تمويل

كيفية منع الخروقات الأمنية المماثلة - كريبتوبوليتان

02/28/2023
أخبار Bitcoin Ethereum

التمويل اللامركزي (الصدمة) تقدم البروتوكولات خدمات مالية لامركزية للمستخدمين ، مما يسمح لهم بإجراء المعاملات والدخول في اتفاقيات مع مشاركين آخرين. بينما تهدف بروتوكولات DeFi إلى توفير منصة آمنة وموثوقة لمستخدميها ، تسببت العديد من عمليات الاستغلال خلال السنوات القليلة الماضية في خسائر كبيرة في الأموال. ستناقش هذه المقالة بعضًا من أكبر عمليات استغلال DeFi التي حدثت مؤخرًا.

فيما يلي أهم 8 عمليات اختراق لـ DeFi في Web3 بعد خصم الأموال المرتجعة:

سلسلة رونين - 600 مليون دولار

كان مارس 2023 شهرًا حافلًا بالأحداث بالنسبة لمساحة العملات المشفرة ، حيث تصدرت عملية اختراق جسر Axie Infinity Ronin القائمة بمبلغ 612 مليون دولار.

جسر رونين هو إثيريم سلسلة جانبية مستخدمة في لعبة Axie Infinity الشهيرة للعب من أجل الربح.

تمكنت مجموعة الجرائم الإلكترونية Lazarus ، المشتبه في أن لديها اتصالات كورية شمالية ، من الوصول إلى المفاتيح الخاصة لتسعة مصادقي المعاملات ، مما سمح لهم بالموافقة على معاملتين كبيرتين ونقل الأموال من عنوان محفظتهم. لحسن الحظ ، كان التعاون بين السلطات وشركات الأمن وبورصات العملات المشفرة قادرًا على المساعدة في تعقب بعض هذه الأموال بعد أن قام المتسللون بتحفيزهم إلى Tornado cash - بهلوان تشفير مفتوح المصدر - وغيرها من البورصات.

جسر دودي - 323 مليون دولار

في فبراير 2022 ، وقع حادث مؤسف عندما استغل قراصنة التشفير رمز الثقب الدودي للإقلاع بعملات مشفرة بقيمة 326 مليون دولار.

الثقب الدودي هو جسر رمزي بين Solana و Ethereum ، والذي فشل للأسف في منع الهجوم. أصبح ذلك ممكناً من خلال وظيفة مهملة / ميتة غير آمنة تجاوزت التحقق من التوقيع ومكنت سلسلة تفويضات التوقيعات.

خبراء في الأمن الإلكتروني تشير إلى أنه كان بإمكان المطورين منع الهجوم إذا مارسوا "ممارسات التشفير الآمن" حيث يجب عليهم التحقق من جميع المعلمات. كان من الممكن أن يضمن الشيك المصادقة على العناوين الصالحة وبالتالي استبعاد المصادر غير المشروعة من الوصول إلى الأصول الموجودة في السلسلة.

شجرة الفاصولياء - 181 مليون دولار

في عطلة نهاية أسبوع مصيرية في أبريل 2022 ، شن أحد المتسللين هجومًا هز مجتمع التشفير. باستخدام قرض سريع - إحدى ميزات بروتوكولات التمويل اللامركزي (DeFi) - تمكنوا من سرقة 182 مليون دولار في ETH و BEAN stablecoin وأصول أخرى من بروتوكول Beanstalk Stablecoin.

قدم المتسللون اقتراحين خبيثين إلى Beanstalk DAO من خلال وظيفة الالتزام الطارئة ، والتي تتطلب التصويت ⅔ قبل التنفيذ بعد 24 ساعة. استخدم المهاجم تقنية القروض السريعة للسيطرة على 79٪ من الرموز لتمرير كلا المقترحين وتنفيذ خطتهم بنجاح.

تم إرسال الأموال من داخل البروتوكول لسداد القرض العاجل ، مع تحويل الباقي إلى عنوان مرتبط بصندوق الطوارئ في أوكرانيا. في المجموع ، تم أخذ ما يصل إلى 76 مليون دولار من قبل الفرد المسؤول عن هذا العمل الشجاع.

