مراجعة لأهم عشرة أحداث أمنية في مجال Web3 لعام 2024
في عام 2024، بينما يزدهر قطاع Web3، تبرز أيضًا مشكلات الأمان بشكل متزايد. وفقًا للإحصاءات، حتى نهاية العام، بلغت إجمالي الخسائر الناجمة عن هجمات القراصنة، والاحتيال، وهروب فرق المشاريع 2.491 مليار دولار. لم تكشف هذه الأحداث فقط عن ثغرات على المستوى الفني، بل أبرزت أيضًا المخاطر المحتملة في الجوانب الإدارية والتشغيلية. ستستعرض هذه المقالة أبرز عشرة أحداث أمنية في مجال Web3 لعام 2024، من أجل تحذير المجتمع الصناعي والتفكير فيها.
1. تعرضت إحدى البورصات اليابانية لهجوم كبير
مبلغ الخسارة: 3.04 مليار دولار أمريكيأسلوب الهجوم: تسرب المفتاح الخاص
في 31 مايو، تعرضت إحدى بورصات العملات المشفرة الشهيرة في اليابان لحادث أمني خطير. استغل المهاجمون مفاتيح خاصة مسربة لنقل أكثر من 300 مليون دولار من البيتكوين مباشرة، وسرعان ما قاموا بتوزيع الأموال المسروقة على عدة عناوين. كشفت هذه الحادثة عن عيوب خطيرة في إدارة المفاتيح الخاصة وفي تدابير الأمان المتعددة في البورصة. على الرغم من أن البورصة اتخذت إجراءات مثل مراقبة السلسلة وتجميد الأموال، إلا أن تتبع الأموال واجه تحديات هائلة بسبب استخدام القراصنة لأدوات خلط العملات.
في نهاية العام، أكدت الشرطة اليابانية أن الهجوم تم بواسطة منظمة قراصنة دولية.
2. تعرض PlayDapp لهجوم تضخيم الرموز المميزة
مبلغ الخسارة: 2.90 مليار دولار أمريكيأسلوب الهجوم: تسرب المفتاح الخاص
في 9 فبراير، تعرض مشروع PlayDapp لضربة قوية. قام هاكر بسرقة المفاتيح الخاصة وسك عدد كبير من رموز PLA، بقيمة أولية تبلغ 36.5 مليون دولار. بسبب فشل المفاوضات مع الهاكر، قام المعتدي بسك المزيد من الرموز، ليصل إجمالي القيمة إلى 253.9 مليون دولار. بعد تدفق جزء من هذه الرموز إلى البورصات، اضطرت PlayDapp إلى تعليق العقد الأصلي والانتقال إلى عقد رمزي جديد. تسلط هذه الحادثة الضوء على أوجه القصور في حماية المفاتيح الخاصة والتعامل الطارئ في مشاريع البلوكشين.
3. أكبر بورصة للعملات المشفرة في الهند تتعرض لهجوم على محفظة متعددة التوقيعات
مبلغ الخسارة: 2.35 مليار دولار أمريكيأسلوب الهجوم: الهجمات الإلكترونية و الصيد الاحتيالي
في 18 يوليو، تعرضت محفظة Safe Wallet متعددة التوقيع لأكبر بورصة عملات رقمية في الهند لهجوم دقيق. قام المهاجمون باستخدام أساليب الهندسة الاجتماعية لإغراء الموقعين على التوقيع المتعدد بتوقيع معاملة ترقية العقد، ثم استخدموا صلاحيات العقد المحدث لنقل جميع الأصول الموجودة في المحفظة. تكشف هذه القضية عن المخاطر المحتملة لمحافظ التوقيع المتعدد في تكوين الصلاحيات وشفافية العمليات، كما أثارت تأملاً عميقاً في آليات التحكم الداخلي للمشاريع في الصناعة.
4. تعرضت Gala Games لهجوم زيادة إصدار الرموز
مبلغ الخسارة: 2.16 مليار دولار أمريكيأسلوب الهجوم: ثغرة في التحكم بالوصول
في 20 مايو، تم اختراق عنوان مميز لشركة Gala Games من قبل قراصنة. قام المهاجمون باستدعاء وظيفة mint في عقد الرمز المميز، وقاموا بإنشاء 5 مليارات من رموز GALA دفعة واحدة. بعد ذلك، تم استبدال هذه الرموز المضافة على دفعات إلى ETH، مما أدى إلى خسارة مباشرة بقيمة 216 مليون دولار. قام فريق Gala Games بتفعيل ميزة القائمة السوداء بشكل عاجل لوقف بعض حسابات القراصنة، واستعادوا جزءًا من الخسائر من خلال القنوات القانونية.
