مراجعة لأهم عشرة أحداث أمنية في مجال Web3 لعام 2024
في عام 2024، يواجه قطاع blockchain تحديات أمنية متزايدة في وقت يشهد فيه الابتكار التكنولوجي وتوسيع النظام البيئي. وفقًا لمراقبة منصة البيانات، بلغت الخسائر الإجمالية في مجال Web3 حتى الآن بسبب هجمات القراصنة، والاحتيال عبر الصيد، وهروب المشاريع 24.91 مليار دولار.
لم تكشف هذه الأحداث فقط عن عيوب تقنية مثل إدارة المفاتيح الخاصة وثغرات العقود الذكية، بل سلطت الضوء أيضًا على المخاطر المحتملة للهندسة الاجتماعية والإدارة الداخلية. ستستعرض هذه المقالة أهم عشرة أحداث أمنية في Web3 لعام 2024، على أمل استخلاص الدروس منها والتعامل بشكل أفضل مع تهديدات الأمن المستقبلية.
1. DMM بيتكوين
مبلغ الخسارة: 3.04 مليار دولار أمريكيأسلوب الهجوم: تسرب المفتاح الخاص
في 31 مايو 2024 ، تعرضت بورصة DMM Bitcoin اليابانية الشهيرة للعملات المشفرة لحادث أمان كبير. استخدم المهاجمون مفاتيح خاصة مسربة لنقل أكثر من 300 مليون دولار من البيتكوين مباشرة ، وقاموا بسرعة بتوزيع الأموال المسروقة على أكثر من 10 عناوين مختلفة. كشفت هذه الهجمة عن أوجه قصور خطيرة في إدارة المفاتيح الخاصة وحماية الأمان المتعددة الطبقات في البورصة. على الرغم من أن البورصة حاولت تتبع القراصنة من خلال المراقبة على السلسلة وتجميد الأموال ، إلا أن نقل البيتكوين المسروقة بشكل موزع وغسل العملات قد شكل تحديًا كبيرًا لجهود التتبع.
في 24 ديسمبر، أكدت الشرطة اليابانية أن هذه الحادثة كانت من تنفيذ مجموعة القراصنة الكورية الشمالية Lazarus Group.
2. بلايداب
مبلغ الخسائر: 2.90 مليار دولار أمريكيأسلوب الهجوم: تسرب المفتاح الخاص
في 9 فبراير 2024، تعرضت PlayDapp لضربة قوية. قام القراصنة بتهريب المفاتيح الخاصة وصك 2 مليار من رموز PLA، بقيمة أولية تبلغ 36.5 مليون دولار. نظرًا لفشل المفاوضات بين المشروع والقراصنة، صك القراصنة في فترة قصيرة 15.9 مليار من رموز PLA أخرى، بقيمة 253.9 مليون دولار. بعد تدفق بعض الرموز إلى البورصات، اضطرت PlayDapp إلى تعليق عقد PLA والانتقال إلى عقد رموز PDA جديد. تسلط هذه الحادثة الضوء على عدم كفاية حماية المفاتيح الخاصة وإجراءات الطوارئ في مشاريع blockchain.
3. بورصة العملات المشفرة الهندية
مبلغ الخسارة: 2.35 مليار دولار أمريكيأساليب الهجوم: الهجمات الإلكترونية والصيد الاحتيالي
في 18 يوليو 2024، تعرضت محفظة Safe Wallet متعددة التوقيع لأكبر بورصة للعملات المشفرة في الهند لهجوم دقيق. استخدم المهاجمون أساليب الهندسة الاجتماعية لاستدراج الموقعين على المحفظة متعددة التوقيع لتوقيع معاملة ترقية للعقد، ثم استخدموا صلاحيات العقد المحدث لنقل جميع الأصول الموجودة في المحفظة. تسلط هذه الحادثة الضوء على المخاطر المحتملة لمحافظ متعددة التوقيع في إدارة تكوين الصلاحيات وشفافية العمليات، كما أثارت تفكيرًا عميقًا في آليات التحكم الداخلي والأمان للمشاريع.
