولار
في 18 يوليو 2024، تعرضت محفظة Safe Wallet متعددة التوقيع لأكبر بورصة عملات رقمية في الهند لهجوم دقيق. قام المهاجمون باستخدام أساليب الهندسة الاجتماعية لخداع الموقعين المتعددين على التوقيع لتوقيع صفقة ترقية للعقد، ثم استغلوا صلاحيات العقد المحدث لنقل جميع الأصول الموجودة في المحفظة. تسلط هذه الحالة الضوء على المخاطر المحتملة لمحافظ متعددة التوقيع فيما يتعلق بإدارة الصلاحيات وشفافية العمليات، كما أثارت تفكيرًا عميقًا في آليات التحكم الداخلي والأمان في المشاريع.
4. ألعاب جالا: ثغرة التحكم في الوصول تؤدي إلى خسارة 2.16 مليار دولار
في 20 مايو 2024، تم اختراق عنوان امتياز من Gala Games. قام المهاجمون باستدعاء وظيفة mint في عقد الرموز، وصنعوا 5 مليارات من رموز GALA دفعة واحدة. بعد ذلك، قام المهاجمون بتحويل هذه الرموز إلى ETH على دفعات، مما أدى مباشرة إلى خسائر تقدر بـ 216 مليون دولار. قامت فريق Gala Games بعد وقوع الحادث بتفعيل ميزة القائمة السوداء بشكل عاجل لحظر بعض حسابات المهاجمين، واستعادوا جزءًا من الخسائر من خلال القنوات القانونية.
5. تم اختراق المحفظة الشخصية لمؤسس Ripple المشارك: سرقة 112 مليون دولار من XRP
في 31 يناير 2024، تم اختراق أربعة محافظ شخصية لمؤسس Ripple المشارك كريس لارسون من قبل قراصنة، مما أدى إلى سرقة 112 مليون دولار من XRP. قد تكون هذه المحافظ هدفًا للهجوم بسبب نقص الحماية المزدوجة للأجهزة. بعد الحادث، نجحت إحدى البورصات في تجميد XRP بقيمة 4.2 مليون دولار، وساعدت لارسون في تتبع الأصول المسروقة، لكن تم غسل معظم الأموال بالفعل من خلال بورصات لامركزية وخدمات خلط.
6. Munchables: هجمات الهندسة الاجتماعية تسبب خسائر بقيمة 6250 مليون دولار
في 26 مارس 2024، تعرضت منصة الألعاب Web3 المبنية على Blast، Munchables، لهجوم نادر من اختراق داخلي. كان المهاجمون قراصنة متخفين في شكل مطوري بلوكتشين، وقد تمكنوا من الحصول على الشيفرة الأساسية والمفاتيح الحساسة من خلال التواجد لفترة طويلة. على الرغم من أن الهجوم تسبب في خسائر مالية ضخمة، إلا أنه تحت ضغط المجتمع والفريق، أعاد القراصنة في النهاية جميع الأموال المسروقة. تكشف هذه الحادثة عن أهمية أمان سلسلة التوريد، خاصة بالنسبة لمشاريع البلوكتشين التي تعتمد على تطوير طرف ثالث.
7. إحدى بورصات العملات المشفرة التركية: تسرب المفتاح الخاص أدى إلى خسائر بقيمة 55 مليون دولار
في 22 يونيو 2024، تعرضت أكبر بورصة عملات رقمية في تركيا لهجوم تسرب مفاتيح خاصة، مما أدى إلى خسارة تزيد عن 55 مليون دولار من الأصول المشفرة. بمساعدة فريق من إحدى البورصات، تم تجميد 5.3 مليون دولار من الأموال المسروقة بنجاح، ولكن لم يتم استرداد الأصول الأخرى. لقد عمق هذا الحدث المخاوف في السوق بشأن إدارة المفاتيح الخاصة في البورصات المركزية.
8. Radiant Capital: ثغرة في محفظة متعددة التوقيعات تؤدي إلى خسارة 53 مليون دولار
في 17 أكتوبر 2024، تم اختراق محفظة التوقيع المتعدد لشركة راديانت كابيتال من قبل قراصنة. نظرًا لاعتماد نموذج التحقق من التوقيع 3/11 ذو العتبة المنخفضة، تمكن القراصنة من السيطرة على المفاتيح الخاصة لثلاثة من الموقعين، مما أدى إلى إجراء توقيع خارج السلسلة، ونقل ملكية عقد المحفظة إلى عنوان ضار، مما أسفر في النهاية عن سرقة 53 مليون دولار. أثارت هذه الهجمة تأملاً في تصميم محافظ التوقيع المتعدد وآليات الحوكمة في الصناعة.
من الجدير بالذكر أن Radiant Capital قد خسرت 4.5 مليون دولار بسبب ثغرة في العقد قبل هذا الهجوم، وتم سرقة أكثر من 1900 قطعة ETH. وهذا يؤكد مرة أخرى على المساحة المتاحة لمشاريع Web3 في تعزيز مستوى اهتمامها بالأمان.
9. Hedgey Finance: تسبب ثغرات العقود في خسارة 44.7 مليون دولار
في 19 أبريل 2024، تعرضت Hedgey Finance لهجوم يستهدف عدة عقود على السلسلة. استغل القراصنة ثغرة الموافقة في عقد ClaimCampaigns الخاص بها، حيث تمكنوا من استخراج الرموز من سلسلتي Ethereum وArbitrum، وبلغ إجمالي الخسائر 44.7 مليون دولار. تسلط هذه الحادثة الضوء على أهمية تدقيق الشفرات، خاصة فيما يتعلق بالتحقق الصارم من منطق الموافقة على الرموز.
10. بورصة العملات المشفرة: تم اختراق المحفظة الساخنة وخسارة 4470 مليون دولار
في 19 سبتمبر 2024، تعرضت المحفظة الساخنة لأحد بورصات العملات المشفرة للاختراق من قبل هاكر، مما أثر على عدة سلاسل عامة مثل Ethereum و BNB Chain و Tron. على الرغم من أن البورصة بدأت بسرعة في تنفيذ آلية نقل الأصول وتجميد السحب، إلا أن الهاكر تمكن من استخراج أصول بقيمة 44.7 مليون دولار. تعكس هذه الهجمة المخاطر العالية لإدارة المحافظ الساخنة في البورصات المركزية، وتدفع الصناعة لمزيد من البحث عن حلول أكثر أمانًا لتخزين الأصول.
الخاتمة
تزايد حوادث الهجمات الأمنية في عام 2024 يذكرنا مرة أخرى بأن تطوير صناعة blockchain يعتمد على الأمن. من تسريبات المفاتيح الخاصة إلى ثغرات العقود، ومن الإهمال في الإدارة الداخلية إلى ترقية أساليب الهجوم الخارجية، كل حادثة جاءت بدروس عميقة. لمواجهة التهديدات الهجومية المتزايدة التعقيد، يحتاج جميع الأطراف في الصناعة إلى تعزيز الاستثمار في تطوير التكنولوجيا، والمعايير الإدارية، والوقاية من المخاطر. في المستقبل، نتطلع إلى التعاون بين الصناعة والابتكار التكنولوجي لبناء نظام بيئي أكثر أمانًا لـ blockchain، وتوفير حماية أكثر موثوقية للمستخدمين والمستثمرين.