5. تم سرقة المحفظة الشخصية لمؤسس مشروع عملة مشفرة معروف
مبلغ الخسارة: 112 مليون دولار أمريكيأسلوب الهجوم: تسريب المفتاح الخاص
في 31 يناير، تعرضت أربعة محافظ شخصية لمؤسس مشارك معروف لمشروع عملات مشفرة لهجوم قراصنة، مما أدى إلى سرقة 112 مليون دولار من العملات المشفرة. يُعتقد أن هذه المحافظ أصبحت هدفاً للهجوم بسبب نقص حماية الأجهزة المزدوجة. بعد الحادث، تمكنت إحدى بورصات العملات الكبيرة من تجميد أصول مسروقة بقيمة 4.2 مليون دولار، لكن تم غسل معظم الأموال من خلال بورصات لامركزية وخدمات خلط.
6. تعرض Munchables لهجوم اختراق داخلي
مبلغ الخسارة: 6250 مليون دولار أمريكيأسلوب الهجوم: هجوم الهندسة الاجتماعية
في 26 مارس، شهدت منصة Munchables للألعاب Web3 القائمة على Blast هجومًا نادرًا من اختراق داخلي. قام المهاجمون بالتنكر في هيئة مطورين للبلوك تشين، واستطاعوا الحصول على الشيفرة الأساسية والمفاتيح الحساسة من خلال التوغل لفترة طويلة. على الرغم من أن ذلك تسبب في خسائر ضخمة، إلا أنه تحت ضغط المجتمع والفريق، أعاد القراصنة في النهاية جميع الأموال المسروقة. تسلط هذه الحادثة الضوء على أهمية أمان سلسلة التوريد، لا سيما بالنسبة لمشاريع البلوك تشين التي تعتمد على تطوير أطراف ثالثة.
7. أكبر بورصة للعملات المشفرة في تركيا تتعرض لتسرب مفاتيح خاصة
مبلغ الخسارة: 55 مليون دولار أمريكيطرق الهجوم: تسريب المفتاح الخاص
في 22 يونيو، تعرضت أكبر بورصة للعملات المشفرة في تركيا لهجوم تسرب مفتاح خاص، مما أسفر عن خسارة تزيد عن 55 مليون دولار من الأصول المشفرة. مع مساعدة بورصة كبيرة، تم تجميد 5.3 مليون دولار من الأموال المسروقة بنجاح، لكن الأصول الأخرى لم تُستعاد بعد. وقد زاد هذا الحدث من المخاوف في السوق بشأن إدارة مفاتيح البورصات المركزية.
8. تم اختراق محفظة Radiant Capital متعددة التوقيعات
مبلغ الخسارة: 53 مليون دولار أمريكيطريقة الهجوم: تسرب المفتاح الخاص
في 17 أكتوبر، تعرضت محفظة متعددة التوقيع لشركة Radiant Capital للاختراق. بسبب اعتمادها على نموذج تحقق من التوقيع 3/11 منخفض العتبة، تمكن القراصنة من السيطرة على المفاتيح الخاصة لثلاثة من الموقّعين وإجراء توقيع خارج السلسلة، مما أدى إلى نقل ملكية عقد المحفظة إلى عنوان خبيث، مما أسفر في النهاية عن سرقة 53 مليون دولار. أثار هذا الهجوم تأملات في صناعة تصميم محافظ متعددة التوقيع وآليات الحوكمة.
من الجدير بالذكر أن Radiant Capital خسرت 4.5 مليون دولار بسبب ثغرة في العقد قبل هذا الهجوم، وتم سرقة أكثر من 1900 إيثر. وهذا يوضح مرة أخرى أن مشاريع Web3 بحاجة إلى تحسين مستوى اهتمامها بالأمان.
