تحليل شامل لحدث أمان الجسور عبر السلسلة: من دروس التاريخ إلى آفاق المستقبل
على مدار العامين الماضيين، وقعت حوادث أمنية كبيرة بشكل متكرر في مجال الجسور عبر السلسلة، مع خسائر إجمالية تتجاوز 2.8 مليار دولار أمريكي. لم تسبب هذه الحوادث خسائر اقتصادية ضخمة فحسب، بل كشفت أيضًا عن العيوب الأساسية في تصميم بنية الأمان للبنية التحتية عبر السلسلة الحالية. ستقوم هذه المقالة بتحليل عميق لستة من أبرز حوادث هجوم الجسور عبر السلسلة، واستكشاف التفاصيل التقنية وأساليب الهجوم والأسباب العميقة، بالإضافة إلى استشراف اتجاهات تطوير الأمان عبر السلسلة في المستقبل.
جسر رونين: الجريمة المثالية للهندسة الاجتماعية
في 23 مارس 2022، تعرض الجسر Ronin الذي يقف وراء لعبة Axie Infinity لأشد هجوم عبر السلسلة في ذلك الوقت، حيث بلغت الخسائر 625 مليون دولار. تمكن المهاجمون من السيطرة بنجاح على 4 من أصل 5 عقد تحقق من خلال أساليب هندسة اجتماعية مدروسة.
عملية الهجوم
المهاجمون تمكنوا من اختراق نظام أحد موظفي Sky Mavis من خلال هجمات تصيد متقدمة مستمرة.
من خلال هذه النقطة، تمكن المهاجم من التسلل إلى البنية التحتية لتكنولوجيا المعلومات الخاصة بـ Sky Mavis والحصول على وصول إلى عقد التحقق.
الثغرة الرئيسية تكمن في تفويض مؤقت تم نسيانه: في نوفمبر 2021، أدرجت Axie DAO شركة Sky Mavis في القائمة البيضاء، مما سمح لها بالتوقيع على المعاملات نيابة عن Axie DAO. تم إنهاء هذا الترتيب الخاص في ديسمبر، لكن لم يتم سحب حق الوصول إلى القائمة البيضاء.
استغل المهاجمون 4 عقد تسيطر عليها Sky Mavis، بالإضافة إلى صلاحيات القائمة البيضاء الخاصة بـ Axie DAO التي لم يتم إلغاؤها، لجمع 5 توقيعات للعقدة المصدق عليها المطلوبة.
استمر الهجوم لمدة 6 أيام دون أن يتم اكتشافه، حتى تم ملاحظته عندما أبلغ أحد المستخدمين عن عدم القدرة على سحب الأموال.
المشكلة الرئيسية
نقص في الحماية من هجمات الهندسة الاجتماعية
إدارة الأذونات المؤقتة بشكل غير صحيح
تركز عقد التحقق بشكل مفرط
عدم وجود نظام مراقبة في الوقت الحقيقي
التدابير اللاحقة
اتخذت Sky Mavis مجموعة من تدابير التعويض، بما في ذلك توسيع عدد نقاط التحقق، وإدخال هيكل عدم الثقة، والتعاون مع شركات الأمن الرائدة.
جسر وورم هول: العواقب القاتلة للكود المهجور
في 2 فبراير 2022، تعرض جسر Wormhole الذي يربط بين Ethereum وSolana لهجوم، مما أدى إلى خسارة 320 مليون دولار. استغل المهاجمون دالة تم إلغاء استخدامها ولكن لم يتم إزالتها في العقد الذكي، متجاوزين بنجاح آلية التحقق من التوقيع.
عملية الهجوم
اكتشف المهاجم ثغرة رئيسية في دالة load_current_index: لم تتحقق هذه الدالة من صحة "حساب Sysvar" المُحقن وما إذا كان حساب نظام حقيقي.
من خلال تزوير حساب Sysvar، تمكن المهاجم من تجاوز عملية التحقق من التوقيع بنجاح.
باستخدام هذه الثغرة، أنشأ المهاجمون حسابات رسائل خبيثة، وحددوا سك 120,000 wETH.
نفذ المهاجم عملية السك بنجاح، وبدأ على الفور عملية نقل الأموال المعقدة وغسل الأموال.
