أمان الأصول داخل السلسلة: كيفية تجنب الخسائر الكبيرة الناتجة عن الأخطاء البشرية
مع ظهور التطبيقات القائمة على blockchain مثل التمويل اللامركزي و NFT، بدأت أصول المستخدمين تنتقل تدريجياً من المنصات المركزية إلى خدمات داخل السلسلة مثل المحفظات اللامركزية، الجسور عبر السلاسل ومنتجات الإقراض. ومع ذلك، فإن هذا الاتجاه يترافق أيضاً مع هجمات هاكرز متكررة وحوادث سرقة الأصول، مما جعل الشبكات القائمة على blockchain تُلقب غالباً "ماكينة سحب الهاكرز".
من بين هذه الحوادث الأمنية، هناك جزء كبير منها ناتج عن ثغرات برمجية، ولكن هناك أيضًا عدد كبير ناتج عن عوامل بشرية. في 20 سبتمبر، تعرض أحد صناع السوق المعروفين في مجال التشفير لسرقة أصول بقيمة 160 مليون دولار، وهو مثال نموذجي على خطأ بشري.
خسارة 1.6 مليار دولار ناتجة عن خطأ في تحسين رسوم الغاز
بعد الحادث، صرح مؤسس شركة صانع السوق على وسائل التواصل الاجتماعي أن الأعمال التجارية المركزية والتداول خارج البورصة للشركة لم تتأثر، وأن رأس المال المتبقي لا يزال ضعف الديون. كما أكد أن أمان أموال المستخدمين الذين لديهم اتفاقيات صانع سوق مع الشركة. من بين 90 أصلًا تم الهجوم عليها، فقط اثنان منها كانت قيمتهما الاسمية تتجاوز مليون دولار، لذلك من غير المرجح حدوث بيع كبير.
شركة أمان البلوكشين Salus Security حددت بسرعة عنوان القراصنة. تشمل مصادر الأموال لهذا العنوان أداة خلط مجهولة الهوية وسحب كبير من عدة منصات تداول.
وفقًا لمنصة تحليل البيانات داخل السلسلة، فإن حوالي 73% من 160 مليون دولار المسروقة هي عملات مستقرة، و8% هي WBTC، و6% هي ETH. قام المهاجم بإيداع 114 مليون دولار في إحدى البورصات اللامركزية لتقديم السيولة، ليصبح ثالث أكبر مزود للسيولة في هذه المنصة.
تعتقد شركة الأمن Slow Mist أن سبب السرقة قد يكون استخدام محفظة جميلة تم إنشاؤها بواسطة أداة Profanity (عنوان يبدأ بـ 0x0000000).
في اليوم التالي، أكد مؤسس صانع السوق أنهم قاموا بإنشاء عناوين المحفظة باستخدام Profanity وأدوات داخلية في يونيو، بهدف تحسين تكاليف الغاز بدلاً من السعي للحصول على أرقام مميزة. بعد أن علموا بوجود ثغرة في Profanity الأسبوع الماضي، تسارعت الشركة في التخلي عن المفاتيح القديمة، ولكن بسبب خطأ في العمليات الداخلية، تم استدعاء وظيفة خاطئة، مما أدى إلى عدم القدرة على حذف توقيعات العناوين المتأثرة وصلاحيات التنفيذ.
بالنسبة لاسترداد الأموال المسروقة، ذكر المؤسس أنه إذا تم إرجاع المبلغ بالكامل، فسيتم دفع 10% أي 16 مليون دولار كمكافأة للقراصنة.
بخصوص العمليات المستقبلية، أكد المؤسس أنه على الرغم من أن الثغرة ناتجة عن خطأ بشري داخلي، إلا أن الشركة لن تفصل الموظفين أو تغير استراتيجيتها أو تجمع أموالاً إضافية أو توقف نشاطات DeFi.
ومع ذلك، تظهر البيانات داخل السلسلة أن الشركة لديها ديون DeFi تزيد عن 200 مليون دولار لعدة أطراف مقابلة. أكبر مبلغ هو قرض USDT بقيمة 92 مليون دولار يستحق في 15 أكتوبر، بالإضافة إلى 75 مليون دولار و22.4 مليون دولار من الديون الأخرى.
