مراجعة حوادث أمان الجسور عبر السلسلة: تحليل عشرة حالات هجوم

في السنوات الأخيرة، مع تطور تقنية البلوكشين، أصبحت الجسور عبر السلسلة البنية التحتية الأساسية لربط بيئات سلاسل الكتل المختلفة. ومع ذلك، نظرًا لأنها تحمل تدفقات كبيرة من الأموال، أصبحت الجسور عبر السلسلة أيضًا هدفًا رئيسيًا لهجمات القراصنة. ستستعرض هذه المقالة عشر حوادث هجوم عبر السلسلة ذات تأثير عميق، وتلخص الدروس المستفادة، وتقدم مرجعًا لتطوير الأمن في الصناعة.

ChainSwap: ضربة مزدوجة وإعادة إصدار الرموز

في يوليو 2021، تعرض ChainSwap لهجمتين قرصنتين في غضون 9 أيام، وكانت الخسائر الإجمالية حوالي 8.8 مليون دولار. كانت الهجمة الثانية أكثر انتشارًا، حيث تأثرت أكثر من 20 مشروعًا تستخدم ChainSwap عبر السلاسل.

أظهرت التحقيقات أن الهجوم كان نتيجة لعدم قدرة البروتوكول على التحقق بدقة من صحة التوقيع، مما سمح للمهاجمين باستخدام توقيع تم إنشاؤه ذاتيًا لإجراء المعاملات. نظرًا لأن الخسائر تتعلق بشكل أساسي بالرموز الحاكمة، اختارت ChainSwap والعديد من المشاريع المتأثرة القيام بلقطة وإصدار رموز جديدة لتعويض حاملي الأسهم ومقدمي السيولة عن خسائرهم.

شبكة بولي: أكبر هجوم في التاريخ وتحول غير متوقع

في أغسطس 2021، تعرضت شبكة Poly لهجوم على الجسور عبر السلسلة هو الأكبر في تاريخها، حيث بلغت الأموال المتضررة 610 مليون دولار. استغل المهاجمون ثغرة في إدارة صلاحيات العقود، ونجحوا في تعديل عنوان المدقق في سلسلة الهدف.

ومع ذلك، حدثت تطورات دراماتيكية في هذه القضية. اختار المهاجم في النهاية إعادة جميع الأموال، وتمت الإشارة إليه من قبل شبكة Poly ك"هاكر قبعة بيضاء". لا تُظهر هذه الحادثة فقط التحديات الأمنية الكبيرة التي تواجه الجسور عبر السلسلة، ولكنها كذلك تبرز أهمية تعزيز إدارة صلاحيات العقود وآليات التحقق.

متعدد السلاسل: الثغرات المخفية والتعويض الجزئي

في يناير 2022، اكتشفت Multichain ثغرة كبيرة تؤثر على العديد من الرموز. على الرغم من إصلاح الثغرة، إلا أن حوالي 6 ملايين دولار من الأصول قد سُرقت.

تنشأ الثغرة نتيجة لعدم كفاية التحقق من صحة إدخال المستخدم للرمز، خاصةً عدم الأخذ في الاعتبار أن جميع الرموز لا تنفذ دالة التفويض. فريق Multichain يعمل بنشاط على استرداد الأموال المسروقة، وقد قدم خطة تعويض للمستخدمين الذين تم إلغاء تفويضهم، لكنهم لم يعودوا مسؤولين عن خسائر المعالجة المتأخرة.

QBridge: خطأ في التحقق من التوكنات وخسائر ضخمة

في نهاية يناير 2022 ، تعرض الجسر عبر السلسلة QBridge الخاص ببروتوكول الإقراض Qubit للاختراق ، مما أدى إلى خسائر تقدر بنحو 80 مليون دولار. استغل المهاجمون ثغرة رئيسية في QBridge عند معالجة تحويلات الرموز المدرجة في القائمة البيضاء.

بشكل محدد، فشلت QBridge في إجراء التحقق الثاني على العنوان الصفري، مما أدى إلى قيام المهاجمين بصك كميات كبيرة من رموز xETH على BSC دون إيداع أي رموز. تم استخدام هذه الرموز الوهمية بعد ذلك كضمان، لاقتراض رموز أخرى من Qubit، مما استنزف بركة التمويل للبروتوكول.

Meter.io: فرضيات خاطئة وحلول تعويض مبتكرة

في فبراير 2022، تعرض جسر Meter Passport عبر السلسلة لهجوم بسبب "افتراض الثقة الخاطئ"، مما أدى إلى خسارة قدرها 4.4 مليون دولار. نجح المهاجمون في استغلال ثغرة في وظيفة الإيداع ERC20 الأساسية، مما أدى إلى تزوير تحويلات BNB و ETH.

اتخذ فريق Meter خطة تعويض مبتكرة، حيث أصدروا عملات PASS جديدة لتعويض خسائر المستخدمين، ووعدوا بإعادة شراء هذه العملات من خلال العوائد المستقبلية. على الرغم من أن هذه الممارسة مبتكرة، إلا أنها أثارت مناقشات حول الاستدامة على المدى الطويل.

Ronin: هجمات الهندسة الاجتماعية وتعويضات التمويل الضخمة

في مارس 2022، تعرضت سلسلة Ronin، التي تقف وراء Axie Infinity، لهجوم هندسي اجتماعي مخطط له بعناية، مما أسفر عن خسائر تصل إلى 620 مليون دولار. تمكن المهاجمون من اختراق نظام Sky Mavis بنجاح من خلال انتحال صفة شركة توظيف، مما أتاح لهم السيطرة على عدد كافٍ من عقد التحقق.