القضية الرئيسية
لم يتم تنظيف الشيفرة المهجورة في الوقت المناسب
التحقق من الإدخال غير كافٍ
يوجد عيب في عملية النشر (لم يتم نشر تصحيح الأمان في الوقت المناسب)
الاعتماد المفرط على مكتبات التشفير الخارجية
التدابير اللاحقة
قامت Jump Trading (الشركة الأم لـ Wormhole) بضخ 120,000 ETH لتغطية الخسائر، لكن هذا كشف أيضًا عن الاعتماد الشديد على الكيانات المركزية.
جسر هارموني هوريزون: الانهيار الشامل لمفاتيح التوقيع المتعددة
في 23 يونيو 2022، تعرض جسر هارموني هورايزون لهجوم، مما أدى إلى خسارة 100 مليون دولار. تمكن المهاجمون من الحصول على المفاتيح الخاصة لاثنين من أصل خمسة عقد تحقق، مما يبرز الضعف المحتمل في الهيكل متعدد التوقيعات.
عملية الهجوم
تتبنى Harmony تصميم توقيع متعدد 2 من 5، حيث يكفي موافقة عقدين للتحقق لتنفيذ المعاملة.
حصل المهاجم على مفتاحين خاصين لنقطتي تحقق بطريقة غير معلنة.
باستخدام هذين المفتاحين الخاصين، قام المهاجم بتنفيذ 14 عملية سحب عبر السلاسل خلال بضع ساعات.
تشمل الأصول المسروقة مجموعة متنوعة من الرموز الرئيسية، مثل WETH وUSDC وUSDT وغيرها.
ثم قام المهاجم بغسل الأموال من خلال خدمات خلط العملات مثل Tornado Cash.
مشكلة رئيسية
تم تعيين حد الدخول للتوقيع المتعدد منخفضًا جدًا (2 من 5)
إدارة المفاتيح الخاصة تعاني من عيب أساسي
نقص آلية مراقبة المعاملات غير العادية
التطورات اللاحقة
أكد مكتب التحقيقات الفيدرالي الأمريكي لاحقًا أن هذا الهجوم نفذته مجموعة لازاروس الكورية الشمالية (APT38) وأنه من نفس المنظمة التي نفذت هجوم جسر رونين.
جسر Binance: العيب القاتل لإثبات Merkle
في 6 أكتوبر 2022، تعرض مركز رموز BSC التابع لباينانس لهجوم، مما أدى إلى خسارة قدرها 570 مليون دولار. استغل المهاجمون عيبًا دقيقًا في نظام تحقق ميركل لإثبات الكتل، مما سمح لهم بتزوير إثبات الكتلة.
عملية الهجوم
يقوم المهاجم أولاً بالتسجيل كموصل في شبكة BSC (Relayer) ويقوم بتعهد 100 BNB كضمان.
تكمن جوهر الهجوم في عيب في مكتبة IAVL عند معالجة إثبات Merkle: عندما يمتلك العقد خاصية كل من العقد الفرعية اليسرى واليمنى، لا يمكن للنظام معالجتها بشكل صحيح.
استغل المهاجم هذه الثغرة ونجح في تزوير إثبات Merkle للكتلة 110217401.
باستخدام إثباتات مزورة، قام المهاجمون بسحب 1،000،000 BNB في مرتين، بإجمالي 2،000،000 BNB.
قضية رئيسية
تنفيذ شجرة IAVL لم يأخذ في الاعتبار الحالات الحدودية لسمات العقد المزدوجة
إثبات وجود عيوب في منطق التحقق
الاعتماد المفرط على مكتبات التشفير الخارجية دون فهم قيودها بشكل كافٍ
التدابير اللاحقة
اتخذت Binance تدابير غير مسبوقة، حيث أوقفت شبكة BSC بالكامل لمدة حوالي 9 ساعات، ونجحت في تجميد حوالي 460 مليون دولار من الأموال المسروقة.
جسر نوماد: تأثير الفراشة لتكوين جذور الثقة
في 1 أغسطس 2022، تعرض جسر نوماد لهجوم بسبب خطأ في التكوين، مما أدى إلى خسارة قدرها 190 مليون دولار. تحولت هذه الحادثة إلى عملية نهب جماعية، مما أظهر العواقب الضخمة التي يمكن أن تنجم عن خطأ صغير.