إذا لم يتم استرداد الأموال المسروقة في الوقت المناسب، فقد تواجه الشركة خطر أزمة ديون.
تكرار التاريخ: خسارة 20 مليون توكن بسبب خطأ بشري
من الجدير بالذكر أن هذه ليست المرة الأولى التي يتعرض فيها صانع السوق لخسائر بسبب خطأ بشري. في 9 يونيو من هذا العام، أثناء تقديم خدمات السيولة للرموز لمشروع Layer 2 معين، أدى أيضًا خطأ في التشغيل إلى سرقة 20 مليون رمز.
في ذلك الوقت، دعا مشروع Layer 2 هذا صانع السوق لتوفير السيولة لرمزه الجديد الذي تم إصداره. قدم المشروع منحة مؤقتة تتكون من 20 مليون رمز لصانع السوق. قدم صانع السوق عنوان محفظة متعددة التوقيع على شبكة Ethereum الرئيسية لاستلام الرموز. بعد إجراء صفقتين تجريبيتين والحصول على التأكيد، أرسل المشروع الرموز المتبقية.
ومع ذلك، فإن صانعي السوق يقدمون عنوان توقيع متعدد لشبكة الإيثيريوم الرئيسية، في حين أن هذا العنوان لم يتم نشره بعد على شبكة Layer 2. نظرًا لأن التحكم في توقيع الشبكة الرئيسية لا يضمن التحكم في سلاسل EVM المتوافقة الأخرى، فقد اكتشف صانعو السوق لاحقًا أنهم غير قادرين على الوصول إلى هذه الرموز.
بدأ صانعو السوق بعد ذلك في استئناف العمليات، محاولين نشر عقد متعدد التوقيع L1 إلى نفس العنوان على L2. ولكن قبل اكتمال هذه العملية، تقدم المهاجمون بخطوة مسبقة ونشروا العقد المتعدد التوقيع على L2 وسيطروا على 20 مليون توكن. ثم قام المهاجمون ببيع مليون توكن.
لحسن الحظ، في اليوم التالي أعاد القراصنة 17 مليون رمز، وقد تعهد صانع السوق بإعادة 2 مليون رمز المتبقية.
نصائح لحماية أمان الأصول الشخصية
نظرًا لأن المؤسسات تتعرض بشكل متكرر لخسائر ضخمة بسبب الأخطاء البشرية، يحتاج المستخدمون العاديون إلى توخي الحذر بشكل خاص عند حماية أصولهم الشخصية. فيما يلي بعض النصائح المهمة:
تجنب استخدام أدوات الطرف الثالث لإنشاء المحفظة
بالإضافة إلى محافظ التشفير الأصلية، لا تستخدم أدوات الطرف الثالث الأخرى لإنشاء المحفظة. قد تتضمن أدوات الطرف الثالث مخاطر مراقبة سجلات المستخدمين وارتكاب الأفعال المشينة بتكلفة منخفضة. على سبيل المثال، حذر أحد مجمعات DEX من أن عناوين الإيثيريوم التي تم إنشاؤها باستخدام Profanity تحتوي على ثغرة أمان، مما قد يؤدي إلى سرقة الأصول.
التفكير في تمكين التوقيع المتعدد للمحفظة الرئيسية
على الرغم من أن التوقيع المتعدد قد لا يكون مناسبًا للتداول عالي التردد، إلا أن تفعيل التوقيع المتعدد لمحفظة رئيسية تخزن أعدادًا كبيرة من الأصول يمكن أن يقلل بشكل فعال من مخاطر الخسارة الناتجة عن الأخطاء البشرية.
لا تقم بنسخ ولصق حفظ المفتاح الخاص
تعقيد المفتاح الخاص قد يغري المستخدمين لتخزينه عن طريق النسخ واللصق. ومع ذلك، قد يكون للعديد من التطبيقات أو الإضافات التابعة لجهات خارجية على الجهاز إذن للوصول إلى الحافظة، كما أن أمان الشبكات اللاسلكية يصعب ضمانه. حتى لو لم يتم التعرض لهجوم في الوقت الحالي، قد يكون القراصنة في انتظار المزيد من الأصول للوصول قبل تنفيذ السرقة.
