مراجعة أحداث هجوم الجسور عبر السلسلة: عشر حالات مع خسائر تقترب من 2 مليار دولار
مع تقدم تكنولوجيا البلوك تشين، أصبحت الجسور عبر السلسلة بنية تحتية هامة تربط بين بيئات سلاسل الكتل العامة المختلفة. ومع ذلك، نظرًا لأنها تحمل كميات كبيرة من الأموال وتقوم بعمليات عبر السلاسل بشكل متكرر، أصبحت الجسور عبر السلسلة هدفًا شائعًا لهجمات القراصنة. ستستعرض هذه المقالة عشرة من الحوادث الكبرى لهجمات الجسور عبر السلسلة التي حدثت في السنوات الأخيرة، وتلخص الدروس المستفادة والرؤى منها.
ChainSwap: تعرضت لهجمتين، وخسرت حوالي 8800000 دولار أمريكي
في يوليو 2021، تعرض ChainSwap لهجومين من القراصنة خلال 9 أيام فقط. أدى الهجوم الأول إلى خسارة حوالي 800,000 دولار، بينما كان الهجوم الثاني أكثر خطورة، حيث بلغت الخسائر 8,000,000 دولار، مما أثر على أكثر من 20 مشروعًا يستخدم ChainSwap عبر السلاسل.
أظهرت التحقيقات أن الهجوم نشأ عن فشل البروتوكول في التحقق بدقة من صحة التوقيعات، مما سمح للمهاجمين باستخدام توقيعات أنشأوها بأنفسهم لإجراء المعاملات. وبما أن الخسائر الرئيسية كانت في رموز الحوكمة، اختارت ChainSwap والعديد من المشاريع المتأثرة إجراء لقطة وإعادة إصدار الرموز لتعويض خسائر الحائزين ومقدمي السيولة.
شبكة بولي: استرداد 6.1 مليار دولار من الأصول المسروقة بالكامل
في أغسطس 2021، تعرض بروتوكول التشغيل المتداخل عبر السلاسل Poly Network لأكبر هجوم DeFi في ذلك الوقت، حيث فقدت حوالي 610 مليون دولار من الأصول عبر ثلاثة شبكات: Ethereum و Binance Smart Chain و Polygon.
السبب الرئيسي للهجوم هو وجود ثغرة في منطق إدارة صلاحيات العقد. تمكن المهاجم من تعديل عنوان المدقق على السلسلة المستهدفة، مما سمح له بإجراء التحقق من توقيع عملية تحويل الأصول. على الرغم من أن حجم الهجوم كان ضخماً، إلا أن المهاجم قام في النهاية بإرجاع جميع الأموال، ووصفت شبكة بولي ذلك بأنه "هاكر القبعة البيضاء"، واقترحت تعيينه كمستشار أمني رئيسي.
متعددة السلاسل: تم سرقة أصول بقيمة 6 ملايين دولار، وتم استرداد ما يقرب من 50% منها
في يناير 2022، اكتشفت Multichain ثغرة هامة تؤثر على العديد من الرموز. على الرغم من أن الثغرة قد تم إصلاحها، إلا أنه لا يزال هناك حوالي 6 ملايين دولار من WETH و AVAX مسروقة.
أظهرت التحليلات الأمنية أن الهجوم ناتج عن مشكلة في Multichain عند التحقق من شرعية الرموز المدخلة من قبل المستخدم، حيث لم تؤخذ بعين الاعتبار أن جميع الرموز الأساسية لا تنفذ وظيفة permit. تمكن الفريق من استرداد نحو 50% من الأموال المسروقة، وقد اقترحوا خطة تعويض، لكنهم لم يعدوا مسؤولين عن خسائر المستخدمين الذين لم يسحبوا التفويض في الوقت المناسب.