عملية الهجوم
في ترقية روتينية، قام نوماد بتعيين قيمة "الجذر الموثوق" عن طريق الخطأ إلى 0x00، وهو نفس القيمة الافتراضية لـ "الجذر غير الموثوق".
هذا يؤدي إلى عدم قدرة النظام على تمييز الرسائل الصالحة من الرسائل غير الصالحة، وجميع الرسائل يتم وضع علامة "تم التحقق منها" تلقائيًا.
اكتشف أحد المستخدمين هذه الثغرة، ونفذ أول عملية هجوم.
بعد ذلك، شاركت مئات العناوين في "حفلة الهجوم" هذه، مما أفرغ تقريبًا جميع أموال جسر Nomad.
القضايا الرئيسية
تعارض قيمة الإعداد أدى إلى فشل التحقق
اختبار التغطية غير كافٍ قبل الترقية
نقص في مراقبة التداولات غير العادية وآلية الإيقاف التلقائي
التطورات المستقبلية
بعض القراصنة الأخلاقيين قاموا بإرجاع حوالي 32 مليون دولار من الأموال. فريق Nomad حاول أيضًا من خلال إجراءات المكافآت تشجيع إعادة الأموال، لكن التأثير كان محدودًا.
في 1 يناير 2024، تعرض الجسر عبر السلسلة متعدد السلاسل Orbit Chain لهجوم، مما أدى إلى خسارة 81.5 مليون دولار. نجح المهاجمون في الحصول على مفاتيح خاصة لـ 7 من أصل 10 عقد تحقق، مما كشف مرة أخرى عن ضعف آلية التوقيع المتعدد التقليدية.
عملية الهجوم
يعتمد Orbit Chain على هيكل توقيع متعدد يتكون من 10 عقد تحقق، ويحتاج إلى موافقة 7 عقد لتنفيذ المعاملات.
حصل المهاجمون على المفاتيح الخاصة لـ 7 عقد التحقق بطرق غير معلنة، مما سمح لهم بدقة بالوصول إلى الحد الأدنى المطلوب لتنفيذ المعاملات.
تشمل الأصول المسروقة العديد من العملات المشفرة الرئيسية مثل USDT وUSDC وDAI وWBTC وETH.
استخدم المهاجمون استراتيجيات غسيل الأموال مشابهة لتلك المستخدمة في هجوم جسر Harmony، من خلال توزيع الأموال عبر عدة عناوين، ثم استخدام خدمات خلط العملات لتنظيفها.
مسألة رئيسية
إدارة المفاتيح الخاصة تحتوي على عيوب نظامية
لا يزال هيكل التوقيع المتعدد يعاني من مخاطر نقطة فشل واحدة
نقص في المراقبة المباشرة للمعاملات الشاذة وآلية الإيقاف التلقائي
تأثير الصناعة
تثبت هذه الحادثة مرة أخرى أنه حتى عند استخدام هيكل توقيع متعدد بعتبة عالية (مثل 7 من 10)، إذا كانت هناك عيوب جوهرية في إدارة المفاتيح الخاصة، فلن يتمكن من الدفاع بفعالية ضد الهجمات المنظمة.
عميق الأسباب الأمنية للجسور عبر السلسلة
من خلال تحليل هذه الحالات الستة الكبيرة، يمكننا تلخيص بعض الجوانب الرئيسية لمشكلة أمان الجسور عبر السلسلة:
عيوب إدارة المفاتيح الخاصة (حوالي 55%):
تم ضبط عتبة التوقيع المتعدد منخفضة جدًا
تخزين أو إدارة المفاتيح الخاصة بشكل مركزي
نقص آلية فعالة لتدوير المفاتيح
نقص الحماية من هجمات الهندسة الاجتماعية
ثغرات تحقق العقد الذكي (حوالي 30%):
من الممكن وجود ثغرة في منطق التحقق من التوقيع
التحقق من الإدخال غير كافٍ
استخدام الدوال المهجورة أو التي تحتوي على مخاطر
مخاطر تكامل المكتبات الطرف الثالث
أخطاء في إدارة التكوين (حوالي 10%):
خطأ في التكوين أثناء عملية ترقية البروتوكول
إعدادات الأذونات غير صحيحة أو لم يتم إلغاء الأذونات المؤقتة في الوقت المناسب
تعارض تكوين المعلمات الرئيسية
تغطية الاختبار غير كافية
عيوب نظام إثبات التشفير (حوالي 5%):
عيوب تنفيذ إثبات ميركل
فهم غير كافٍ لمبادئ علم التشفير الأساسي
حالة الصناعة وتطور التكنولوجيا
عام 2022 كان "أحلك اللحظات" لأمان الجسور عبر السلسلة، بإجمالي خسائر تبلغ حوالي 18.5 مليار دولار.