عند إجراء العمليات داخل السلسلة، تحقق بعناية من العقود والأصول المصرح بها
عند استخدام منتجات DeFi، يجب التحقق من أن اسم النطاق لموقع الويب وعنوان العقد على متصفح الكتل هو النسخة الرسمية. يمكن أن يساعد ذلك في تجنب تفويض العقود الخبيثة بسبب العمليات التي تمت على واجهات مستخدم مخترقة أو مواقع تصيد.
التحكم في حدود التفويض وسحب التفويضات غير الضرورية في الوقت المناسب
على الرغم من أن التفويض غير المحدود قد يكون أكثر ملاءمة، إلا أنه يزيد من المخاطر المحتملة. يُنصح بتحديد حدود التفويض بناءً على احتياجات الاستخدام الفعلية. بالنسبة للمنتجات التي لم تعد مستخدمة، يجب سحب التفويض للوصول إلى الأصول على الفور.
توفر معظم متصفحات الكتل الكبيرة عادةً مدخل وظيفة لإلغاء التفويض، ويمكن للمستخدمين التحقق بانتظام وتنظيف التفويضات غير الضرورية.
من الصعب عادةً استرداد أصول blockchain بمجرد سرقتها، وفي العديد من الحالات قد لا تكون محمية قانونيًا. لذلك، يجب على المستخدمين الحفاظ على قدر عالٍ من اليقظة أثناء إجراء العمليات داخل السلسلة، واتخاذ جميع التدابير الممكنة لحماية أمان الأصول الخاصة بهم.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 10
أعجبني
10
6
مشاركة
تعليق
0/400
FlashLoanKing
· 07-24 09:41
1.6 مليار دولار طارت هكذا، حقًا مؤلم.
شاهد النسخة الأصليةرد0
NotGonnaMakeIt
· 07-23 12:15
هل اختفى الهدف الصغير البالغ 160 مليون هكذا ببساطة؟
شاهد النسخة الأصليةرد0
MiningDisasterSurvivor
· 07-21 15:43
رأس المال ليس له تأثير؟ من كان يقول ذلك في عام 2018؟
شاهد النسخة الأصليةرد0
FomoAnxiety
· 07-21 15:43
انخفاض إلى الصفر就躺平 没啥可害怕的
شاهد النسخة الأصليةرد0
retroactive_airdrop
· 07-21 15:43
عندما تشعر بالقلق أثناء التداول، من الأفضل أن تستلقي وتعلق سخان المياه.
تجنب الأخطاء البشرية: كيفية حماية أمان الأصول داخل السلسلة
أمان الأصول داخل السلسلة: كيفية تجنب الخسائر الكبيرة الناتجة عن الأخطاء البشرية
مع ظهور التطبيقات القائمة على blockchain مثل التمويل اللامركزي و NFT، بدأت أصول المستخدمين تنتقل تدريجياً من المنصات المركزية إلى خدمات داخل السلسلة مثل المحفظات اللامركزية، الجسور عبر السلاسل ومنتجات الإقراض. ومع ذلك، فإن هذا الاتجاه يترافق أيضاً مع هجمات هاكرز متكررة وحوادث سرقة الأصول، مما جعل الشبكات القائمة على blockchain تُلقب غالباً "ماكينة سحب الهاكرز".
من بين هذه الحوادث الأمنية، هناك جزء كبير منها ناتج عن ثغرات برمجية، ولكن هناك أيضًا عدد كبير ناتج عن عوامل بشرية. في 20 سبتمبر، تعرض أحد صناع السوق المعروفين في مجال التشفير لسرقة أصول بقيمة 160 مليون دولار، وهو مثال نموذجي على خطأ بشري.