9. تعرضت عقود Hedgey Finance المتعددة السلاسل للهجوم
مبلغ الخسارة: 4470 مليون دولار أمريكيأسلوب الهجوم: ثغرات العقد
في 19 أبريل، تعرضت Hedgey Finance لهجوم استهدف عدة عقود على السلسلة. استغل المتسللون ثغرة في موافقة عقد ClaimCampaigns، مما أدى إلى سحب ناجح للرموز من سلسلتي Ethereum و Arbitrum، ليصل إجمالي الخسائر إلى 44.7 مليون دولار. تسلط هذه الحادثة الضوء على أهمية تدقيق الكود، خاصة فيما يتعلق بالتحقق الصارم من منطق الموافقة على الرموز.
10. تم اختراق المحفظة الساخنة لإحدى البورصات بواسطة قراصنة
مبلغ الخسارة: 44.7 مليون دولار أمريكيأسلوب الهجوم: تسرب المفتاح الخاص
في 19 سبتمبر، تعرضت المحفظة الساخنة لإحدى البورصات للاختراق من قبل قراصنة، مما أثر على العديد من سلاسل الكتل مثل Ethereum و BNB Chain و Tron. على الرغم من أن البورصة بدأت بسرعة في آلية نقل الأصول وتجميد السحب، إلا أن القراصنة تمكنوا من استخراج أصول بقيمة 44.7 مليون دولار. تعكس هذه الهجمة مرة أخرى المخاطر العالية لإدارة المحفظة الساخنة في البورصات المركزية، مما يدفع الصناعة لاستكشاف حلول تخزين أصول أكثر أمانًا.
تُشير أحداث الأمان المتكررة في عام 2024 مرة أخرى إلى أننا بحاجة إلى ضمان الأمان في تطوير صناعة blockchain. من إدارة المفاتيح الخاصة إلى ثغرات العقود، ومن الإدارة الداخلية إلى تحديث أساليب الهجوم الخارجي، كل حدث يُنبه الصناعة. لمواجهة التهديدات الأمنية المتزايدة التعقيد، يحتاج القطاع إلى زيادة الاستثمار في مجالات البحث والتطوير التكنولوجي، والمعايير الإدارية، والوقاية من المخاطر. في المستقبل، نتطلع من خلال التعاون بين الصناعة والابتكار التكنولوجي إلى بناء نظام بيئي أكثر أمانًا وموثوقية في blockchain.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسببت عشرة حوادث أمان في مجال Web3 في عام 2024 في خسائر بلغت 24.91 مليار دولار أمريكي.
مراجعة لأهم عشرة أحداث أمنية في مجال Web3 لعام 2024
في عام 2024، بينما يزدهر قطاع Web3، تبرز أيضًا مشكلات الأمان بشكل متزايد. وفقًا للإحصاءات، حتى نهاية العام، بلغت إجمالي الخسائر الناجمة عن هجمات القراصنة، والاحتيال، وهروب فرق المشاريع 2.491 مليار دولار. لم تكشف هذه الأحداث فقط عن ثغرات على المستوى الفني، بل أبرزت أيضًا المخاطر المحتملة في الجوانب الإدارية والتشغيلية. ستستعرض هذه المقالة أبرز عشرة أحداث أمنية في مجال Web3 لعام 2024، من أجل تحذير المجتمع الصناعي والتفكير فيها.
1. تعرضت إحدى البورصات اليابانية لهجوم كبير
مبلغ الخسارة: 3.04 مليار دولار أمريكي أسلوب الهجوم: تسرب المفتاح الخاص
في 31 مايو، تعرضت إحدى بورصات العملات المشفرة الشهيرة في اليابان لحادث أمني خطير. استغل المهاجمون مفاتيح خاصة مسربة لنقل أكثر من 300 مليون دولار من البيتكوين مباشرة، وسرعان ما قاموا بتوزيع الأموال المسروقة على عدة عناوين. كشفت هذه الحادثة عن عيوب خطيرة في إدارة المفاتيح الخاصة وفي تدابير الأمان المتعددة في البورصة. على الرغم من أن البورصة اتخذت إجراءات مثل مراقبة السلسلة وتجميد الأموال، إلا أن تتبع الأموال واجه تحديات هائلة بسبب استخدام القراصنة لأدوات خلط العملات.
في نهاية العام، أكدت الشرطة اليابانية أن الهجوم تم بواسطة منظمة قراصنة دولية.