4. ألعاب جالا
مبلغ الخسارة: 2.16 مليار دولار أمريكيأسلوب الهجوم: ثغرات التحكم في الوصول
في 20 مايو 2024، تم اختراق عنوان مميز لـ Gala Games. قام المهاجمون باستدعاء دالة mint في عقد الرموز، وقاموا بعمل 5 مليارات من رموز GALA دفعة واحدة. بعد ذلك، قام المخترقون بتحويل هذه الرموز إلى ETH على دفعات، مما تسبب في خسارة مباشرة قدرها 216 مليون دولار. بعد وقوع الحادث، قام فريق Gala Games بتفعيل وظيفة القائمة السوداء بشكل عاجل لحظر بعض حسابات المخترقين، واستعادوا جزءًا من الخسائر عبر الطرق القانونية.
5. مؤسس مشارك لمشروع عملة مشفرة معينة
مبلغ الخسارة: 112 مليون دولار أمريكيأسلوب الهجوم: تسرب المفتاح الخاص
في 31 يناير 2024، تم اختراق أربع محافظ شخصية لمؤسس مشارك لمشروع معروف للعملات المشفرة من قبل قراصنة، مما أدى إلى سرقة 112 مليون دولار من العملات المشفرة. ويُعتقد أن هذه المحافظ كانت هدفًا للهجوم بسبب نقص حماية الأجهزة المزدوجة. بعد الحادث، نجحت منصة تداول معينة في تجميد أصول مسروقة بقيمة 4.2 مليون دولار، وعاونت في تتبعها، لكن جزءًا كبيرًا من الأموال قد تم غسلها عبر منصات التداول اللامركزية وخدمات خلط العملات.
6. الوجبات المضغوطة
مبلغ الخسارة: 6250 مليون دولار أمريكيأسلوب الهجوم: هجوم الهندسة الاجتماعية
في 26 مارس 2024، تعرضت منصة الألعاب Web3 المستندة إلى Blast المسماة Munchables لهجوم نادر داخلي. كان المهاجم هاكر متنكر في صورة مطور بلوك تشين، وقد حصل على الشيفرة الأساسية والمفاتيح الحساسة من خلال التسلل لفترة طويلة. على الرغم من أن الهجوم تسبب في خسائر ضخمة، إلا أن الضغوط من المجتمع والفريق أدت في النهاية إلى إعادة جميع الأموال المسروقة من قبل الهاكر. تكشف هذه الحادثة عن أهمية أمان سلسلة التوريد، خاصة بالنسبة لمشاريع البلوك تشين التي تعتمد على تطوير الطرف الثالث.
7. بي تي سي ترك
مبلغ الخسارة: 55 مليون دولار أمريكيأسلوب الهجوم: تسريب المفتاح الخاص
في 22 يونيو 2024، تعرضت أكبر بورصة للعملات الرقمية في تركيا BtcTurk لهجوم تسرب مفاتيح خاصة، مما أدى إلى خسارة تزيد عن 55 مليون دولار من الأصول الرقمية. بمساعدة فريق من منصة تداول معينة، تم تجميد 5.3 مليون دولار من الأموال المسروقة بنجاح، ولكن الأصول الأخرى لم يتم استردادها بعد. عززت هذه الحادثة المخاوف في السوق بشأن إدارة المفاتيح الخاصة في البورصات المركزية.
8. رأس المال المتلألئ
مبلغ الخسارة: 53 مليون دولار أمريكيأسلوب الهجوم: تسريب المفتاح الخاص
في 17 أكتوبر 2024، تعرضت محفظة متعددة التوقيع الخاصة بـ Radiant Capital للاختراق من قبل هاكر. نظرًا لاعتماد نموذج تحقق من 3/11 بتكلفة منخفضة، تمكن الهاكر من السيطرة على مفاتيح خاصة لـ 3 من الموقّعين وبدأ توقيعًا غير متصل، مما أدى إلى نقل ملكية عقد المحفظة إلى عنوان خبيث، مما أسفر في النهاية عن سرقة 53 مليون دولار. أثار هذا الهجوم تفكيرًا في تصميم محافظ متعددة التوقيع وآليات الحوكمة في الصناعة.
من الجدير بالذكر أن Radiant Capital خسرت 4.5 مليون دولار بسبب ثغرات في العقود قبل هذا الهجوم، حيث تم سرقة أكثر من 1900 ETH. وهذا يدل على أن الشركات في مشاريع Web3 تحتاج إلى تحسين اهتمامها بالأمان.