خسارة 1.6 مليار دولار ناتجة عن خطأ في تحسين رسوم الغاز
بعد الحادث، صرح مؤسس شركة صانع السوق على وسائل التواصل الاجتماعي أن الأعمال التجارية المركزية والتداول خارج البورصة للشركة لم تتأثر، وأن رأس المال المتبقي لا يزال ضعف الديون. كما أكد أن أمان أموال المستخدمين الذين لديهم اتفاقيات صانع سوق مع الشركة. من بين 90 أصلًا تم الهجوم عليها، فقط اثنان منها كانت قيمتهما الاسمية تتجاوز مليون دولار، لذلك من غير المرجح حدوث بيع كبير.
شركة أمان البلوكشين Salus Security حددت بسرعة عنوان القراصنة. تشمل مصادر الأموال لهذا العنوان أداة خلط مجهولة الهوية وسحب كبير من عدة منصات تداول.
وفقًا لمنصة تحليل البيانات داخل السلسلة، فإن حوالي 73% من 160 مليون دولار المسروقة هي عملات مستقرة، و8% هي WBTC، و6% هي ETH. قام المهاجم بإيداع 114 مليون دولار في إحدى البورصات اللامركزية لتقديم السيولة، ليصبح ثالث أكبر مزود للسيولة في هذه المنصة.
تعتقد شركة الأمن Slow Mist أن سبب السرقة قد يكون استخدام محفظة جميلة تم إنشاؤها بواسطة أداة Profanity (عنوان يبدأ بـ 0x0000000).
في اليوم التالي، أكد مؤسس صانع السوق أنهم قاموا بإنشاء عناوين المحفظة باستخدام Profanity وأدوات داخلية في يونيو، بهدف تحسين تكاليف الغاز بدلاً من السعي للحصول على أرقام مميزة. بعد أن علموا بوجود ثغرة في Profanity الأسبوع الماضي، تسارعت الشركة في التخلي عن المفاتيح القديمة، ولكن بسبب خطأ في العمليات الداخلية، تم استدعاء وظيفة خاطئة، مما أدى إلى عدم القدرة على حذف توقيعات العناوين المتأثرة وصلاحيات التنفيذ.
بالنسبة لاسترداد الأموال المسروقة، ذكر المؤسس أنه إذا تم إرجاع المبلغ بالكامل، فسيتم دفع 10% أي 16 مليون دولار كمكافأة للقراصنة.
بخصوص العمليات المستقبلية، أكد المؤسس أنه على الرغم من أن الثغرة ناتجة عن خطأ بشري داخلي، إلا أن الشركة لن تفصل الموظفين أو تغير استراتيجيتها أو تجمع أموالاً إضافية أو توقف نشاطات DeFi.
ومع ذلك، تظهر البيانات داخل السلسلة أن الشركة لديها ديون DeFi تزيد عن 200 مليون دولار لعدة أطراف مقابلة. أكبر مبلغ هو قرض USDT بقيمة 92 مليون دولار يستحق في 15 أكتوبر، بالإضافة إلى 75 مليون دولار و22.4 مليون دولار من الديون الأخرى.
إذا لم يتم استرداد الأموال المسروقة في الوقت المناسب، فقد تواجه الشركة خطر أزمة ديون.
تكرار التاريخ: خسارة 20 مليون توكن بسبب خطأ بشري
من الجدير بالذكر أن هذه ليست المرة الأولى التي يتعرض فيها صانع السوق لخسائر بسبب خطأ بشري. في 9 يونيو من هذا العام، أثناء تقديم خدمات السيولة للرموز لمشروع Layer 2 معين، أدى أيضًا خطأ في التشغيل إلى سرقة 20 مليون رمز.
في ذلك الوقت، دعا مشروع Layer 2 هذا صانع السوق لتوفير السيولة لرمزه الجديد الذي تم إصداره. قدم المشروع منحة مؤقتة تتكون من 20 مليون رمز لصانع السوق. قدم صانع السوق عنوان محفظة متعددة التوقيع على شبكة Ethereum الرئيسية لاستلام الرموز. بعد إجراء صفقتين تجريبيتين والحصول على التأكيد، أرسل المشروع الرموز المتبقية.