على الرغم من عدم استرداد الأموال المسروقة، أكملت Sky Mavis بسرعة تمويلًا بقيمة 150 مليون دولار لتعويض خسائر المستخدمين. تبرز هذه الحادثة أهمية العوامل البشرية في أمان blockchain بالإضافة إلى الثغرات التقنية.

Wormhole: ثغرة في العقد الأساسي وإصلاح سريع

في فبراير 2022، تعرض بروتوكول عبر السلاسل Wormhole لهجوم بقيمة 326 مليون دولار بسبب خطأ في التحقق من توقيع العقد الأساسي على جانب سولانا. تمكن المهاجم من تزوير رسالة "الحراس"، وقام بصك كمية كبيرة من whETH.

من الجدير بالذكر أن Jump Crypto قامت بسرعة بضخ ما يعادل ETH في Wormhole، مما سمح للبروتوكول بالعودة إلى العمل بسرعة. هذه الخطوة تظهر أهمية الدعم القوي لأمان مشاريع عبر السلاسل.

EvoDeFi: أزمة السيولة واختفاء المشاريع

في يونيو 2022، انفصل USDT بشكل خطير على DEX ValleySwap في نظام Oasis البيئي، مما أدى إلى خسائر متوقعة تصل إلى عشرات الملايين من الدولارات. كانت المشكلة ناتجة عن نقص السيولة في سلسلة المصدر للجسر عبر السلسلة EVODeFi المستخدم.

إن عملية معالجة هذا الحدث كانت مخيبة للآمال، حيث تبرأ الأطراف المعنية بسرعة، واختار فريق المشروع فعليًا التهرب من المسؤولية. وهذا يبرز أهمية مراعاة خلفية المشروع وقدرته على تحمل المسؤولية عند اختيار الجسور عبر السلسلة.

Horizon: جدل تسرب المفاتيح الخاصة وتعويض المجتمع

في يونيو 2022، تعرض الجسر عبر السلسلة الرسمي لـ Harmony، Horizon، للاختراق، مما أدى إلى خسارة تقارب 100 مليون دولار. تُظهر التحقيقات أن الهجوم من المحتمل أن يكون ناتجًا عن تسرب مفتاح خاص.

قدمت فريق هارموني خطة لتعويض المستخدمين من خلال إصدار المزيد من الرموز خلال 3 سنوات، لكنهم لم يحصلوا على الدعم الجماعي من المجتمع. تسلط هذه الحادثة الضوء على أهمية إدارة المفاتيح الخاصة، كما تعكس أيضًا صعوبة تحقيق التوازن بين مصالح الأطراف المختلفة عند التعامل مع عواقب هجوم واسع النطاق.

نوماد: خطأ في الترقية وإرجاع المجتمع الطوعي

في أغسطس 2022، تعرضت شركة نوماد لسرقة أموال تقدر بحوالي 190 مليون دولار نتيجة لخطأ في التهيئة خلال ترقية العقد. سمح هذا الخطأ البسيط لأي شخص بسحب الأموال من الجسور عبر السلسلة.

من الجدير بالذكر أن بعض القراصنة الأخلاقيين أبدوا رغبتهم في إعادة الأموال، مما يظهر قدرة المجتمع على التطهير الذاتي. ومع ذلك، فإن هذه الحادثة تذكرنا بأن حتى الأخطاء البسيطة في التحديث يمكن أن تؤدي إلى عواقب كارثية.

ملخص ورؤى

من خلال استعراض هذه الحوادث الهجومية الكبيرة، يمكننا استخلاص النقاط التالية:

1. تدقيق التكنولوجيا أمر بالغ الأهمية: معظم الهجمات ناتجة عن ثغرات في العقود أو أخطاء في الترقية، مما يبرز الحاجة إلى تدقيق شامل للكود.

2. آلية التحقق المتعددة: قد تؤدي نقطة الفشل الواحدة إلى عواقب كارثية، لذا من الضروري إنشاء آلية تحقق آمنة متعددة المستويات.

3. القدرة على الاستجابة السريعة: يمكن أن يقلل اكتشاف ومعالجة مشكلات الأمان في الوقت المناسب من الخسائر بشكل كبير، من المهم إنشاء آلية فعالة للمراقبة والاستجابة لحالات الطوارئ.

4. الثقة والتواصل في المجتمع: خلال عملية إدارة الأزمات، من المهم الحفاظ على التواصل الشفاف مع المجتمع، وتقديم خطة تعويض معقولة، فهي ضرورية للحفاظ على التنمية طويلة الأجل للمشروع.

5. لا يمكن تجاهل العوامل البشرية: بالإضافة إلى الجانب التكنولوجي، يجب الحذر من المخاطر الأمنية الناتجة عن عوامل بشرية مثل الهندسة الاجتماعية.

6. احتياطي الأموال والتأمين: وجود احتياطي مالي كافٍ أو آلية تأمين يمكن أن يحمي بشكل أفضل مصالح المستخدمين في حالة حدوث حادث أمني.

الجسور عبر السلسلة كأحد البنى التحتية الأساسية التي تربط بين بيئات البلوكشين المختلفة، فإن أمانها يؤثر بشكل مباشر على استقرار سوق العملات المشفرة ككل. يجب على المطورين والمستثمرين والمستخدمين استخلاص الدروس من هذه الأحداث، والعمل معًا على رفع معايير الأمان في الصناعة بأكملها.