9. هيدجي فاينانس
مبلغ الخسارة: 44.7 مليون دولار أمريكيأسلوب الهجوم: ثغرة في العقد
في 19 أبريل 2024، تعرضت Hedgey Finance لهجوم استهدف عدة عقود على السلسلة. استغل القراصنة ثغرة في موافقة عقد ClaimCampaigns، وتمكنوا من استخراج الرموز من سلسلتي Ethereum وArbitrum، وبلغت الخسائر الإجمالية 44.7 مليون دولار. تُظهر هذه الحادثة أهمية تدقيق الكود، خاصةً التحقق الدقيق من منطق الموافقة على الرموز.
10. بنج إكس
مبلغ الخسارة: 44.7 مليون دولار أمريكيأسلوب الهجوم: تسرب المفتاح الخاص
في 19 سبتمبر 2024، تم اختراق المحفظة الساخنة لبورصة BingX من قبل قراصنة، مما أثر على العديد من السلاسل العامة بما في ذلك Ethereum و BNB Chain و Tron. على الرغم من أن البورصة بدأت بسرعة في آلية نقل الأصول وتجميد السحب، إلا أن القراصنة تمكنوا من استخراج أصول بقيمة 44.7 مليون دولار. تعكس هذه الهجمة المخاطر العالية لإدارة المحافظ الساخنة في البورصات المركزية، وتدفع الصناعة لاستكشاف خيارات تخزين الأصول الأكثر أمانًا.
ملخص
تكررت حوادث الهجمات الأمنية في عام 2024، مما يذكرنا مرة أخرى بأن تطوير صناعة blockchain يعتمد على الحماية الأمنية. من تسرب المفاتيح الخاصة إلى ثغرات العقود، ومن الإهمال في الإدارة الداخلية إلى ترقية أساليب الهجوم الخارجية، كل حادثة جلبت دروسًا عميقة. لمواجهة التهديدات المتزايدة التعقيد، تحتاج الأطراف المعنية في الصناعة إلى الاستمرار في تعزيز الاستثمار في البحث والتطوير التكنولوجي، والمعايير الإدارية، والوقاية من المخاطر. في المستقبل، نتطلع من خلال التعاون الصناعي والابتكار التكنولوجي إلى بناء نظام بيئي أكثر أمانًا للـ blockchain، لتوفير حماية أكثر موثوقية للمستخدمين والمستثمرين.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
خسائر بقيمة 24.91 مليار دولار في مجال Web3 في عام 2024: استعراض لأهم عشرة أحداث أمنية.
مراجعة لأهم عشرة أحداث أمنية في مجال Web3 لعام 2024
في عام 2024، يواجه قطاع blockchain تحديات أمنية متزايدة في وقت يشهد فيه الابتكار التكنولوجي وتوسيع النظام البيئي. وفقًا لمراقبة منصة البيانات، بلغت الخسائر الإجمالية في مجال Web3 حتى الآن بسبب هجمات القراصنة، والاحتيال عبر الصيد، وهروب المشاريع 24.91 مليار دولار.
لم تكشف هذه الأحداث فقط عن عيوب تقنية مثل إدارة المفاتيح الخاصة وثغرات العقود الذكية، بل سلطت الضوء أيضًا على المخاطر المحتملة للهندسة الاجتماعية والإدارة الداخلية. ستستعرض هذه المقالة أهم عشرة أحداث أمنية في Web3 لعام 2024، على أمل استخلاص الدروس منها والتعامل بشكل أفضل مع تهديدات الأمن المستقبلية.
1. DMM بيتكوين
مبلغ الخسارة: 3.04 مليار دولار أمريكي أسلوب الهجوم: تسرب المفتاح الخاص
في 31 مايو 2024 ، تعرضت بورصة DMM Bitcoin اليابانية الشهيرة للعملات المشفرة لحادث أمان كبير. استخدم المهاجمون مفاتيح خاصة مسربة لنقل أكثر من 300 مليون دولار من البيتكوين مباشرة ، وقاموا بسرعة بتوزيع الأموال المسروقة على أكثر من 10 عناوين مختلفة. كشفت هذه الهجمة عن أوجه قصور خطيرة في إدارة المفاتيح الخاصة وحماية الأمان المتعددة الطبقات في البورصة. على الرغم من أن البورصة حاولت تتبع القراصنة من خلال المراقبة على السلسلة وتجميد الأموال ، إلا أن نقل البيتكوين المسروقة بشكل موزع وغسل العملات قد شكل تحديًا كبيرًا لجهود التتبع.
في 24 ديسمبر، أكدت الشرطة اليابانية أن هذه الحادثة كانت من تنفيذ مجموعة القراصنة الكورية الشمالية Lazarus Group.
