مراجعة لأهم عشرة حوادث أمان في مجال Web3 لعام 2024
مع التطور المستمر لتكنولوجيا blockchain، تواجه صناعة Web3 في عام 2024، إلى جانب الابتكار والتوسع، تحديات أمنية متزايدة. وفقًا لمراقبة منصات البيانات، بحلول نهاية العام، بلغ إجمالي الخسائر في مجال Web3 بسبب هجمات القراصنة والاحتيال وهروب فرق المشاريع 24.91 مليار دولار.
لم تكشف هذه الأحداث عن عيوب تقنية في إدارة المفاتيح الخاصة والعقود الذكية فحسب، بل أظهرت أيضًا المخاطر المحتملة في الهندسة الاجتماعية والإدارة الداخلية. ستستعرض هذه المقالة أهم عشرة حوادث أمان في Web3 لعام 2024، لمساعدة الصناعة على استخلاص الدروس منها والتكيف بشكل أفضل مع التهديدات الأمنية المستقبلية.
1. تعرضت منصة تبادل العملات الرقمية اليابانية لهجوم كبير
مبلغ الخسارة: 304 مليون دولار أمريكي
أسلوب الهجوم: تسرب المفتاح الخاص
في 31 مايو 2024، تعرضت بورصة مشهورة للعملات المشفرة في اليابان لهجوم تاريخي. استغل القراصنة مفاتيح خاصة مسربة لنقل أكثر من 300 مليون دولار من البيتكوين مباشرة، وسرعان ما قاموا بتوزيع الأموال المسروقة على أكثر من 10 عناوين مختلفة. كشفت هذه الحادثة عن نقص خطير في إدارة المفاتيح الخاصة وحماية الأمان المتعددة في البورصة. على الرغم من أن البورصة حاولت تتبع القراصنة من خلال مراقبة السلسلة وتجميد الأموال، إلا أن البيتكوين المسروق قد تم توزيعه وتحويله عبر أدوات خلط، مما أدى إلى تحديات كبيرة في عملية التتبع.
في نهاية العام، أكدت الشرطة اليابانية أن هذا الهجوم تم تنفيذه من قبل منظمة هاكر كورية شمالية معينة.
2. تعرضت PlayDapp لضربة قوية
مبلغ الخسارة: 2.90 مليار دولار أمريكي
أسلوب الهجوم: تسرب المفتاح الخاص
في 9 فبراير 2024، تعرضت PlayDapp لهجوم كبير. قام القراصنة من خلال سرقة المفاتيح الخاصة بقول 2 مليار من رموز PLA، بقيمة أولية تبلغ 36.5 مليون دولار. بسبب فشل المفاوضات مع القراصنة، قام القراصنة بعد ذلك بقول 15.9 مليار من رموز PLA، بقيمة 253.9 مليون دولار. بعد دخول بعض الرموز إلى البورصات، اضطرت PlayDapp إلى تعليق عقد PLA والانتقال إلى عقد رموز جديد. تسلط هذه الحادثة الضوء على أوجه القصور في حماية المفاتيح الخاصة والاستجابة الطارئة لمشاريع البلوكشين.
3. تعرضت إحدى بورصات العملات المشفرة الهندية لهجوم دقيق
مبلغ الخسارة: 2.35 مليار دولار أمريكي
أسلوب الهجوم: الهجمات الإلكترونية واصطياد المعلومات
في 18 يوليو 2024، تعرضت محفظة Safe Wallet متعددة التوقيع لأكبر بورصة عملات مشفرة في الهند لهجوم دقيق من قبل قراصنة. قام المهاجمون بإغراء الموقعين على المحفظة متعددة التوقيع عبر وسائل الهندسة الاجتماعية لتوقيع معاملة ترقية العقد، ثم استخدموا صلاحيات العقد المحدث لنقل جميع الأصول الموجودة في المحفظة. تكشف هذه القضية عن المخاطر المحتملة لمحافظ متعددة التوقيع في تكوين الصلاحيات وشفافية العمليات، كما أثارت تفكيرًا عميقًا في مجال الصناعة حول آليات التحكم والمخاطر الداخلية للمشاريع.
4. تعرضت Gala Games لهجوم زيادة إصدار الرموز
مبلغ الخسارة: 2.16 مليار دولار أمريكي
أسلوب الهجوم: ثغرة في التحكم بالوصول
في 20 مايو 2024، تم اختراق عنوان مميز لشركة Gala Games من قبل قراصنة. قام المهاجمون باستدعاء دالة mint في عقد الرموز، مما أدى إلى سك 5 مليارات من رموز GALA دفعة واحدة. بعد ذلك، قام القراصنة بتحويل هذه الرموز إلى ETH على دفعات، مما تسبب في خسائر مباشرة بلغت 216 مليون دولار. بعد وقوع الحادث، قامت فريق Gala Games بتفعيل ميزة القوائم السوداء بشكل عاجل لحظر بعض حسابات القراصنة، واستعادوا جزءًا من الخسائر من خلال السبل القانونية.