Nomad - 155 مليون دولار

تصدّر اختراق جسر Nomad المحير عناوين الصحف عندما حدث في الأول من آب (أغسطس) 1. وقد صدم الكثيرين سلسلة كتلة استغل المتحمسون كمهاجمين ثغرة أمنية لاستنزاف أكثر من 190 مليون دولار من الأصول المستندة إلى Ethereum المخزنة في الجسر متعدد السلاسل.

تحرك المتسللون سريعًا وغاضبًا ، حيث شاركت مئات المحافظ في 960 معاملة نتج عنها 1,175 عملية سحب فردية من إجمالي القيمة المقفلة (TVL) للجسر. كل ذلك في غضون ساعات.

يتمثل أحد الجوانب المحيرة لهذا الاختراق في أن جميع المستخدمين الذين يتعين عليهم القيام به لاختراق أموال الجسر هو نسخ ولصق بيانات مكالمة معاملة المتسلل الأصلية ، واستبدال العنوان الأصلي بعنوان شخصي ، وستكتمل المعاملة.

أرسل الاختراق موجات صدمة في جميع أنحاء مجتمع التمويل اللامركزي (DeFi) ، مما يثبت أن المتسللين يظلون متقدمين بخطوة عند استغلال الثغرات في التعليمات البرمجية. يوفر جسر Nomad مثالًا توضيحيًا يوضح أهمية ممارسات التشفير الآمنة ويعزز سبب استمرار الأمن في مواجهة مشروعات blockchain اليوم.

تمويل كريم - 130.8 مليون دولار

على الرغم من أن الهجوم على CREAM في أكتوبر 2021 كان أحد أكبر عمليات سرقة القروض السريعة ، إلا أنه بالتأكيد لم يكن حادثة منعزلة. تتضمن هجمات القروض السريعة استخدام "قرض سريع" للسيولة والاقتراض والتخلف عن سداد هذا التمويل السريع ، كل ذلك في صفقة واحدة.

من خلال استغلال أخطاء حساب الأسعار ، يمكن للقراصنة الاستفادة بسرعة من قروضهم. على سبيل المثال ، في حالة CREAM ، تفاعل عنوانان مختلفان مع yUSDVault لصك عدد كبير من رموز crYUSD. لقد استغلوا نقطة ضعف من شأنها أن تضاعف قيمة هذه الأسهم. على الرغم من أنهم نجحوا في تأمين ما قيمته 130 مليون دولار من الأموال ، إلا أن الضمانات المتاحة التي تبلغ 1 مليار دولار أمريكي يمكن أن تأخذ أكثر بكثير من هذا المبلغ. 

أصبحت هجمات القروض السريعة منتشرة بشكل متزايد ، ويجب على المجتمع أن يطرح أسئلة حول كيفية منع المزيد من الخروقات الأمنية في المستقبل.

مركز رمز BSC - 127 مليون دولار

في أكتوبر 2022 ، قام المتسللون الذين يستغلون ثغرة خطيرة في رمز BSC Beacon عبر الجسر بالتخلص من أصول تشفير يبلغ مجموعها 570 مليون دولار.

سلسلة BSc Beacon ، المعروفة أيضًا باسم Token Hub ، هي جسر بين السلاسل يربط بين BNB Beacon Chain (BEP2) وسلسلة BNB (BEP20 / BSC).

قام المتسلل بتزوير أدلة تشفير تسمى أدلة Merkle التي تهدف إلى تأكيد صحة البيانات مثل المعاملات. في المقابل ، استخدموا أدلة Merkle الزائفة هذه لتحويل الأموال من جسر BSC Beacon المتقاطع إلى سلاسل أخرى.

بمجرد أن أدرج Tether عنوان المهاجمين في القائمة المحظورة ، تبع ذلك إجراء سريع مع نقل أكثر من 7 ملايين دولار من سلسلة BNB المجمدة ، ومصادرة معظم أموالهم غير المشروعة.

Harmony Horizon - 100 مليون دولار

في يونيو 2022 ، تعرض مشروع Harmony Horizon Bridge للاختراق عندما سرق المتسللون اثنين من مفاتيحه الخاصة الخمسة للتحقق ، مما سمح للمحتالين بتحويل ما قيمته 100 مليون دولار من الرموز المميزة.

