مراجعة الأحداث الأمنية في Web3 لعام 2024: تحليل لأهم عشرة حالات هجوم
في عام 2024، مع الابتكارات المستمرة في تقنية blockchain وتوسع النظام البيئي، تواجه مجال Web3 تحديات أمنية متزايدة. ووفقًا لإحصاءات منصة البيانات، اعتبارًا من نهاية العام، بلغت الخسائر الإجمالية في قطاع Web3 بسبب هجمات القراصنة، وعمليات الاحتيال عبر التصيد، والخروج الخبيث من المشاريع 24.91 مليار دولار.
لم تكشف هذه الأحداث فقط عن ثغرات على المستوى الفني مثل إدارة المفاتيح الخاصة والعقود الذكية، بل أبرزت أيضًا المخاطر المحتملة في مجالات مثل هجمات الهندسة الاجتماعية والإدارة الداخلية. ستستعرض هذه المقالة أبرز عشرة أحداث أمنية في مجال Web3 لعام 2024، على أمل أن يتمكن القطاع من استخلاص الدروس المستفادة منها، والتكيف بشكل أفضل مع التهديدات الأمنية المستقبلية.
1. DMM Bitcoin: تسرب المفتاح الخاص يؤدي إلى خسارة 304 مليون دولار
في 31 مايو 2024، تعرضت بورصة DMM Bitcoin اليابانية الشهيرة للعملات المشفرة لحادث أمني كبير. استغل المهاجمون مفتاحاً خاصاً مسرباً لنقل أكثر من 300 مليون دولار من البيتكوين مباشرة، وقاموا بسرعة بتوزيع الأموال المسروقة على أكثر من 10 عناوين مختلفة. كشفت هذه الحادثة عن عيوب خطيرة لدى البورصة في إدارة المفاتيح الخاصة ووسائل الحماية الأمنية المتعددة.
على الرغم من أن البورصة حاولت تتبع المتسللين من خلال المراقبة على الشبكة وتجميد الأموال، إلا أن جهود الاسترداد تواجه تحديات كبيرة بسبب تحويل البيتكوين المسروق بسرعة وتنظيفه باستخدام أدوات خلط العملات. في نهاية العام، خلصت الشرطة اليابانية إلى أن هذا الهجوم يُشتبه في أنه تم بواسطة مجموعة الهاكرز الكورية الشمالية "Lazarus Group".
2. PlayDapp: تسرب المفتاح الخاص يؤدي إلى خسارة 2.90 مليار دولار
في 9 فبراير 2024، تعرضت PlayDapp لحدث أمني خطير. تمكن القراصنة من سرقة المفتاح الخاص بنجاح وصنعوا 2 مليار رمز PLA، بقيمة أولية 36.5 مليون دولار. نظرًا لفشل المفاوضات بين الفريق المشروع والقراصنة، قام المهاجمون في فترة قصيرة بمزيد من صنع 15.9 مليار رمز PLA، بقيمة تصل إلى 253.9 مليون دولار.
بعد تدفق بعض الرموز المسروقة إلى منصات التداول، اضطرت PlayDapp إلى تعليق تشغيل عقد PLA ونقل الرموز إلى عقد PDA الجديد. تسلط هذه الحادثة الضوء على أوجه القصور في حماية المفاتيح الخاصة وآلية الاستجابة الطارئة لمشاريع البلوكشين.
3. WazirX: الهجمات الإلكترونية والتصيد تؤدي إلى خسائر بقيمة 2.35 مليار دولار
في 18 يوليو 2024، تعرضت محفظة Safe Wallet متعددة التوقيع من أكبر بورصة عملات مشفرة في الهند WazirX لهجوم دقيق. استخدم المهاجمون أساليب الهندسة الاجتماعية لإغواء الموقّعين على المحفظة بالموافقة على صفقة ترقية العقد، وبعد ذلك استخدموا صلاحيات العقد المحدث لنقل جميع الأصول الموجودة في المحفظة.
كشفت هذه القضية عن المخاطر المحتملة لمحافظ التوقيع المتعدد في إدارة الأذونات وشفافية العمليات، كما أثارت أيضًا تفكيرًا عميقًا داخل الصناعة حول آليات التحكم الداخلي والأمان في المشاريع.
4. Gala Games: ثغرة في التحكم بالوصول تتسبب في خسائر بقيمة 216 مليون دولار
في 20 مايو 2024، تم اختراق عنوان امتياز لـ Gala Games بواسطة قراصنة. قام المهاجمون باستدعاء وظيفة mint في عقد الرموز، وصنعوا دفعة واحدة 5 مليارات من رموز GALA. بعد ذلك، قام القراصنة بتحويل هذه الرموز الجديدة إلى ETH على دفعات، مما أدى مباشرة إلى خسارة قدرها 216 مليون دولار.