انخفضت الخسائر في عام 2023 ولكنها لا تزال عند مستوى مرتفع، حوالي 680 مليون دولار.
في أوائل عام 2024، كانت هناك خسائر تبلغ 240 مليون دولار، لكن الوعي الأمني في الصناعة وقدرات الحماية تتزايد.
أساليب الهجوم تتطور باستمرار:
2022: هجوم نقطي واسع النطاق وذو خسائر كبيرة
2023: تنوع أساليب الهجوم، وزيادة هجمات الهندسة الاجتماعية
2024: هجمات موجهة أكثر سرية ودقة
القطاع يستكشف حلول تقنية متعددة:
جسر الإثباتات الصفرية
بنية الحوسبة متعددة الأطراف (MPC)
التحقق الرسمي
نظام المراقبة الآني المدفوع بالذكاء الاصطناعي والتعليق التلقائي
!
آفاق المستقبل: إعادة تعريف الأمان عبر السلاسل
تتمثل المشكلة الأساسية للجسور عبر السلسلة في عيوب نموذج الثقة. تحتاج الحلول المستقبلية إلى معالجة الأمور من ثلاثة جوانب: التقنية، والحوكمة، والاقتصاد:
الجانب الفني:
استخدام الطرق التشفيرية للقضاء على الاعتماد على الثقة البشرية
ضمان الصحة الرياضية للمنطق البرمجي من خلال التحقق الرسمي
إنشاء نظام حماية متعدد الطبقات
الجانب الإداري:
إنشاء معايير أمان وممارسات أفضل موحدة في الصناعة
دفع الجهات التنظيمية لوضع إطار امتثال مستهدف
تعزيز تبادل المعلومات الأمنية والتعاون عبر المشاريع
الجانب الاقتصادي:
تصميم آليات الحوافز الاقتصادية بشكل أكثر منطقية
إنشاء صندوق تأمين وتعويض أمني على مستوى الصناعة
زيادة تكلفة الهجمات وتقليل عائدات الهجمات
يجب أن يستند مستقبل الجسور عبر السلسلة إلى "ضمانات تشفيرية تجعل من المستحيل النجاح حتى لو حاول جميع المشاركين القيام بأعمال سيئة". فقط من خلال إعادة تصميم بنية أمان الجسور عبر السلسلة بشكل جذري والتخلص من الاعتماد على الثقة المركزية يمكن تحقيق التشغيل المتداخل الآمن والموثوق عبر سلاسل متعددة. ستصبح الحلول عبر السلسلة التي يمكن أن تقدم حقًا لامركزية وأمانًا قابلًا لإثبات رياضي منارة تقود الصناعة للخروج من ظلام الأمان.
مستقبل Web3 يعتمد على الخيارات التي نتخذها اليوم في هيكل الأمان. حان الوقت لإعادة التفكير وتصميم هيكل الأمان عبر السلاسل بشكل جذري، دعونا نعمل معًا لبناء نظام بيئي متعدد السلاسل آمن وموثوق حقًا.
!
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 11
أعجبني
11
5
إعادة النشر
مشاركة
تعليق
0/400
BanklessAtHeart
· منذ 13 س
28 مليار دولار اختفت؟ هذا بعيد عن الواقع
شاهد النسخة الأصليةرد0
CountdownToBroke
· منذ 23 س
28 مليار دولار اختفت، كان ذلك متهوراً.