QBridge: خسارة 80 مليون دولار، تعويض بنسبة 2%
في نهاية يناير 2022، تعرض جسر QBridge عبر السلسلة الخاص ببروتوكول الإقراض Qubit لهجوم، مما أدى إلى خسارة تقارب 80 مليون دولار. استغل المهاجمون ثغرة في QBridge بعدم فحص عنوان الصفر مرة أخرى عند معالجة تحويلات الرموز المدرجة في القائمة البيضاء، وتمكنوا من سك كمية كبيرة من رموز xETH من العدم على شبكة BSC، واستخدموا هذه الرموز لاستعارة أصول أخرى من Qubit.
حالياً، انخفض استخدام Qubit بشكل كبير، وتظهر البيانات الرسمية أن 98% من الأموال المسروقة لم تُعوض بعد.
Meter.io: خسارة 4.4 مليون دولار، والتزام بتعويضها من الأرباح المستقبلية
في فبراير 2022، تعرض جسر Meter Passport عبر السلسلة لهجوم، مما أدى إلى خسائر بقيمة 4.4 مليون دولار. وأفادت الجهات الرسمية أن المشكلة كانت ناتجة عن "افتراض الثقة الخاطئة" في الكود الأساسي، مما أتاح للقراصنة تزوير تحويلات BNB و ETH.
كان فريق Meter يخطط في البداية لتعويض الخسائر باستخدام رموز MTRG، لكن بعد تصويت المجتمع، تقرر إصدار رموز PASS جديدة للتعويض، وتم التعهد بإعادة شراء PASS من العائدات المستقبلية. ومع ذلك، لم يتم إجراء أي عمليات شراء حتى الآن.
رونين: 6.2 مليار دولار مسروقة، تم تعويضها بالكامل
في مارس 2022، تعرضت سلسلة رونين وراء آكسي إنفينيتي لهجوم كبير، حيث بلغت الخسائر 620 مليون دولار. من المثير للاهتمام أن الهجوم حدث في 23 مارس، ولكن لم يتم اكتشافه إلا بعد 6 أيام.
أظهرت التحقيقات أن الهجوم نشأ من هجوم هندسي اجتماعي مخطط له بعناية. تمكن المهاجمون من الحصول على ثقة موظفي Sky Mavis من خلال انتحال شخصية الشركة التي توظف وتولي السيطرة على عدة عقد تحقق في شبكة Ronin.
على الرغم من أن الأموال المسروقة لم يتم استعادتها، إلا أن Sky Mavis جمعت 150 مليون دولار من خلال جولة تمويل جديدة لتعويض خسائر المستخدمين. ومن الجدير بالذكر أنه بسبب الانخفاض الحاد في سعر ETH خلال فترة التعويض، فإن القيمة الفعلية للتعويض كانت أقل بكثير من قيمة الأصول عند وقت السرقة.
Wormhole: خسارة 3.26 مليار دولار، الحصول على تعويض في الوقت المناسب
في أوائل فبراير 2022، تعرض بروتوكول التشغيل البيني عبر السلاسل Wormhole لهجوم، مما أدى إلى خسارة حوالي 120,000 ETH، بقيمة 326 مليون دولار. استغل المهاجمون ثغرة في التحقق من التوقيع في العقد الأساسي لـ Wormhole على جانب Solana، مما سمح لهم بتزوير رسالة "الوصي" لسك كميات كبيرة من whETH.
لحسن الحظ، قامت Jump Crypto بسرعة بضخ 120,000 ETH في Wormhole، لتعويض جميع الخسائر، مما سمح لـ Wormhole بالعودة إلى التشغيل بسرعة.
EvoDeFi: تقديرات الخسائر تتجاوز عشرة ملايين دولار، ولم يتم حلها
في يونيو 2022، حدث انحراف خطير في USDT على DEX ValleySwap في نظام Oasis البيئي. تكمن جذور المشكلة في نقص السيولة على سلسلة المصدر للجسر عبر السلسلة EVODeFi الذي تم استخدامه.