فريق Gala Games قام بسرعة بتفعيل ميزة القائمة السوداء بعد وقوع الحادث، وحظر بعض حسابات القراصنة، واستعادوا بعض الخسائر من خلال الطرق القانونية. يبرز هذا الحدث أهمية إدارة صلاحيات العقود.
5. كريس لارسون: تسرب المفتاح الخاص أدى إلى سرقة 1.12 مليون دولار من XRP
في 31 يناير 2024، تعرضت أربعة محافظ شخصية لمؤسس Ripple المشارك كريس لارسون للاختراق، مما أدى إلى سرقة عملة XRP بقيمة 112 مليون دولار. ويُعتقد أن هذه المحافظ كانت هدفًا للهجوم بسبب نقص حماية المصادقة الثنائية باستخدام أجهزة硬ware.
بعد وقوع الحادث، نجحت منصة تداول معينة في تجميد 4.2 مليون دولار من XRP، وساعدت لارسون في تتبع الأصول المسروقة. ومع ذلك، تم غسل معظم الأموال بالفعل من خلال منصات التداول اللامركزية وخدمات خلط العملات، مما يجعل من الصعب استردادها.
6. Munchables: الهجمات الهندسية الاجتماعية تؤدي إلى خسائر تقدر بـ 62.5 مليون دولار
في 26 مارس 2024 ، تعرضت منصة Munchables للألعاب على الويب 3.0 المستندة إلى Blast لهجوم نادر من اختراق داخلي. تنكر المهاجمون في هيئة مطورين بلوكتشين ، وحصلوا على الشيفرة الأساسية والمفاتيح الحساسة من خلال التوغل لفترة طويلة.
على الرغم من أن الهجوم أسفر عن خسائر ضخمة، إلا أنه تحت ضغط المجتمع والفريق، أعاد القراصنة في النهاية جميع الأموال المسروقة. تبرز هذه الحادثة أهمية أمان سلسلة التوريد، خاصة بالنسبة لمشاريع البلوكتشين التي تعتمد على المطورين من طرف ثالث.
7. BtcTurk: تسببت تسرب المفتاح الخاص في خسائر بلغت 55 مليون دولار
في 22 يونيو 2024، تعرضت أكبر بورصة عملات مشفرة في تركيا BtcTurk لهجوم تسرب مفتاح خاص، مما أسفر عن خسارة تزيد عن 55 مليون دولار من الأصول المشفرة. بمساعدة منصة تداول معينة، تم تجميد 5.3 مليون دولار من الأموال المسروقة بنجاح، لكن الأصول الأخرى لم تُسترد بعد. وقد زادت هذه الحادثة من مخاوف السوق بشأن قدرة البورصات المركزية على إدارة المفاتيح الخاصة.
8. Radiant Capital: ثغرة في محفظة متعددة التوقيع أدت إلى خسارة 53 مليون دولار
في 17 أكتوبر 2024، تعرض محفظة التوقيع المتعدد لشركة Radiant Capital للاختراق. نتيجة لاستخدامها نمط تحقق بتوقيع 3/11 بحد أدنى منخفض، تمكن المخترقون من الحصول على المفاتيح الخاصة لثلاثة من الموقّعين، وبدؤوا توقيعًا خارج السلسلة، مما أدى إلى نقل ملكية عقد المحفظة إلى عنوان ضار، مما أسفر في النهاية عن سرقة 53 مليون دولار.
من الجدير بالذكر أن Radiant Capital قد خسرت 4.5 مليون دولار بسبب ثغرات في العقود قبل هذا الهجوم، حيث تم سرقة أكثر من 1900 إيثيريوم. تسلط هذه السلسلة من الأحداث الضوء على الحاجة الملحة لمشاريع Web3 لتعزيز الوعي الأمني وقدرات الحماية.
9. Hedgey Finance: ثغرات العقود تؤدي إلى خسائر بقيمة 44.7 مليون دولار
في 19 أبريل 2024، تعرضت Hedgey Finance لهجوم يستهدف عقوداً متعددة على السلسلة. استغل القراصنة ثغرة في موافقة عقد ClaimCampaigns الخاص بها، مما أدى إلى استخراج رموز على سلسلتي الإيثيريوم و Arbitrum، ليصل إجمالي الخسائر إلى 44.7 مليون دولار.
تؤكد هذه الحادثة مرة أخرى على أهمية تدقيق الكود، خاصةً التحقق الصارم من منطق الموافقة على الرموز.