شاهد النسخة الأصليةرد0
OnchainHolmes
· منذ 23 س
又被 يُستغل بغباء.了,真丢人
شاهد النسخة الأصليةرد0
GweiWatcher
· منذ 23 س
28 مليار، هذه النسبة ليست صغيرة! جميع الجسور الموثوقة قد انهارت.
تحليل أزمة أمان الجسور عبر السلسلة: ست حالات تكشف نقاط الألم في الصناعة والاتجاهات المستقبلية
تحليل شامل لحدث أمان الجسور عبر السلسلة: من دروس التاريخ إلى آفاق المستقبل
على مدار العامين الماضيين، وقعت حوادث أمنية كبيرة بشكل متكرر في مجال الجسور عبر السلسلة، مع خسائر إجمالية تتجاوز 2.8 مليار دولار أمريكي. لم تسبب هذه الحوادث خسائر اقتصادية ضخمة فحسب، بل كشفت أيضًا عن العيوب الأساسية في تصميم بنية الأمان للبنية التحتية عبر السلسلة الحالية. ستقوم هذه المقالة بتحليل عميق لستة من أبرز حوادث هجوم الجسور عبر السلسلة، واستكشاف التفاصيل التقنية وأساليب الهجوم والأسباب العميقة، بالإضافة إلى استشراف اتجاهات تطوير الأمان عبر السلسلة في المستقبل.
جسر رونين: الجريمة المثالية للهندسة الاجتماعية
في 23 مارس 2022، تعرض الجسر Ronin الذي يقف وراء لعبة Axie Infinity لأشد هجوم عبر السلسلة في ذلك الوقت، حيث بلغت الخسائر 625 مليون دولار. تمكن المهاجمون من السيطرة بنجاح على 4 من أصل 5 عقد تحقق من خلال أساليب هندسة اجتماعية مدروسة.
عملية الهجوم
المهاجمون تمكنوا من اختراق نظام أحد موظفي Sky Mavis من خلال هجمات تصيد متقدمة مستمرة.
من خلال هذه النقطة، تمكن المهاجم من التسلل إلى البنية التحتية لتكنولوجيا المعلومات الخاصة بـ Sky Mavis والحصول على وصول إلى عقد التحقق.
الثغرة الرئيسية تكمن في تفويض مؤقت تم نسيانه: في نوفمبر 2021، أدرجت Axie DAO شركة Sky Mavis في القائمة البيضاء، مما سمح لها بالتوقيع على المعاملات نيابة عن Axie DAO. تم إنهاء هذا الترتيب الخاص في ديسمبر، لكن لم يتم سحب حق الوصول إلى القائمة البيضاء.
استغل المهاجمون 4 عقد تسيطر عليها Sky Mavis، بالإضافة إلى صلاحيات القائمة البيضاء الخاصة بـ Axie DAO التي لم يتم إلغاؤها، لجمع 5 توقيعات للعقدة المصدق عليها المطلوبة.
استمر الهجوم لمدة 6 أيام دون أن يتم اكتشافه، حتى تم ملاحظته عندما أبلغ أحد المستخدمين عن عدم القدرة على سحب الأموال.
المشكلة الرئيسية
التدابير اللاحقة
اتخذت Sky Mavis مجموعة من تدابير التعويض، بما في ذلك توسيع عدد نقاط التحقق، وإدخال هيكل عدم الثقة، والتعاون مع شركات الأمن الرائدة.
جسر وورم هول: العواقب القاتلة للكود المهجور
في 2 فبراير 2022، تعرض جسر Wormhole الذي يربط بين Ethereum وSolana لهجوم، مما أدى إلى خسارة 320 مليون دولار. استغل المهاجمون دالة تم إلغاء استخدامها ولكن لم يتم إزالتها في العقد الذكي، متجاوزين بنجاح آلية التحقق من التوقيع.
عملية الهجوم
اكتشف المهاجم ثغرة رئيسية في دالة load_current_index: لم تتحقق هذه الدالة من صحة "حساب Sysvar" المُحقن وما إذا كان حساب نظام حقيقي.
من خلال تزوير حساب Sysvar، تمكن المهاجم من تجاوز عملية التحقق من التوقيع بنجاح.
باستخدام هذه الثغرة، أنشأ المهاجمون حسابات رسائل خبيثة، وحددوا سك 120,000 wETH.