على الرغم من أن المبلغ المحدد للخسائر غير معروف، إلا أنه يُقدّر أنه في مستوى عشرة ملايين دولار. للأسف، لم يقدم الأطراف المعنية أي حلول فعالة. كما توقفت الحسابات الرسمية على وسائل التواصل الاجتماعي لـ ValleySwap وEVODeFi عن التحديث بعد الحادث، وهو ما يعادل فعليًا تخلي فريق المشروع.
Horizon: خسارة تقارب 100 مليون دولار، لا يزال يتم وضع خطة التعويض.
في يونيو 2022، تعرض الجسر عبر السلسلة الرسمي لـ Harmony، Horizon، لهجوم، مما أدى إلى خسارة حوالي 100 مليون دولار من الأموال. اعترف مؤسس Harmony أن الهجوم قد يكون ناتجًا عن تسرب مفتاح خاص.
اقترحت Harmony تعويض المستخدمين عن خسائرهم من خلال إصدار رموز جديدة خلال ثلاث سنوات، لكنها لم تتمكن من الحصول على موافقة جماعية من المجتمع. حالياً، يقوم الفريق بإعادة صياغة خطة التعويض.
نوماد: 1.9 مليار دولار تم سرقتها، ومن المتوقع استرداد جزء من الأموال
في أغسطس 2022، تعرض جسر Nomad عبر السلسلة لحادث أمني كبير، مما أدى إلى فقدان 190 مليون دولار من الأموال. أظهرت التحليلات أن المشكلة نشأت عن خطأ في التهيئة خلال ترقية العقد، مما سمح لأي شخص بسحب الأموال بسهولة من الجسر.
الهجوم يشمل 1251 عنوانًا، حيث تمثل عناوين ENS 38% من المبلغ الإجمالي. على الرغم من أن الجهة المسؤولة عن المشروع لم تقدم خطة تعويض واضحة بعد، إلا أن بعض القراصنة الأخلاقيين أعربوا عن استعدادهم لإعادة الأموال، مما يمنح بصيصًا من الأمل في حل المشكلة.
ملخص ورؤى
من خلال مراجعة هذه الأحداث المتعلقة بهجمات الجسور عبر السلسلة، يمكننا استخلاص النقاط التالية:
الجسور عبر السلسلة هي مجال عالي المخاطر، حتى المشاريع المعروفة قد تحتوي على مخاطر أمنية.
فريق تطوير قوي ودعم رأس المال الكافي أمران حيويان للتعامل مع الحوادث. مشاريع مثل Poly Network وRonin وWormhole تمكنت من استعادة الأصول بسرعة أو تعويض كامل بعد أن تكبدت خسائر كبيرة.
تعتبر آلية المراقبة الفورية والاستجابة السريعة مهمة جدًا. بعض المشاريع مثل Hop Protocol و StarGate، من خلال اكتشاف ومعالجة الأنشطة المشبوهة في الوقت المناسب، نجحت في إحباط الهجمات المحتملة.
يجب على المستخدمين أن يكونوا حذرين عند اختيار الجسور عبر السلسلة، ويفضل أن يأخذوا بعين الاعتبار المشاريع التي طورتها فرق قوية، لتقليل مخاطر الأموال.
تعتبر عمليات التدقيق الأمني المنتظمة وبرامج مكافآت الثغرات ضرورية لاكتشاف وإصلاح المشكلات المحتملة.
يجب على فريق تطوير الجسور عبر السلسلة أن يتعلم باستمرار من حالات الهجوم السابقة، ويعمل على تحسين تدابير الأمان، خاصة في ما يتعلق بترقية العقود وإدارة الأذونات.
