مراجعة أحداث أمان التمويل اللامركزي: تحليل الحالات الكبرى لعام 2022

شهدت صناعة blockchain في عام 2022 أكثر من 300 حادثة أمنية، بلغت قيمة الخسائر الإجمالية 4.3 مليار دولار. ستقوم هذه المقالة بتحليل 8 حالات نموذجية بالتفصيل، حيث تتعلق معظم هذه الحالات بخسائر تتجاوز 100 مليون دولار.

! Cobo DeFi Security Class I: مراجعة أحداث أمان DeFi لعام 2022

حدث جسر رونين

في مارس 2022، تعرضت شبكة Ronin التابعة لـ Axie Infinity للاختراق، حيث فقدت 173,600 ETH و25.5 مليون دولار أمريكي، بقيمة إجمالية تقارب 625 مليون دولار. ووفقًا للتقارير، تمكنت مجموعة القراصنة الكورية الشمالية Lazarus من اختراق نظام شركة Sky Mavis من خلال أساليب الهندسة الاجتماعية، حيث تمكنت في النهاية من السيطرة على 5 من أصل 9 عقد تحقق، مما أكمل الهجوم.

كشفت هذه الحادثة عن وجود مشكلات خطيرة في وعي موظفي فريق المشروع ونظام الأمان الداخلي. كما تعكس أيضًا أن الجماعات الهاكر التقليدية والقوى الوطنية تتجه نحو تحويل أهدافها إلى مشاريع البلوكشين للحصول على فوائد اقتصادية مباشرة.

حدث الثقب الدودي

تسبب خطأ في كود التحقق من توقيع العقد الأساسي على جانب سولانا لجسر Wormhole عبر السلاسل في تمكن المهاجمين من تزوير رسائل "الوصي" وصك ETH المغلفة من Wormhole، مما أدى إلى خسارة حوالي 120,000 ETH.

تنبع هذه المشكلة بشكل رئيسي من استخدام دالة قديمة تم إلغاؤها. يُنصح المطورون باستخدام أحدث نسخة من أدوات التطوير لتجنب مشاكل مشابهة.

حدث جسر نوماد

تسبب جسر Nomad عبر السلاسل بسبب مشكلة في إعدادات التهيئة، مما سمح للمهاجمين بإعادة تشغيل المعاملات الصالحة لسحب الأموال، مما أدى إلى خسارة تقدر بحوالي 190 مليون دولار. وقد شارك بعض روبوتات MEV أيضًا في هذه الحادثة "الاستيلاء على الأموال".

تظهر هذه الحالة أنه بمجرد ظهور ثغرة في المشاريع مفتوحة المصدر، فإنه من السهل استغلالها. يحتاج فريق المشروع إلى أخذ جميع السيناريوهات الاستثنائية في الاعتبار وإجراء اختبارات شاملة.

أحداث Beanstalk

تعرض مشروع العملة المستقرة القائمة على الخوارزميات Beanstalk لهجوم قرض فوري، مما أدى إلى خسارة حوالي 1.82 مليون دولار أمريكي. استغل المهاجمون ثغرة في آلية الحكم في المشروع، وحصلوا على حقوق تصويت كبيرة من خلال قرض فوري، وسرقوا الأموال من خلال اقتراحات خبيثة.

هذا يعكس المخاطر المحتملة لآلية الحكم اللامركزي. يُنصح بأن تقوم المشاريع بإنشاء آلية لمراجعة الاقتراحات، وفترة قفل التصويت، وآليات القفل الزمني كإجراءات أمان.

حدث Wintermute

تسبب صانع السوق Wintermute في خسارة حوالي 160 مليون دولار بسبب استخدامه لأداة توليد العناوين المتأثرة بالثغرات Profanity، مما أدى إلى اختراق المفتاح الخاص لعقد مهم.

هذا يذكرنا بضرورة تقييم مخاطر الأمان عند استخدام أدوات مفتوحة المصدر، وعدم الاعتماد بشكل مفرط على أداة واحدة.

حدث جسر هارموني

تعرض جسر Horizon عبر السلاسل من Harmony للهجوم، مما أسفر عن خسائر تتجاوز 100 مليون دولار، ويشتبه في أن يكون ذلك من فعل مجموعة قراصنة كورية شمالية. لم يتم الإفصاح عن التفاصيل المحددة، لكن أسلوب الهجوم قد يكون مشابهًا لحدث جسر Ronin.

أحداث Ankr

تعرض مشروع Ankr لعمل داخلي سيء، مما أدى إلى إنشاء وبيع عدد كبير من الرموز بشكل ضار، مما تسبب في ردود فعل متسلسلة.

هذا يعكس ضعف نظام DeFi، وأهمية إدارة الصلاحيات الداخلية. يُنصح باستخدام آليات مثل التوقيع المتعدد لتعزيز الأمان.

حدث مانجو

قام أحد المتداولين بالتلاعب بسعر رموز MNGO على منصة Mango باستخدام العقود الآجلة والسوق الفوري، مما أدى إلى الحصول على قروض ضخمة وتسبب في خسائر تقدر بنحو 1.15 مليار دولار أمريكي للمنصة.

هذا يعكس أن مشاريع التمويل اللامركزي تعاني أيضًا من ثغرات في تصميم نماذج الأعمال، ويجب أخذ جميع الحالات القصوى في الاعتبار. يجب على المستخدمين أيضًا أن يكونوا حذرين عند المشاركة في تداول العملات الصغيرة.

! Cobo DeFi Security Class I: مراجعة أحداث أمان DeFi لعام 2022