نفذ المهاجم عملية السك بنجاح، وبدأ على الفور عملية نقل الأموال المعقدة وغسل الأموال.
القضية الرئيسية
التدابير اللاحقة
قامت Jump Trading (الشركة الأم لـ Wormhole) بضخ 120,000 ETH لتغطية الخسائر، لكن هذا كشف أيضًا عن الاعتماد الشديد على الكيانات المركزية.
جسر هارموني هوريزون: الانهيار الشامل لمفاتيح التوقيع المتعددة
في 23 يونيو 2022، تعرض جسر هارموني هورايزون لهجوم، مما أدى إلى خسارة 100 مليون دولار. تمكن المهاجمون من الحصول على المفاتيح الخاصة لاثنين من أصل خمسة عقد تحقق، مما يبرز الضعف المحتمل في الهيكل متعدد التوقيعات.
عملية الهجوم
تتبنى Harmony تصميم توقيع متعدد 2 من 5، حيث يكفي موافقة عقدين للتحقق لتنفيذ المعاملة.
حصل المهاجم على مفتاحين خاصين لنقطتي تحقق بطريقة غير معلنة.
باستخدام هذين المفتاحين الخاصين، قام المهاجم بتنفيذ 14 عملية سحب عبر السلاسل خلال بضع ساعات.
تشمل الأصول المسروقة مجموعة متنوعة من الرموز الرئيسية، مثل WETH وUSDC وUSDT وغيرها.
ثم قام المهاجم بغسل الأموال من خلال خدمات خلط العملات مثل Tornado Cash.
مشكلة رئيسية
التطورات اللاحقة
أكد مكتب التحقيقات الفيدرالي الأمريكي لاحقًا أن هذا الهجوم نفذته مجموعة لازاروس الكورية الشمالية (APT38) وأنه من نفس المنظمة التي نفذت هجوم جسر رونين.
جسر Binance: العيب القاتل لإثبات Merkle
في 6 أكتوبر 2022، تعرض مركز رموز BSC التابع لباينانس لهجوم، مما أدى إلى خسارة قدرها 570 مليون دولار. استغل المهاجمون عيبًا دقيقًا في نظام تحقق ميركل لإثبات الكتل، مما سمح لهم بتزوير إثبات الكتلة.
عملية الهجوم
يقوم المهاجم أولاً بالتسجيل كموصل في شبكة BSC (Relayer) ويقوم بتعهد 100 BNB كضمان.
تكمن جوهر الهجوم في عيب في مكتبة IAVL عند معالجة إثبات Merkle: عندما يمتلك العقد خاصية كل من العقد الفرعية اليسرى واليمنى، لا يمكن للنظام معالجتها بشكل صحيح.
استغل المهاجم هذه الثغرة ونجح في تزوير إثبات Merkle للكتلة 110217401.
باستخدام إثباتات مزورة، قام المهاجمون بسحب 1،000،000 BNB في مرتين، بإجمالي 2،000،000 BNB.
قضية رئيسية
التدابير اللاحقة
اتخذت Binance تدابير غير مسبوقة، حيث أوقفت شبكة BSC بالكامل لمدة حوالي 9 ساعات، ونجحت في تجميد حوالي 460 مليون دولار من الأموال المسروقة.
جسر نوماد: تأثير الفراشة لتكوين جذور الثقة
في 1 أغسطس 2022، تعرض جسر نوماد لهجوم بسبب خطأ في التكوين، مما أدى إلى خسارة قدرها 190 مليون دولار. تحولت هذه الحادثة إلى عملية نهب جماعية، مما أظهر العواقب الضخمة التي يمكن أن تنجم عن خطأ صغير.
عملية الهجوم
في ترقية روتينية، قام نوماد بتعيين قيمة "الجذر الموثوق" عن طريق الخطأ إلى 0x00، وهو نفس القيمة الافتراضية لـ "الجذر غير الموثوق".
هذا يؤدي إلى عدم قدرة النظام على تمييز الرسائل الصالحة من الرسائل غير الصالحة، وجميع الرسائل يتم وضع علامة "تم التحقق منها" تلقائيًا.
اكتشف أحد المستخدمين هذه الثغرة، ونفذ أول عملية هجوم.