بشكل عام، مع زيادة الطلب على عبر السلاسل، ستظل سلامة الجسور عبر السلسلة موضوعًا مهمًا في صناعة blockchain. يحتاج المطورون والمستخدمون والنظام البيئي بأسره إلى العمل معًا لبناء بنية تحتية أكثر أمانًا وموثوقية عبر السلاسل.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
مراجعة لأهم 10 هجمات على الجسور عبر السلسلة: الدروس والعبر وراء خسائر تقترب من 2 مليار دولار
مراجعة أحداث هجوم الجسور عبر السلسلة: عشر حالات مع خسائر تقترب من 2 مليار دولار
مع تقدم تكنولوجيا البلوك تشين، أصبحت الجسور عبر السلسلة بنية تحتية هامة تربط بين بيئات سلاسل الكتل العامة المختلفة. ومع ذلك، نظرًا لأنها تحمل كميات كبيرة من الأموال وتقوم بعمليات عبر السلاسل بشكل متكرر، أصبحت الجسور عبر السلسلة هدفًا شائعًا لهجمات القراصنة. ستستعرض هذه المقالة عشرة من الحوادث الكبرى لهجمات الجسور عبر السلسلة التي حدثت في السنوات الأخيرة، وتلخص الدروس المستفادة والرؤى منها.
ChainSwap: تعرضت لهجمتين، وخسرت حوالي 8800000 دولار أمريكي
في يوليو 2021، تعرض ChainSwap لهجومين من القراصنة خلال 9 أيام فقط. أدى الهجوم الأول إلى خسارة حوالي 800,000 دولار، بينما كان الهجوم الثاني أكثر خطورة، حيث بلغت الخسائر 8,000,000 دولار، مما أثر على أكثر من 20 مشروعًا يستخدم ChainSwap عبر السلاسل.
أظهرت التحقيقات أن الهجوم نشأ عن فشل البروتوكول في التحقق بدقة من صحة التوقيعات، مما سمح للمهاجمين باستخدام توقيعات أنشأوها بأنفسهم لإجراء المعاملات. وبما أن الخسائر الرئيسية كانت في رموز الحوكمة، اختارت ChainSwap والعديد من المشاريع المتأثرة إجراء لقطة وإعادة إصدار الرموز لتعويض خسائر الحائزين ومقدمي السيولة.
شبكة بولي: استرداد 6.1 مليار دولار من الأصول المسروقة بالكامل
في أغسطس 2021، تعرض بروتوكول التشغيل المتداخل عبر السلاسل Poly Network لأكبر هجوم DeFi في ذلك الوقت، حيث فقدت حوالي 610 مليون دولار من الأصول عبر ثلاثة شبكات: Ethereum و Binance Smart Chain و Polygon.
السبب الرئيسي للهجوم هو وجود ثغرة في منطق إدارة صلاحيات العقد. تمكن المهاجم من تعديل عنوان المدقق على السلسلة المستهدفة، مما سمح له بإجراء التحقق من توقيع عملية تحويل الأصول. على الرغم من أن حجم الهجوم كان ضخماً، إلا أن المهاجم قام في النهاية بإرجاع جميع الأموال، ووصفت شبكة بولي ذلك بأنه "هاكر القبعة البيضاء"، واقترحت تعيينه كمستشار أمني رئيسي.
متعددة السلاسل: تم سرقة أصول بقيمة 6 ملايين دولار، وتم استرداد ما يقرب من 50% منها
في يناير 2022، اكتشفت Multichain ثغرة هامة تؤثر على العديد من الرموز. على الرغم من أن الثغرة قد تم إصلاحها، إلا أنه لا يزال هناك حوالي 6 ملايين دولار من WETH و AVAX مسروقة.
أظهرت التحليلات الأمنية أن الهجوم ناتج عن مشكلة في Multichain عند التحقق من شرعية الرموز المدخلة من قبل المستخدم، حيث لم تؤخذ بعين الاعتبار أن جميع الرموز الأساسية لا تنفذ وظيفة permit. تمكن الفريق من استرداد نحو 50% من الأموال المسروقة، وقد اقترحوا خطة تعويض، لكنهم لم يعدوا مسؤولين عن خسائر المستخدمين الذين لم يسحبوا التفويض في الوقت المناسب.