ومع ذلك، فإن صانعي السوق يقدمون عنوان توقيع متعدد لشبكة الإيثيريوم الرئيسية، في حين أن هذا العنوان لم يتم نشره بعد على شبكة Layer 2. نظرًا لأن التحكم في توقيع الشبكة الرئيسية لا يضمن التحكم في سلاسل EVM المتوافقة الأخرى، فقد اكتشف صانعو السوق لاحقًا أنهم غير قادرين على الوصول إلى هذه الرموز.
بدأ صانعو السوق بعد ذلك في استئناف العمليات، محاولين نشر عقد متعدد التوقيع L1 إلى نفس العنوان على L2. ولكن قبل اكتمال هذه العملية، تقدم المهاجمون بخطوة مسبقة ونشروا العقد المتعدد التوقيع على L2 وسيطروا على 20 مليون توكن. ثم قام المهاجمون ببيع مليون توكن.
لحسن الحظ، في اليوم التالي أعاد القراصنة 17 مليون رمز، وقد تعهد صانع السوق بإعادة 2 مليون رمز المتبقية.
نصائح لحماية أمان الأصول الشخصية
نظرًا لأن المؤسسات تتعرض بشكل متكرر لخسائر ضخمة بسبب الأخطاء البشرية، يحتاج المستخدمون العاديون إلى توخي الحذر بشكل خاص عند حماية أصولهم الشخصية. فيما يلي بعض النصائح المهمة:
بالإضافة إلى محافظ التشفير الأصلية، لا تستخدم أدوات الطرف الثالث الأخرى لإنشاء المحفظة. قد تتضمن أدوات الطرف الثالث مخاطر مراقبة سجلات المستخدمين وارتكاب الأفعال المشينة بتكلفة منخفضة. على سبيل المثال، حذر أحد مجمعات DEX من أن عناوين الإيثيريوم التي تم إنشاؤها باستخدام Profanity تحتوي على ثغرة أمان، مما قد يؤدي إلى سرقة الأصول.
على الرغم من أن التوقيع المتعدد قد لا يكون مناسبًا للتداول عالي التردد، إلا أن تفعيل التوقيع المتعدد لمحفظة رئيسية تخزن أعدادًا كبيرة من الأصول يمكن أن يقلل بشكل فعال من مخاطر الخسارة الناتجة عن الأخطاء البشرية.
تعقيد المفتاح الخاص قد يغري المستخدمين لتخزينه عن طريق النسخ واللصق. ومع ذلك، قد يكون للعديد من التطبيقات أو الإضافات التابعة لجهات خارجية على الجهاز إذن للوصول إلى الحافظة، كما أن أمان الشبكات اللاسلكية يصعب ضمانه. حتى لو لم يتم التعرض لهجوم في الوقت الحالي، قد يكون القراصنة في انتظار المزيد من الأصول للوصول قبل تنفيذ السرقة.
عند استخدام منتجات DeFi، يجب التحقق من أن اسم النطاق لموقع الويب وعنوان العقد على متصفح الكتل هو النسخة الرسمية. يمكن أن يساعد ذلك في تجنب تفويض العقود الخبيثة بسبب العمليات التي تمت على واجهات مستخدم مخترقة أو مواقع تصيد.
على الرغم من أن التفويض غير المحدود قد يكون أكثر ملاءمة، إلا أنه يزيد من المخاطر المحتملة. يُنصح بتحديد حدود التفويض بناءً على احتياجات الاستخدام الفعلية. بالنسبة للمنتجات التي لم تعد مستخدمة، يجب سحب التفويض للوصول إلى الأصول على الفور.
توفر معظم متصفحات الكتل الكبيرة عادةً مدخل وظيفة لإلغاء التفويض، ويمكن للمستخدمين التحقق بانتظام وتنظيف التفويضات غير الضرورية.
من الصعب عادةً استرداد أصول blockchain بمجرد سرقتها، وفي العديد من الحالات قد لا تكون محمية قانونيًا. لذلك، يجب على المستخدمين الحفاظ على قدر عالٍ من اليقظة أثناء إجراء العمليات داخل السلسلة، واتخاذ جميع التدابير الممكنة لحماية أمان الأصول الخاصة بهم.