بعد ذلك، شاركت مئات العناوين في "حفلة الهجوم" هذه، مما أفرغ تقريبًا جميع أموال جسر Nomad.
القضايا الرئيسية
التطورات المستقبلية
بعض القراصنة الأخلاقيين قاموا بإرجاع حوالي 32 مليون دولار من الأموال. فريق Nomad حاول أيضًا من خلال إجراءات المكافآت تشجيع إعادة الأموال، لكن التأثير كان محدودًا.
Orbit Chain: الانهيار المنهجي لمفاتيح التوقيع المتعدد
في 1 يناير 2024، تعرض الجسر عبر السلسلة متعدد السلاسل Orbit Chain لهجوم، مما أدى إلى خسارة 81.5 مليون دولار. نجح المهاجمون في الحصول على مفاتيح خاصة لـ 7 من أصل 10 عقد تحقق، مما كشف مرة أخرى عن ضعف آلية التوقيع المتعدد التقليدية.
عملية الهجوم
يعتمد Orbit Chain على هيكل توقيع متعدد يتكون من 10 عقد تحقق، ويحتاج إلى موافقة 7 عقد لتنفيذ المعاملات.
حصل المهاجمون على المفاتيح الخاصة لـ 7 عقد التحقق بطرق غير معلنة، مما سمح لهم بدقة بالوصول إلى الحد الأدنى المطلوب لتنفيذ المعاملات.
تشمل الأصول المسروقة العديد من العملات المشفرة الرئيسية مثل USDT وUSDC وDAI وWBTC وETH.
استخدم المهاجمون استراتيجيات غسيل الأموال مشابهة لتلك المستخدمة في هجوم جسر Harmony، من خلال توزيع الأموال عبر عدة عناوين، ثم استخدام خدمات خلط العملات لتنظيفها.
مسألة رئيسية
تأثير الصناعة
تثبت هذه الحادثة مرة أخرى أنه حتى عند استخدام هيكل توقيع متعدد بعتبة عالية (مثل 7 من 10)، إذا كانت هناك عيوب جوهرية في إدارة المفاتيح الخاصة، فلن يتمكن من الدفاع بفعالية ضد الهجمات المنظمة.
عميق الأسباب الأمنية للجسور عبر السلسلة
من خلال تحليل هذه الحالات الستة الكبيرة، يمكننا تلخيص بعض الجوانب الرئيسية لمشكلة أمان الجسور عبر السلسلة:
عيوب إدارة المفاتيح الخاصة (حوالي 55%):
ثغرات تحقق العقد الذكي (حوالي 30%):
أخطاء في إدارة التكوين (حوالي 10%):
عيوب نظام إثبات التشفير (حوالي 5%):
حالة الصناعة وتطور التكنولوجيا
أساليب الهجوم تتطور باستمرار:
القطاع يستكشف حلول تقنية متعددة:
!
آفاق المستقبل: إعادة تعريف الأمان عبر السلاسل
تتمثل المشكلة الأساسية للجسور عبر السلسلة في عيوب نموذج الثقة. تحتاج الحلول المستقبلية إلى معالجة الأمور من ثلاثة جوانب: التقنية، والحوكمة، والاقتصاد:
الجانب الفني:
الجانب الإداري:
الجانب الاقتصادي:
يجب أن يستند مستقبل الجسور عبر السلسلة إلى "ضمانات تشفيرية تجعل من المستحيل النجاح حتى لو حاول جميع المشاركين القيام بأعمال سيئة". فقط من خلال إعادة تصميم بنية أمان الجسور عبر السلسلة بشكل جذري والتخلص من الاعتماد على الثقة المركزية يمكن تحقيق التشغيل المتداخل الآمن والموثوق عبر سلاسل متعددة. ستصبح الحلول عبر السلسلة التي يمكن أن تقدم حقًا لامركزية وأمانًا قابلًا لإثبات رياضي منارة تقود الصناعة للخروج من ظلام الأمان.
مستقبل Web3 يعتمد على الخيارات التي نتخذها اليوم في هيكل الأمان. حان الوقت لإعادة التفكير وتصميم هيكل الأمان عبر السلاسل بشكل جذري، دعونا نعمل معًا لبناء نظام بيئي متعدد السلاسل آمن وموثوق حقًا.
!