QBridge: خسارة 80 مليون دولار، تعويض بنسبة 2%
في نهاية يناير 2022، تعرض جسر QBridge عبر السلسلة الخاص ببروتوكول الإقراض Qubit لهجوم، مما أدى إلى خسارة تقارب 80 مليون دولار. استغل المهاجمون ثغرة في QBridge بعدم فحص عنوان الصفر مرة أخرى عند معالجة تحويلات الرموز المدرجة في القائمة البيضاء، وتمكنوا من سك كمية كبيرة من رموز xETH من العدم على شبكة BSC، واستخدموا هذه الرموز لاستعارة أصول أخرى من Qubit.
حالياً، انخفض استخدام Qubit بشكل كبير، وتظهر البيانات الرسمية أن 98% من الأموال المسروقة لم تُعوض بعد.
Meter.io: خسارة 4.4 مليون دولار، والتزام بتعويضها من الأرباح المستقبلية
في فبراير 2022، تعرض جسر Meter Passport عبر السلسلة لهجوم، مما أدى إلى خسائر بقيمة 4.4 مليون دولار. وأفادت الجهات الرسمية أن المشكلة كانت ناتجة عن "افتراض الثقة الخاطئة" في الكود الأساسي، مما أتاح للقراصنة تزوير تحويلات BNB و ETH.
كان فريق Meter يخطط في البداية لتعويض الخسائر باستخدام رموز MTRG، لكن بعد تصويت المجتمع، تقرر إصدار رموز PASS جديدة للتعويض، وتم التعهد بإعادة شراء PASS من العائدات المستقبلية. ومع ذلك، لم يتم إجراء أي عمليات شراء حتى الآن.
رونين: 6.2 مليار دولار مسروقة، تم تعويضها بالكامل
في مارس 2022، تعرضت سلسلة رونين وراء آكسي إنفينيتي لهجوم كبير، حيث بلغت الخسائر 620 مليون دولار. من المثير للاهتمام أن الهجوم حدث في 23 مارس، ولكن لم يتم اكتشافه إلا بعد 6 أيام.
أظهرت التحقيقات أن الهجوم نشأ من هجوم هندسي اجتماعي مخطط له بعناية. تمكن المهاجمون من الحصول على ثقة موظفي Sky Mavis من خلال انتحال شخصية الشركة التي توظف وتولي السيطرة على عدة عقد تحقق في شبكة Ronin.
على الرغم من أن الأموال المسروقة لم يتم استعادتها، إلا أن Sky Mavis جمعت 150 مليون دولار من خلال جولة تمويل جديدة لتعويض خسائر المستخدمين. ومن الجدير بالذكر أنه بسبب الانخفاض الحاد في سعر ETH خلال فترة التعويض، فإن القيمة الفعلية للتعويض كانت أقل بكثير من قيمة الأصول عند وقت السرقة.
Wormhole: خسارة 3.26 مليار دولار، الحصول على تعويض في الوقت المناسب
في أوائل فبراير 2022، تعرض بروتوكول التشغيل البيني عبر السلاسل Wormhole لهجوم، مما أدى إلى خسارة حوالي 120,000 ETH، بقيمة 326 مليون دولار. استغل المهاجمون ثغرة في التحقق من التوقيع في العقد الأساسي لـ Wormhole على جانب Solana، مما سمح لهم بتزوير رسالة "الوصي" لسك كميات كبيرة من whETH.
لحسن الحظ، قامت Jump Crypto بسرعة بضخ 120,000 ETH في Wormhole، لتعويض جميع الخسائر، مما سمح لـ Wormhole بالعودة إلى التشغيل بسرعة.
EvoDeFi: تقديرات الخسائر تتجاوز عشرة ملايين دولار، ولم يتم حلها
في يونيو 2022، حدث انحراف خطير في USDT على DEX ValleySwap في نظام Oasis البيئي. تكمن جذور المشكلة في نقص السيولة على سلسلة المصدر للجسر عبر السلسلة EVODeFi الذي تم استخدامه.