10. BingX: تم اختراق المحفظة الساخنة مما أدى إلى خسارة قدرها 4470万美元
في 19 سبتمبر 2024، تعرضت المحفظة الساخنة لمنصة تداول معينة للاختراق من قبل قراصنة، وشملت السلاسل المتضررة إيثيريوم و BNB Chain و Tron وغيرها من سلاسل الكتل العامة. على الرغم من أن البورصة بدأت بسرعة في آلية نقل الأصول وتجميد السحب، إلا أن القراصنة تمكنوا من استخراج أصول بقيمة 44.7 مليون دولار.
تظهر هذه الهجمة مرة أخرى المخاطر العالية لإدارة المحافظ الساخنة في البورصات المركزية، مما يدفع الصناعة إلى استكشاف حلول تخزين الأصول الأكثر أمانًا.
الخاتمة
تُذكرنا الحوادث الأمنية المتكررة في عام 2024 مرة أخرى بأن التطور الصحي لصناعة blockchain يعتمد على ضمانات أمنية قوية. من تسرب المفاتيح الخاصة إلى ثغرات العقود، ومن الإخفاقات في الإدارة الداخلية إلى تحسين أساليب الهجوم الخارجي، كل حادث يُعد جرس إنذار للصناعة.
لمواجهة التهديدات المتزايدة التعقيد للهجمات، تحتاج الأطراف في الصناعة إلى زيادة الاستثمارات بشكل مستمر في مجالات البحث والتطوير التكنولوجي، والمعايير الإدارية، والوقاية من المخاطر. في المستقبل، نتطلع إلى بناء نظام بيئي للبلوكشين أكثر أمانًا وموثوقية من خلال التعاون الصناعي والابتكار التكنولوجي، لتوفير حماية أفضل للمستخدمين والمستثمرين.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 17
أعجبني
17
6
مشاركة
تعليق
0/400
DataOnlooker
· منذ 9 س
هذا المال سهل جدًا كسبه 8
شاهد النسخة الأصليةرد0
ImaginaryWhale
· 07-21 08:58
أيوه هاكر كلهم صاروا أغنياء
شاهد النسخة الأصليةرد0
BridgeJumper
· 07-21 08:56
الأعشاب قد انفجرت مرة أخرى
شاهد النسخة الأصليةرد0
GweiObserver
· 07-21 08:54
إنه صوت الحمقى الذين تم خداعهم لتحقيق الربح~
شاهد النسخة الأصليةرد0
CryptoSourGrape
· 07-21 08:46
مرة أخرى خداع الناس لتحقيق الربح، الناس يخدعون الآخرين، وأنا أخدع نفسي.
تحليل لأهم عشرة أحداث أمنية في Web3 لعام 2024: خسائر تقارب 2.5 مليار دولار
مراجعة الأحداث الأمنية في Web3 لعام 2024: تحليل لأهم عشرة حالات هجوم
في عام 2024، مع الابتكارات المستمرة في تقنية blockchain وتوسع النظام البيئي، تواجه مجال Web3 تحديات أمنية متزايدة. ووفقًا لإحصاءات منصة البيانات، اعتبارًا من نهاية العام، بلغت الخسائر الإجمالية في قطاع Web3 بسبب هجمات القراصنة، وعمليات الاحتيال عبر التصيد، والخروج الخبيث من المشاريع 24.91 مليار دولار.
لم تكشف هذه الأحداث فقط عن ثغرات على المستوى الفني مثل إدارة المفاتيح الخاصة والعقود الذكية، بل أبرزت أيضًا المخاطر المحتملة في مجالات مثل هجمات الهندسة الاجتماعية والإدارة الداخلية. ستستعرض هذه المقالة أبرز عشرة أحداث أمنية في مجال Web3 لعام 2024، على أمل أن يتمكن القطاع من استخلاص الدروس المستفادة منها، والتكيف بشكل أفضل مع التهديدات الأمنية المستقبلية.
1. DMM Bitcoin: تسرب المفتاح الخاص يؤدي إلى خسارة 304 مليون دولار
في 31 مايو 2024، تعرضت بورصة DMM Bitcoin اليابانية الشهيرة للعملات المشفرة لحادث أمني كبير. استغل المهاجمون مفتاحاً خاصاً مسرباً لنقل أكثر من 300 مليون دولار من البيتكوين مباشرة، وقاموا بسرعة بتوزيع الأموال المسروقة على أكثر من 10 عناوين مختلفة. كشفت هذه الحادثة عن عيوب خطيرة لدى البورصة في إدارة المفاتيح الخاصة ووسائل الحماية الأمنية المتعددة.