2. بلايداب
مبلغ الخسائر: 2.90 مليار دولار أمريكي أسلوب الهجوم: تسرب المفتاح الخاص
في 9 فبراير 2024، تعرضت PlayDapp لضربة قوية. قام القراصنة بتهريب المفاتيح الخاصة وصك 2 مليار من رموز PLA، بقيمة أولية تبلغ 36.5 مليون دولار. نظرًا لفشل المفاوضات بين المشروع والقراصنة، صك القراصنة في فترة قصيرة 15.9 مليار من رموز PLA أخرى، بقيمة 253.9 مليون دولار. بعد تدفق بعض الرموز إلى البورصات، اضطرت PlayDapp إلى تعليق عقد PLA والانتقال إلى عقد رموز PDA جديد. تسلط هذه الحادثة الضوء على عدم كفاية حماية المفاتيح الخاصة وإجراءات الطوارئ في مشاريع blockchain.
3. بورصة العملات المشفرة الهندية
مبلغ الخسارة: 2.35 مليار دولار أمريكي أساليب الهجوم: الهجمات الإلكترونية والصيد الاحتيالي
في 18 يوليو 2024، تعرضت محفظة Safe Wallet متعددة التوقيع لأكبر بورصة للعملات المشفرة في الهند لهجوم دقيق. استخدم المهاجمون أساليب الهندسة الاجتماعية لاستدراج الموقعين على المحفظة متعددة التوقيع لتوقيع معاملة ترقية للعقد، ثم استخدموا صلاحيات العقد المحدث لنقل جميع الأصول الموجودة في المحفظة. تسلط هذه الحادثة الضوء على المخاطر المحتملة لمحافظ متعددة التوقيع في إدارة تكوين الصلاحيات وشفافية العمليات، كما أثارت تفكيرًا عميقًا في آليات التحكم الداخلي والأمان للمشاريع.
4. ألعاب جالا
مبلغ الخسارة: 2.16 مليار دولار أمريكي أسلوب الهجوم: ثغرات التحكم في الوصول
في 20 مايو 2024، تم اختراق عنوان مميز لـ Gala Games. قام المهاجمون باستدعاء دالة mint في عقد الرموز، وقاموا بعمل 5 مليارات من رموز GALA دفعة واحدة. بعد ذلك، قام المخترقون بتحويل هذه الرموز إلى ETH على دفعات، مما تسبب في خسارة مباشرة قدرها 216 مليون دولار. بعد وقوع الحادث، قام فريق Gala Games بتفعيل وظيفة القائمة السوداء بشكل عاجل لحظر بعض حسابات المخترقين، واستعادوا جزءًا من الخسائر عبر الطرق القانونية.
5. مؤسس مشارك لمشروع عملة مشفرة معينة
مبلغ الخسارة: 112 مليون دولار أمريكي أسلوب الهجوم: تسرب المفتاح الخاص
في 31 يناير 2024، تم اختراق أربع محافظ شخصية لمؤسس مشارك لمشروع معروف للعملات المشفرة من قبل قراصنة، مما أدى إلى سرقة 112 مليون دولار من العملات المشفرة. ويُعتقد أن هذه المحافظ كانت هدفًا للهجوم بسبب نقص حماية الأجهزة المزدوجة. بعد الحادث، نجحت منصة تداول معينة في تجميد أصول مسروقة بقيمة 4.2 مليون دولار، وعاونت في تتبعها، لكن جزءًا كبيرًا من الأموال قد تم غسلها عبر منصات التداول اللامركزية وخدمات خلط العملات.
6. الوجبات المضغوطة
مبلغ الخسارة: 6250 مليون دولار أمريكي أسلوب الهجوم: هجوم الهندسة الاجتماعية
في 26 مارس 2024، تعرضت منصة الألعاب Web3 المستندة إلى Blast المسماة Munchables لهجوم نادر داخلي. كان المهاجم هاكر متنكر في صورة مطور بلوك تشين، وقد حصل على الشيفرة الأساسية والمفاتيح الحساسة من خلال التسلل لفترة طويلة. على الرغم من أن الهجوم تسبب في خسائر ضخمة، إلا أن الضغوط من المجتمع والفريق أدت في النهاية إلى إعادة جميع الأموال المسروقة من قبل الهاكر. تكشف هذه الحادثة عن أهمية أمان سلسلة التوريد، خاصة بالنسبة لمشاريع البلوك تشين التي تعتمد على تطوير الطرف الثالث.