5. مؤسس مشروع عملة رقمية معروف يتعرض لهجوم على محفظته الشخصية
مبلغ الخسارة: 1.12 مليار دولار أمريكي
أسلوب الهجوم: تسرب المفتاح الخاص
في 31 يناير 2024، تعرضت أربعة محافظ شخصية لمؤسس مشارك لمشروع عملة رقمية معروف للاختراق، مما أدى إلى سرقة 112 مليون دولار من XRP. ويُعتقد أن هذه المحافظ أصبحت هدفًا للهجوم بسبب نقص الحماية المزدوجة من الأجهزة. بعد وقوع الحادث، نجحت إحدى البورصات الكبرى في تجميد XRP بقيمة 4.2 مليون دولار، وساعدت في تتبع الأصول المسروقة، ولكن تم غسل معظم الأموال من خلال بورصات لامركزية وخدمات خلط.
6. تعرضت Munchables لهجوم اختراق داخلي
مبلغ الخسارة: 6250 مليون دولار أمريكي
أسلوب الهجوم: هجوم الهندسة الاجتماعية
في 26 مارس 2024، تعرضت منصة Munchables للألعاب على الويب 3 المستندة إلى Blast لهجوم نادر يتمثل في اختراق داخلي. كان المهاجمون قراصنة يتنكرون في هيئة مطوري بلوكتشين، وقد حصلوا على الشيفرة الأساسية والمفاتيح الحساسة بعد فترة طويلة من التسلل. على الرغم من أن الهجوم تسبب في خسائر ضخمة، إلا أنه تحت ضغط المجتمع والفريق، أعاد القراصنة في النهاية جميع الأموال المسروقة. تكشف هذه الحادثة عن أهمية أمان سلسلة التوريد، خاصة بالنسبة لمشاريع بلوكتشين التي تعتمد على تطوير طرف ثالث.
7. تعرضت بورصة تشفير تركية لخرق مفتاح خاص
قيمة الخسارة: ٥٥٠٠٠٠٠٠ دولار أمريكي
أسلوب الهجوم: تسريب المفتاح الخاص
في 22 يونيو 2024، تعرض أكبر بورصة للعملات المشفرة في تركيا لهجوم تسرب المفتاح الخاص، مما أسفر عن خسائر تزيد عن 55 مليون دولار من الأصول المشفرة. بمساعدة إحدى البورصات الكبرى، تم تجميد 5.3 مليون دولار من الأموال المسروقة بنجاح، لكن الأصول الأخرى لم يتم استردادها بعد. وقد زادت هذه الحادثة من قلق السوق بشأن إدارة المفاتيح الخاصة في البورصات المركزية.
8. تم الهجوم على محفظة Radiant Capital متعددة التوقيع
مبلغ الخسارة: 53 مليون دولار أمريكي
أسلوب الهجوم: تسرب المفتاح الخاص
في 17 أكتوبر 2024، تم اختراق محفظة متعددة التوقيع لشركة Radiant Capital من قبل قراصنة. بسبب اتباع نظام تحقق بتوقيع 3/11 منخفض العتبة، تمكن القراصنة من الحصول على مفاتيح خاصة لثلاثة من الموقعين للقيام بتوقيع خارج السلسلة، مما أدى إلى نقل ملكية عقد المحفظة إلى عنوان ضار، مما أسفر في النهاية عن سرقة 53 مليون دولار. أثار هذا الهجوم تأملات في الصناعة حول تصميم محافظ التوقيع المتعدد وآليات الحوكمة.
من الجدير بالذكر أن Radiant Capital قد خسرت 4.5 مليون دولار بسبب ثغرة في العقد قبل هذا الهجوم، وتم سرقة أكثر من 1900 إيثر. هذا يذكّر مرة أخرى مشروعات Web3 بضرورة إيلاء أهمية أكبر لمشاكل الأمان.