على الرغم من أن البورصة حاولت تتبع المتسللين من خلال المراقبة على الشبكة وتجميد الأموال، إلا أن جهود الاسترداد تواجه تحديات كبيرة بسبب تحويل البيتكوين المسروق بسرعة وتنظيفه باستخدام أدوات خلط العملات. في نهاية العام، خلصت الشرطة اليابانية إلى أن هذا الهجوم يُشتبه في أنه تم بواسطة مجموعة الهاكرز الكورية الشمالية "Lazarus Group".
2. PlayDapp: تسرب المفتاح الخاص يؤدي إلى خسارة 2.90 مليار دولار
في 9 فبراير 2024، تعرضت PlayDapp لحدث أمني خطير. تمكن القراصنة من سرقة المفتاح الخاص بنجاح وصنعوا 2 مليار رمز PLA، بقيمة أولية 36.5 مليون دولار. نظرًا لفشل المفاوضات بين الفريق المشروع والقراصنة، قام المهاجمون في فترة قصيرة بمزيد من صنع 15.9 مليار رمز PLA، بقيمة تصل إلى 253.9 مليون دولار.
بعد تدفق بعض الرموز المسروقة إلى منصات التداول، اضطرت PlayDapp إلى تعليق تشغيل عقد PLA ونقل الرموز إلى عقد PDA الجديد. تسلط هذه الحادثة الضوء على أوجه القصور في حماية المفاتيح الخاصة وآلية الاستجابة الطارئة لمشاريع البلوكشين.
3. WazirX: الهجمات الإلكترونية والتصيد تؤدي إلى خسائر بقيمة 2.35 مليار دولار
في 18 يوليو 2024، تعرضت محفظة Safe Wallet متعددة التوقيع من أكبر بورصة عملات مشفرة في الهند WazirX لهجوم دقيق. استخدم المهاجمون أساليب الهندسة الاجتماعية لإغواء الموقّعين على المحفظة بالموافقة على صفقة ترقية العقد، وبعد ذلك استخدموا صلاحيات العقد المحدث لنقل جميع الأصول الموجودة في المحفظة.
كشفت هذه القضية عن المخاطر المحتملة لمحافظ التوقيع المتعدد في إدارة الأذونات وشفافية العمليات، كما أثارت أيضًا تفكيرًا عميقًا داخل الصناعة حول آليات التحكم الداخلي والأمان في المشاريع.
4. Gala Games: ثغرة في التحكم بالوصول تتسبب في خسائر بقيمة 216 مليون دولار
في 20 مايو 2024، تم اختراق عنوان امتياز لـ Gala Games بواسطة قراصنة. قام المهاجمون باستدعاء وظيفة mint في عقد الرموز، وصنعوا دفعة واحدة 5 مليارات من رموز GALA. بعد ذلك، قام القراصنة بتحويل هذه الرموز الجديدة إلى ETH على دفعات، مما أدى مباشرة إلى خسارة قدرها 216 مليون دولار.
فريق Gala Games قام بسرعة بتفعيل ميزة القائمة السوداء بعد وقوع الحادث، وحظر بعض حسابات القراصنة، واستعادوا بعض الخسائر من خلال الطرق القانونية. يبرز هذا الحدث أهمية إدارة صلاحيات العقود.
5. كريس لارسون: تسرب المفتاح الخاص أدى إلى سرقة 1.12 مليون دولار من XRP
في 31 يناير 2024، تعرضت أربعة محافظ شخصية لمؤسس Ripple المشارك كريس لارسون للاختراق، مما أدى إلى سرقة عملة XRP بقيمة 112 مليون دولار. ويُعتقد أن هذه المحافظ كانت هدفًا للهجوم بسبب نقص حماية المصادقة الثنائية باستخدام أجهزة硬ware.
بعد وقوع الحادث، نجحت منصة تداول معينة في تجميد 4.2 مليون دولار من XRP، وساعدت لارسون في تتبع الأصول المسروقة. ومع ذلك، تم غسل معظم الأموال بالفعل من خلال منصات التداول اللامركزية وخدمات خلط العملات، مما يجعل من الصعب استردادها.
6. Munchables: الهجمات الهندسية الاجتماعية تؤدي إلى خسائر تقدر بـ 62.5 مليون دولار
في 26 مارس 2024 ، تعرضت منصة Munchables للألعاب على الويب 3.0 المستندة إلى Blast لهجوم نادر من اختراق داخلي. تنكر المهاجمون في هيئة مطورين بلوكتشين ، وحصلوا على الشيفرة الأساسية والمفاتيح الحساسة من خلال التوغل لفترة طويلة.