2. تعرض PlayDapp لهجوم تضخيم الرموز المميزة
مبلغ الخسارة: 2.90 مليار دولار أمريكي أسلوب الهجوم: تسرب المفتاح الخاص
في 9 فبراير، تعرض مشروع PlayDapp لضربة قوية. قام هاكر بسرقة المفاتيح الخاصة وسك عدد كبير من رموز PLA، بقيمة أولية تبلغ 36.5 مليون دولار. بسبب فشل المفاوضات مع الهاكر، قام المعتدي بسك المزيد من الرموز، ليصل إجمالي القيمة إلى 253.9 مليون دولار. بعد تدفق جزء من هذه الرموز إلى البورصات، اضطرت PlayDapp إلى تعليق العقد الأصلي والانتقال إلى عقد رمزي جديد. تسلط هذه الحادثة الضوء على أوجه القصور في حماية المفاتيح الخاصة والتعامل الطارئ في مشاريع البلوكشين.
3. أكبر بورصة للعملات المشفرة في الهند تتعرض لهجوم على محفظة متعددة التوقيعات
مبلغ الخسارة: 2.35 مليار دولار أمريكي أسلوب الهجوم: الهجمات الإلكترونية و الصيد الاحتيالي
في 18 يوليو، تعرضت محفظة Safe Wallet متعددة التوقيع لأكبر بورصة عملات رقمية في الهند لهجوم دقيق. قام المهاجمون باستخدام أساليب الهندسة الاجتماعية لإغراء الموقعين على التوقيع المتعدد بتوقيع معاملة ترقية العقد، ثم استخدموا صلاحيات العقد المحدث لنقل جميع الأصول الموجودة في المحفظة. تكشف هذه القضية عن المخاطر المحتملة لمحافظ التوقيع المتعدد في تكوين الصلاحيات وشفافية العمليات، كما أثارت تأملاً عميقاً في آليات التحكم الداخلي للمشاريع في الصناعة.
4. تعرضت Gala Games لهجوم زيادة إصدار الرموز
مبلغ الخسارة: 2.16 مليار دولار أمريكي أسلوب الهجوم: ثغرة في التحكم بالوصول
في 20 مايو، تم اختراق عنوان مميز لشركة Gala Games من قبل قراصنة. قام المهاجمون باستدعاء وظيفة mint في عقد الرمز المميز، وقاموا بإنشاء 5 مليارات من رموز GALA دفعة واحدة. بعد ذلك، تم استبدال هذه الرموز المضافة على دفعات إلى ETH، مما أدى إلى خسارة مباشرة بقيمة 216 مليون دولار. قام فريق Gala Games بتفعيل ميزة القائمة السوداء بشكل عاجل لوقف بعض حسابات القراصنة، واستعادوا جزءًا من الخسائر من خلال القنوات القانونية.
5. تم سرقة المحفظة الشخصية لمؤسس مشروع عملة مشفرة معروف
مبلغ الخسارة: 112 مليون دولار أمريكي أسلوب الهجوم: تسريب المفتاح الخاص
في 31 يناير، تعرضت أربعة محافظ شخصية لمؤسس مشارك معروف لمشروع عملات مشفرة لهجوم قراصنة، مما أدى إلى سرقة 112 مليون دولار من العملات المشفرة. يُعتقد أن هذه المحافظ أصبحت هدفاً للهجوم بسبب نقص حماية الأجهزة المزدوجة. بعد الحادث، تمكنت إحدى بورصات العملات الكبيرة من تجميد أصول مسروقة بقيمة 4.2 مليون دولار، لكن تم غسل معظم الأموال من خلال بورصات لامركزية وخدمات خلط.
6. تعرض Munchables لهجوم اختراق داخلي
مبلغ الخسارة: 6250 مليون دولار أمريكي أسلوب الهجوم: هجوم الهندسة الاجتماعية
في 26 مارس، شهدت منصة Munchables للألعاب Web3 القائمة على Blast هجومًا نادرًا من اختراق داخلي. قام المهاجمون بالتنكر في هيئة مطورين للبلوك تشين، واستطاعوا الحصول على الشيفرة الأساسية والمفاتيح الحساسة من خلال التوغل لفترة طويلة. على الرغم من أن ذلك تسبب في خسائر ضخمة، إلا أنه تحت ضغط المجتمع والفريق، أعاد القراصنة في النهاية جميع الأموال المسروقة. تسلط هذه الحادثة الضوء على أهمية أمان سلسلة التوريد، لا سيما بالنسبة لمشاريع البلوك تشين التي تعتمد على تطوير أطراف ثالثة.