9. تعرض Hedgey Finance لهجوم على عقود متعددة السلاسل
مبلغ الخسارة: 44.7 مليون دولار أمريكي
أسلوب الهجوم: ثغرة في العقد
في 19 أبريل 2024، تعرضت Hedgey Finance لهجوم على العديد من العقود على الشبكة. استغل المتسللون ثغرة في عقد ClaimCampaigns الخاص بها، مما أدى إلى استخراج رموز من سلسلتي Ethereum وArbitrum، ليصل إجمالي الخسائر إلى 44.7 مليون دولار. تبرز هذه الحادثة أهمية تدقيق الكود، لا سيما التحقق الصارم من منطق الموافقة على الرموز.
10. تم اختراق المحفظة الساخنة لأحد بورصات العملات المشفرة
مبلغ الخسارة: 44.7 مليون دولار أمريكي
أسلوب الهجوم: تسرب المفتاح الخاص
في 19 سبتمبر 2024، تم اختراق المحفظة الساخنة لأحد بورصات العملات المشفرة من قبل قراصنة، حيث شملت السلاسل المتأثرة إيثريوم، وBNB Chain، وترون، وغيرها من السلاسل العامة. على الرغم من أن البورصة بدأت بسرعة في نقل الأصول وتجميد عمليات السحب، إلا أن القراصنة تمكنوا من سحب أصول بقيمة 44.7 مليون دولار. تعكس هذه الهجمة المخاطر العالية لإدارة المحافظ الساخنة في البورصات المركزية، مما يدفع الصناعة بشكل أكبر لاستكشاف حلول تخزين أصول أكثر أمانًا.
الخاتمة
تذكرنا أحداث الهجمات الأمنية المتكررة في عام 2024 مرة أخرى بأن تطوير صناعة blockchain لا يمكن أن يحدث بدون حماية أمنية. من تسرب المفاتيح الخاصة إلى ثغرات العقود، ومن الإخفاقات الإدارية الداخلية إلى تحديث أساليب الهجوم الخارجية، كل حادثة جلبت دروسًا عميقة. لمواجهة تهديدات الهجوم المتزايدة التعقيد، يحتاج جميع الأطراف في الصناعة إلى تعزيز الاستثمارات في تطوير التكنولوجيا، والمعايير الإدارية، والوقاية من المخاطر بشكل مستمر. في المستقبل، نتطلع إلى بناء نظام blockchain أكثر أمانًا من خلال التعاون الصناعي والابتكار التكنولوجي، لتوفير حماية أكثر موثوقية للمستخدمين والمستثمرين.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
أهم عشرة أحداث أمنية في صناعة Web3 في عام 2024 إجمالي الخسائر بلغ 24.91 مليار دولار
مراجعة لأهم عشرة حوادث أمان في مجال Web3 لعام 2024
مع التطور المستمر لتكنولوجيا blockchain، تواجه صناعة Web3 في عام 2024، إلى جانب الابتكار والتوسع، تحديات أمنية متزايدة. وفقًا لمراقبة منصات البيانات، بحلول نهاية العام، بلغ إجمالي الخسائر في مجال Web3 بسبب هجمات القراصنة والاحتيال وهروب فرق المشاريع 24.91 مليار دولار.
لم تكشف هذه الأحداث عن عيوب تقنية في إدارة المفاتيح الخاصة والعقود الذكية فحسب، بل أظهرت أيضًا المخاطر المحتملة في الهندسة الاجتماعية والإدارة الداخلية. ستستعرض هذه المقالة أهم عشرة حوادث أمان في Web3 لعام 2024، لمساعدة الصناعة على استخلاص الدروس منها والتكيف بشكل أفضل مع التهديدات الأمنية المستقبلية.
1. تعرضت منصة تبادل العملات الرقمية اليابانية لهجوم كبير
مبلغ الخسارة: 304 مليون دولار أمريكي أسلوب الهجوم: تسرب المفتاح الخاص
في 31 مايو 2024، تعرضت بورصة مشهورة للعملات المشفرة في اليابان لهجوم تاريخي. استغل القراصنة مفاتيح خاصة مسربة لنقل أكثر من 300 مليون دولار من البيتكوين مباشرة، وسرعان ما قاموا بتوزيع الأموال المسروقة على أكثر من 10 عناوين مختلفة. كشفت هذه الحادثة عن نقص خطير في إدارة المفاتيح الخاصة وحماية الأمان المتعددة في البورصة. على الرغم من أن البورصة حاولت تتبع القراصنة من خلال مراقبة السلسلة وتجميد الأموال، إلا أن البيتكوين المسروق قد تم توزيعه وتحويله عبر أدوات خلط، مما أدى إلى تحديات كبيرة في عملية التتبع.
في نهاية العام، أكدت الشرطة اليابانية أن هذا الهجوم تم تنفيذه من قبل منظمة هاكر كورية شمالية معينة.