على الرغم من أن الهجوم أسفر عن خسائر ضخمة، إلا أنه تحت ضغط المجتمع والفريق، أعاد القراصنة في النهاية جميع الأموال المسروقة. تبرز هذه الحادثة أهمية أمان سلسلة التوريد، خاصة بالنسبة لمشاريع البلوكتشين التي تعتمد على المطورين من طرف ثالث.
7. BtcTurk: تسببت تسرب المفتاح الخاص في خسائر بلغت 55 مليون دولار
في 22 يونيو 2024، تعرضت أكبر بورصة عملات مشفرة في تركيا BtcTurk لهجوم تسرب مفتاح خاص، مما أسفر عن خسارة تزيد عن 55 مليون دولار من الأصول المشفرة. بمساعدة منصة تداول معينة، تم تجميد 5.3 مليون دولار من الأموال المسروقة بنجاح، لكن الأصول الأخرى لم تُسترد بعد. وقد زادت هذه الحادثة من مخاوف السوق بشأن قدرة البورصات المركزية على إدارة المفاتيح الخاصة.
8. Radiant Capital: ثغرة في محفظة متعددة التوقيع أدت إلى خسارة 53 مليون دولار
في 17 أكتوبر 2024، تعرض محفظة التوقيع المتعدد لشركة Radiant Capital للاختراق. نتيجة لاستخدامها نمط تحقق بتوقيع 3/11 بحد أدنى منخفض، تمكن المخترقون من الحصول على المفاتيح الخاصة لثلاثة من الموقّعين، وبدؤوا توقيعًا خارج السلسلة، مما أدى إلى نقل ملكية عقد المحفظة إلى عنوان ضار، مما أسفر في النهاية عن سرقة 53 مليون دولار.
من الجدير بالذكر أن Radiant Capital قد خسرت 4.5 مليون دولار بسبب ثغرات في العقود قبل هذا الهجوم، حيث تم سرقة أكثر من 1900 إيثيريوم. تسلط هذه السلسلة من الأحداث الضوء على الحاجة الملحة لمشاريع Web3 لتعزيز الوعي الأمني وقدرات الحماية.
9. Hedgey Finance: ثغرات العقود تؤدي إلى خسائر بقيمة 44.7 مليون دولار
في 19 أبريل 2024، تعرضت Hedgey Finance لهجوم يستهدف عقوداً متعددة على السلسلة. استغل القراصنة ثغرة في موافقة عقد ClaimCampaigns الخاص بها، مما أدى إلى استخراج رموز على سلسلتي الإيثيريوم و Arbitrum، ليصل إجمالي الخسائر إلى 44.7 مليون دولار.
تؤكد هذه الحادثة مرة أخرى على أهمية تدقيق الكود، خاصةً التحقق الصارم من منطق الموافقة على الرموز.
10. BingX: تم اختراق المحفظة الساخنة مما أدى إلى خسارة قدرها 4470万美元
في 19 سبتمبر 2024، تعرضت المحفظة الساخنة لمنصة تداول معينة للاختراق من قبل قراصنة، وشملت السلاسل المتضررة إيثيريوم و BNB Chain و Tron وغيرها من سلاسل الكتل العامة. على الرغم من أن البورصة بدأت بسرعة في آلية نقل الأصول وتجميد السحب، إلا أن القراصنة تمكنوا من استخراج أصول بقيمة 44.7 مليون دولار.
تظهر هذه الهجمة مرة أخرى المخاطر العالية لإدارة المحافظ الساخنة في البورصات المركزية، مما يدفع الصناعة إلى استكشاف حلول تخزين الأصول الأكثر أمانًا.
الخاتمة
تُذكرنا الحوادث الأمنية المتكررة في عام 2024 مرة أخرى بأن التطور الصحي لصناعة blockchain يعتمد على ضمانات أمنية قوية. من تسرب المفاتيح الخاصة إلى ثغرات العقود، ومن الإخفاقات في الإدارة الداخلية إلى تحسين أساليب الهجوم الخارجي، كل حادث يُعد جرس إنذار للصناعة.
لمواجهة التهديدات المتزايدة التعقيد للهجمات، تحتاج الأطراف في الصناعة إلى زيادة الاستثمارات بشكل مستمر في مجالات البحث والتطوير التكنولوجي، والمعايير الإدارية، والوقاية من المخاطر. في المستقبل، نتطلع إلى بناء نظام بيئي للبلوكشين أكثر أمانًا وموثوقية من خلال التعاون الصناعي والابتكار التكنولوجي، لتوفير حماية أفضل للمستخدمين والمستثمرين.