7. أكبر بورصة للعملات المشفرة في تركيا تتعرض لتسرب مفاتيح خاصة
مبلغ الخسارة: 55 مليون دولار أمريكي طرق الهجوم: تسريب المفتاح الخاص
في 22 يونيو، تعرضت أكبر بورصة للعملات المشفرة في تركيا لهجوم تسرب مفتاح خاص، مما أسفر عن خسارة تزيد عن 55 مليون دولار من الأصول المشفرة. مع مساعدة بورصة كبيرة، تم تجميد 5.3 مليون دولار من الأموال المسروقة بنجاح، لكن الأصول الأخرى لم تُستعاد بعد. وقد زاد هذا الحدث من المخاوف في السوق بشأن إدارة مفاتيح البورصات المركزية.
8. تم اختراق محفظة Radiant Capital متعددة التوقيعات
مبلغ الخسارة: 53 مليون دولار أمريكي طريقة الهجوم: تسرب المفتاح الخاص
في 17 أكتوبر، تعرضت محفظة متعددة التوقيع لشركة Radiant Capital للاختراق. بسبب اعتمادها على نموذج تحقق من التوقيع 3/11 منخفض العتبة، تمكن القراصنة من السيطرة على المفاتيح الخاصة لثلاثة من الموقّعين وإجراء توقيع خارج السلسلة، مما أدى إلى نقل ملكية عقد المحفظة إلى عنوان خبيث، مما أسفر في النهاية عن سرقة 53 مليون دولار. أثار هذا الهجوم تأملات في صناعة تصميم محافظ متعددة التوقيع وآليات الحوكمة.
من الجدير بالذكر أن Radiant Capital خسرت 4.5 مليون دولار بسبب ثغرة في العقد قبل هذا الهجوم، وتم سرقة أكثر من 1900 إيثر. وهذا يوضح مرة أخرى أن مشاريع Web3 بحاجة إلى تحسين مستوى اهتمامها بالأمان.
9. تعرضت عقود Hedgey Finance المتعددة السلاسل للهجوم
مبلغ الخسارة: 4470 مليون دولار أمريكي أسلوب الهجوم: ثغرات العقد
في 19 أبريل، تعرضت Hedgey Finance لهجوم استهدف عدة عقود على السلسلة. استغل المتسللون ثغرة في موافقة عقد ClaimCampaigns، مما أدى إلى سحب ناجح للرموز من سلسلتي Ethereum و Arbitrum، ليصل إجمالي الخسائر إلى 44.7 مليون دولار. تسلط هذه الحادثة الضوء على أهمية تدقيق الكود، خاصة فيما يتعلق بالتحقق الصارم من منطق الموافقة على الرموز.
10. تم اختراق المحفظة الساخنة لإحدى البورصات بواسطة قراصنة
مبلغ الخسارة: 44.7 مليون دولار أمريكي أسلوب الهجوم: تسرب المفتاح الخاص
في 19 سبتمبر، تعرضت المحفظة الساخنة لإحدى البورصات للاختراق من قبل قراصنة، مما أثر على العديد من سلاسل الكتل مثل Ethereum و BNB Chain و Tron. على الرغم من أن البورصة بدأت بسرعة في آلية نقل الأصول وتجميد السحب، إلا أن القراصنة تمكنوا من استخراج أصول بقيمة 44.7 مليون دولار. تعكس هذه الهجمة مرة أخرى المخاطر العالية لإدارة المحفظة الساخنة في البورصات المركزية، مما يدفع الصناعة لاستكشاف حلول تخزين أصول أكثر أمانًا.
تُشير أحداث الأمان المتكررة في عام 2024 مرة أخرى إلى أننا بحاجة إلى ضمان الأمان في تطوير صناعة blockchain. من إدارة المفاتيح الخاصة إلى ثغرات العقود، ومن الإدارة الداخلية إلى تحديث أساليب الهجوم الخارجي، كل حدث يُنبه الصناعة. لمواجهة التهديدات الأمنية المتزايدة التعقيد، يحتاج القطاع إلى زيادة الاستثمار في مجالات البحث والتطوير التكنولوجي، والمعايير الإدارية، والوقاية من المخاطر. في المستقبل، نتطلع من خلال التعاون بين الصناعة والابتكار التكنولوجي إلى بناء نظام بيئي أكثر أمانًا وموثوقية في blockchain.