7. بي تي سي ترك
مبلغ الخسارة: 55 مليون دولار أمريكي أسلوب الهجوم: تسريب المفتاح الخاص
في 22 يونيو 2024، تعرضت أكبر بورصة للعملات الرقمية في تركيا BtcTurk لهجوم تسرب مفاتيح خاصة، مما أدى إلى خسارة تزيد عن 55 مليون دولار من الأصول الرقمية. بمساعدة فريق من منصة تداول معينة، تم تجميد 5.3 مليون دولار من الأموال المسروقة بنجاح، ولكن الأصول الأخرى لم يتم استردادها بعد. عززت هذه الحادثة المخاوف في السوق بشأن إدارة المفاتيح الخاصة في البورصات المركزية.
8. رأس المال المتلألئ
مبلغ الخسارة: 53 مليون دولار أمريكي أسلوب الهجوم: تسريب المفتاح الخاص
في 17 أكتوبر 2024، تعرضت محفظة متعددة التوقيع الخاصة بـ Radiant Capital للاختراق من قبل هاكر. نظرًا لاعتماد نموذج تحقق من 3/11 بتكلفة منخفضة، تمكن الهاكر من السيطرة على مفاتيح خاصة لـ 3 من الموقّعين وبدأ توقيعًا غير متصل، مما أدى إلى نقل ملكية عقد المحفظة إلى عنوان خبيث، مما أسفر في النهاية عن سرقة 53 مليون دولار. أثار هذا الهجوم تفكيرًا في تصميم محافظ متعددة التوقيع وآليات الحوكمة في الصناعة.
من الجدير بالذكر أن Radiant Capital خسرت 4.5 مليون دولار بسبب ثغرات في العقود قبل هذا الهجوم، حيث تم سرقة أكثر من 1900 ETH. وهذا يدل على أن الشركات في مشاريع Web3 تحتاج إلى تحسين اهتمامها بالأمان.
9. هيدجي فاينانس
مبلغ الخسارة: 44.7 مليون دولار أمريكي أسلوب الهجوم: ثغرة في العقد
في 19 أبريل 2024، تعرضت Hedgey Finance لهجوم استهدف عدة عقود على السلسلة. استغل القراصنة ثغرة في موافقة عقد ClaimCampaigns، وتمكنوا من استخراج الرموز من سلسلتي Ethereum وArbitrum، وبلغت الخسائر الإجمالية 44.7 مليون دولار. تُظهر هذه الحادثة أهمية تدقيق الكود، خاصةً التحقق الدقيق من منطق الموافقة على الرموز.
10. بنج إكس
مبلغ الخسارة: 44.7 مليون دولار أمريكي أسلوب الهجوم: تسرب المفتاح الخاص
في 19 سبتمبر 2024، تم اختراق المحفظة الساخنة لبورصة BingX من قبل قراصنة، مما أثر على العديد من السلاسل العامة بما في ذلك Ethereum و BNB Chain و Tron. على الرغم من أن البورصة بدأت بسرعة في آلية نقل الأصول وتجميد السحب، إلا أن القراصنة تمكنوا من استخراج أصول بقيمة 44.7 مليون دولار. تعكس هذه الهجمة المخاطر العالية لإدارة المحافظ الساخنة في البورصات المركزية، وتدفع الصناعة لاستكشاف خيارات تخزين الأصول الأكثر أمانًا.
ملخص
تكررت حوادث الهجمات الأمنية في عام 2024، مما يذكرنا مرة أخرى بأن تطوير صناعة blockchain يعتمد على الحماية الأمنية. من تسرب المفاتيح الخاصة إلى ثغرات العقود، ومن الإهمال في الإدارة الداخلية إلى ترقية أساليب الهجوم الخارجية، كل حادثة جلبت دروسًا عميقة. لمواجهة التهديدات المتزايدة التعقيد، تحتاج الأطراف المعنية في الصناعة إلى الاستمرار في تعزيز الاستثمار في البحث والتطوير التكنولوجي، والمعايير الإدارية، والوقاية من المخاطر. في المستقبل، نتطلع من خلال التعاون الصناعي والابتكار التكنولوجي إلى بناء نظام بيئي أكثر أمانًا للـ blockchain، لتوفير حماية أكثر موثوقية للمستخدمين والمستثمرين.