على الرغم من أن المبلغ المحدد للخسائر غير معروف، إلا أنه يُقدّر أنه في مستوى عشرة ملايين دولار. للأسف، لم يقدم الأطراف المعنية أي حلول فعالة. كما توقفت الحسابات الرسمية على وسائل التواصل الاجتماعي لـ ValleySwap وEVODeFi عن التحديث بعد الحادث، وهو ما يعادل فعليًا تخلي فريق المشروع.
Horizon: خسارة تقارب 100 مليون دولار، لا يزال يتم وضع خطة التعويض.
في يونيو 2022، تعرض الجسر عبر السلسلة الرسمي لـ Harmony، Horizon، لهجوم، مما أدى إلى خسارة حوالي 100 مليون دولار من الأموال. اعترف مؤسس Harmony أن الهجوم قد يكون ناتجًا عن تسرب مفتاح خاص.
اقترحت Harmony تعويض المستخدمين عن خسائرهم من خلال إصدار رموز جديدة خلال ثلاث سنوات، لكنها لم تتمكن من الحصول على موافقة جماعية من المجتمع. حالياً، يقوم الفريق بإعادة صياغة خطة التعويض.
نوماد: 1.9 مليار دولار تم سرقتها، ومن المتوقع استرداد جزء من الأموال
في أغسطس 2022، تعرض جسر Nomad عبر السلسلة لحادث أمني كبير، مما أدى إلى فقدان 190 مليون دولار من الأموال. أظهرت التحليلات أن المشكلة نشأت عن خطأ في التهيئة خلال ترقية العقد، مما سمح لأي شخص بسحب الأموال بسهولة من الجسر.
الهجوم يشمل 1251 عنوانًا، حيث تمثل عناوين ENS 38% من المبلغ الإجمالي. على الرغم من أن الجهة المسؤولة عن المشروع لم تقدم خطة تعويض واضحة بعد، إلا أن بعض القراصنة الأخلاقيين أعربوا عن استعدادهم لإعادة الأموال، مما يمنح بصيصًا من الأمل في حل المشكلة.
ملخص ورؤى
من خلال مراجعة هذه الأحداث المتعلقة بهجمات الجسور عبر السلسلة، يمكننا استخلاص النقاط التالية:
الجسور عبر السلسلة هي مجال عالي المخاطر، حتى المشاريع المعروفة قد تحتوي على مخاطر أمنية.
فريق تطوير قوي ودعم رأس المال الكافي أمران حيويان للتعامل مع الحوادث. مشاريع مثل Poly Network وRonin وWormhole تمكنت من استعادة الأصول بسرعة أو تعويض كامل بعد أن تكبدت خسائر كبيرة.
تعتبر آلية المراقبة الفورية والاستجابة السريعة مهمة جدًا. بعض المشاريع مثل Hop Protocol و StarGate، من خلال اكتشاف ومعالجة الأنشطة المشبوهة في الوقت المناسب، نجحت في إحباط الهجمات المحتملة.
يجب على المستخدمين أن يكونوا حذرين عند اختيار الجسور عبر السلسلة، ويفضل أن يأخذوا بعين الاعتبار المشاريع التي طورتها فرق قوية، لتقليل مخاطر الأموال.
تعتبر عمليات التدقيق الأمني المنتظمة وبرامج مكافآت الثغرات ضرورية لاكتشاف وإصلاح المشكلات المحتملة.
يجب على فريق تطوير الجسور عبر السلسلة أن يتعلم باستمرار من حالات الهجوم السابقة، ويعمل على تحسين تدابير الأمان، خاصة في ما يتعلق بترقية العقود وإدارة الأذونات.
بشكل عام، مع زيادة الطلب على عبر السلاسل، ستظل سلامة الجسور عبر السلسلة موضوعًا مهمًا في صناعة blockchain. يحتاج المطورون والمستخدمون والنظام البيئي بأسره إلى العمل معًا لبناء بنية تحتية أكثر أمانًا وموثوقية عبر السلاسل.