2. تعرضت PlayDapp لضربة قوية
مبلغ الخسارة: 2.90 مليار دولار أمريكي أسلوب الهجوم: تسرب المفتاح الخاص
في 9 فبراير 2024، تعرضت PlayDapp لهجوم كبير. قام القراصنة من خلال سرقة المفاتيح الخاصة بقول 2 مليار من رموز PLA، بقيمة أولية تبلغ 36.5 مليون دولار. بسبب فشل المفاوضات مع القراصنة، قام القراصنة بعد ذلك بقول 15.9 مليار من رموز PLA، بقيمة 253.9 مليون دولار. بعد دخول بعض الرموز إلى البورصات، اضطرت PlayDapp إلى تعليق عقد PLA والانتقال إلى عقد رموز جديد. تسلط هذه الحادثة الضوء على أوجه القصور في حماية المفاتيح الخاصة والاستجابة الطارئة لمشاريع البلوكشين.
3. تعرضت إحدى بورصات العملات المشفرة الهندية لهجوم دقيق
مبلغ الخسارة: 2.35 مليار دولار أمريكي أسلوب الهجوم: الهجمات الإلكترونية واصطياد المعلومات
في 18 يوليو 2024، تعرضت محفظة Safe Wallet متعددة التوقيع لأكبر بورصة عملات مشفرة في الهند لهجوم دقيق من قبل قراصنة. قام المهاجمون بإغراء الموقعين على المحفظة متعددة التوقيع عبر وسائل الهندسة الاجتماعية لتوقيع معاملة ترقية العقد، ثم استخدموا صلاحيات العقد المحدث لنقل جميع الأصول الموجودة في المحفظة. تكشف هذه القضية عن المخاطر المحتملة لمحافظ متعددة التوقيع في تكوين الصلاحيات وشفافية العمليات، كما أثارت تفكيرًا عميقًا في مجال الصناعة حول آليات التحكم والمخاطر الداخلية للمشاريع.
4. تعرضت Gala Games لهجوم زيادة إصدار الرموز
مبلغ الخسارة: 2.16 مليار دولار أمريكي أسلوب الهجوم: ثغرة في التحكم بالوصول
في 20 مايو 2024، تم اختراق عنوان مميز لشركة Gala Games من قبل قراصنة. قام المهاجمون باستدعاء دالة mint في عقد الرموز، مما أدى إلى سك 5 مليارات من رموز GALA دفعة واحدة. بعد ذلك، قام القراصنة بتحويل هذه الرموز إلى ETH على دفعات، مما تسبب في خسائر مباشرة بلغت 216 مليون دولار. بعد وقوع الحادث، قامت فريق Gala Games بتفعيل ميزة القوائم السوداء بشكل عاجل لحظر بعض حسابات القراصنة، واستعادوا جزءًا من الخسائر من خلال السبل القانونية.
5. مؤسس مشروع عملة رقمية معروف يتعرض لهجوم على محفظته الشخصية
مبلغ الخسارة: 1.12 مليار دولار أمريكي أسلوب الهجوم: تسرب المفتاح الخاص
في 31 يناير 2024، تعرضت أربعة محافظ شخصية لمؤسس مشارك لمشروع عملة رقمية معروف للاختراق، مما أدى إلى سرقة 112 مليون دولار من XRP. ويُعتقد أن هذه المحافظ أصبحت هدفًا للهجوم بسبب نقص الحماية المزدوجة من الأجهزة. بعد وقوع الحادث، نجحت إحدى البورصات الكبرى في تجميد XRP بقيمة 4.2 مليون دولار، وساعدت في تتبع الأصول المسروقة، ولكن تم غسل معظم الأموال من خلال بورصات لامركزية وخدمات خلط.
6. تعرضت Munchables لهجوم اختراق داخلي
مبلغ الخسارة: 6250 مليون دولار أمريكي أسلوب الهجوم: هجوم الهندسة الاجتماعية
في 26 مارس 2024، تعرضت منصة Munchables للألعاب على الويب 3 المستندة إلى Blast لهجوم نادر يتمثل في اختراق داخلي. كان المهاجمون قراصنة يتنكرون في هيئة مطوري بلوكتشين، وقد حصلوا على الشيفرة الأساسية والمفاتيح الحساسة بعد فترة طويلة من التسلل. على الرغم من أن الهجوم تسبب في خسائر ضخمة، إلا أنه تحت ضغط المجتمع والفريق، أعاد القراصنة في النهاية جميع الأموال المسروقة. تكشف هذه الحادثة عن أهمية أمان سلسلة التوريد، خاصة بالنسبة لمشاريع بلوكتشين التي تعتمد على تطوير طرف ثالث.