كانت مشكلة الأمان هذه بسبب الطريقة التي تم بها إنشاء الجسر ، مع نظام تحقق من 2 من 5. نتيجة لذلك ، احتاج المهاجم فقط إلى موافقتين للتحقق من صحة أي معاملة ضارة. لتغطية آثارهم ، استخدم المهاجمون تورنادو كاش لغسل بعض مكاسبهم غير المشروعة. 

على الرغم من أن هذا الإعداد قد يبدو آمنًا في البداية ، إلا أنه أثبت أنه هدف مربح للممثلين السيئين ودرسًا مكلفًا في أمان blockchain لمن تم القبض عليهم.

راري- 91 مليون دولار

كانت هجمات Reentrancy موجودة منذ الأيام الأولى من Ethereum. لقد استخدموا نقاط ضعف العقد لسحب الأموال بشكل متكرر قبل الموافقة على المعاملة الأصلية أو رفضها.

في مايو 2022 ، تعرضت منصتان ماليتان لامركزيتان للاختراق بهذه الطريقة ، حيث سرق المتسللون 90 مليون دولار. وقال جاك لونغارزو من راري كابيتال إن المهاجم استغل الشركة ، وعرض بروتوكول Fei Protocol ، الذي اندمج مع Rari Capital ، للمتسلل مكافأة قدرها 10 ملايين دولار.

أوضحت شركة بلوكتشين للأمن BlockSec أن المتسللين استخدموا ثغرة في إعادة الدخول. 

يمكن للمطورين منع هذه الأنواع من الهجمات عن طريق اختبار العقود ومراجعتها بشكل صحيح قبل النشر على Ethereum blockchain.

كيف تحمي نفسك من مآثر DeFi

أصبحت بروتوكولات DeFi شائعة ومعقدة بشكل متزايد ، مما يجعلها أهدافًا جذابة للقراصنة. فيما يلي سبع نصائح لمساعدتك على حماية نفسك من مآثر DeFi:

  1. قم بإجراء العناية الواجبة الشاملة على أي مشروع قبل الاستثمار. تحقق من رمز النظام الأساسي والموقع الإلكتروني وأعضاء الفريق والقنوات الاجتماعية بحثًا عن العلامات الحمراء.
  2. تأكد من قيام مصدر موثوق بتدقيق العقود التي تتفاعل معها وأن نتائج التدقيق متاحة للجمهور.
  3. لا تقم بتخزين مبالغ كبيرة من الأموال في عقد DeFi واحد ، مما يجعله أكثر عرضة للهجوم.
  4. ابق على اطلاع بآخر أخبار الأمان للتعرف على مآثر جديدة.
  5. تنفيذ إجراءات المصادقة والتفويض المناسبة لجميع الحسابات التي تتفاعل مع بروتوكولات DeFi.
  6. تأكد من أن محفظتك آمنة ، واستخدم المصادقة ذات العاملين كلما أمكن ذلك.
  7. راقب أموالك ومعاملاتك بانتظام على blockchain لاكتشاف أي نشاط مشبوه أو عمليات سحب غير مصرح بها.

يمكن أن يساعد اتباع هذه النصائح في حمايتك من ثغرات DeFi والتأكد من أن أموالك آمنة عند التعامل مع بروتوكولات التمويل اللامركزية. ومع ذلك ، من المهم أيضًا تذكر أنه لا يوجد نظام معصوم من الخطأ ، لذلك من الأفضل دائمًا توخي مزيد من الحذر عند التعامل مع الأصول الرقمية.

وفي الختام

بشكل عام ، يعد الأمان أحد أهم الاعتبارات عند التعامل مع العملات المشفرة وبروتوكولات DeFi. لسوء الحظ ، مع استمرار الصناعة في النمو ، تزداد أيضًا مخاطر النشاط الضار. في حين أنه من المستحيل ضمان الأمان التام ، فإن اتباع هذه النصائح يمكن أن يساعدك على حماية نفسك من استغلال DeFi والحفاظ على أموالك آمنة. 

من خلال مواكبة آخر التطورات في أمان blockchain والتأكد من تطبيق إجراءات المصادقة المناسبة لجميع الحسابات ، يمكنك المساعدة في ضمان بقاء أصولك الرقمية آمنة.

المصدر: https://www.cryptopolitan.com/defi-exploits-in-web3-prevention-tips/