7. تعرضت بورصة تشفير تركية لخرق مفتاح خاص
قيمة الخسارة: ٥٥٠٠٠٠٠٠ دولار أمريكي أسلوب الهجوم: تسريب المفتاح الخاص
في 22 يونيو 2024، تعرض أكبر بورصة للعملات المشفرة في تركيا لهجوم تسرب المفتاح الخاص، مما أسفر عن خسائر تزيد عن 55 مليون دولار من الأصول المشفرة. بمساعدة إحدى البورصات الكبرى، تم تجميد 5.3 مليون دولار من الأموال المسروقة بنجاح، لكن الأصول الأخرى لم يتم استردادها بعد. وقد زادت هذه الحادثة من قلق السوق بشأن إدارة المفاتيح الخاصة في البورصات المركزية.
8. تم الهجوم على محفظة Radiant Capital متعددة التوقيع
مبلغ الخسارة: 53 مليون دولار أمريكي أسلوب الهجوم: تسرب المفتاح الخاص
في 17 أكتوبر 2024، تم اختراق محفظة متعددة التوقيع لشركة Radiant Capital من قبل قراصنة. بسبب اتباع نظام تحقق بتوقيع 3/11 منخفض العتبة، تمكن القراصنة من الحصول على مفاتيح خاصة لثلاثة من الموقعين للقيام بتوقيع خارج السلسلة، مما أدى إلى نقل ملكية عقد المحفظة إلى عنوان ضار، مما أسفر في النهاية عن سرقة 53 مليون دولار. أثار هذا الهجوم تأملات في الصناعة حول تصميم محافظ التوقيع المتعدد وآليات الحوكمة.
من الجدير بالذكر أن Radiant Capital قد خسرت 4.5 مليون دولار بسبب ثغرة في العقد قبل هذا الهجوم، وتم سرقة أكثر من 1900 إيثر. هذا يذكّر مرة أخرى مشروعات Web3 بضرورة إيلاء أهمية أكبر لمشاكل الأمان.
9. تعرض Hedgey Finance لهجوم على عقود متعددة السلاسل
مبلغ الخسارة: 44.7 مليون دولار أمريكي أسلوب الهجوم: ثغرة في العقد
في 19 أبريل 2024، تعرضت Hedgey Finance لهجوم على العديد من العقود على الشبكة. استغل المتسللون ثغرة في عقد ClaimCampaigns الخاص بها، مما أدى إلى استخراج رموز من سلسلتي Ethereum وArbitrum، ليصل إجمالي الخسائر إلى 44.7 مليون دولار. تبرز هذه الحادثة أهمية تدقيق الكود، لا سيما التحقق الصارم من منطق الموافقة على الرموز.
10. تم اختراق المحفظة الساخنة لأحد بورصات العملات المشفرة
مبلغ الخسارة: 44.7 مليون دولار أمريكي أسلوب الهجوم: تسرب المفتاح الخاص
في 19 سبتمبر 2024، تم اختراق المحفظة الساخنة لأحد بورصات العملات المشفرة من قبل قراصنة، حيث شملت السلاسل المتأثرة إيثريوم، وBNB Chain، وترون، وغيرها من السلاسل العامة. على الرغم من أن البورصة بدأت بسرعة في نقل الأصول وتجميد عمليات السحب، إلا أن القراصنة تمكنوا من سحب أصول بقيمة 44.7 مليون دولار. تعكس هذه الهجمة المخاطر العالية لإدارة المحافظ الساخنة في البورصات المركزية، مما يدفع الصناعة بشكل أكبر لاستكشاف حلول تخزين أصول أكثر أمانًا.
الخاتمة
تذكرنا أحداث الهجمات الأمنية المتكررة في عام 2024 مرة أخرى بأن تطوير صناعة blockchain لا يمكن أن يحدث بدون حماية أمنية. من تسرب المفاتيح الخاصة إلى ثغرات العقود، ومن الإخفاقات الإدارية الداخلية إلى تحديث أساليب الهجوم الخارجية، كل حادثة جلبت دروسًا عميقة. لمواجهة تهديدات الهجوم المتزايدة التعقيد، يحتاج جميع الأطراف في الصناعة إلى تعزيز الاستثمارات في تطوير التكنولوجيا، والمعايير الإدارية، والوقاية من المخاطر بشكل مستمر. في المستقبل، نتطلع إلى بناء نظام blockchain أكثر أمانًا من خلال التعاون الصناعي والابتكار التكنولوجي، لتوفير حماية أكثر موثوقية للمستخدمين والمستثمرين.