مراجعة أحداث أمان التمويل اللامركزي لعام 2022

المؤلف: خبير أمان معين

مؤخراً، شارك خبير أمني مخضرم درسًا حول أمان التمويل اللامركزي لمجتمع الأعضاء. استعرض الأحداث الأمنية الكبيرة التي واجهتها صناعة Web3 على مدار العام الماضي، واستكشف أسباب هذه الأحداث وتدابير الوقاية، وخلص إلى الثغرات الأمنية الشائعة في العقود الذكية، وقدم بعض النصائح الأمنية. تم تنظيم محتوى مشاركته أدناه، كمرجع لعشاق التمويل اللامركزي .

وفقًا للإحصائيات، حدثت أكثر من 300 حادثة أمنية تتعلق بالبلوكشين في عام 2022، بلغت القيمة الإجمالية المتضمنة 4.3 مليار دولار.

! Cobo DeFi Security Class I: مراجعة أحداث أمان DeFi لعام 2022

فيما يلي تحليل مفصل لثمانية حالات نموذجية، حيث تتجاوز قيمة الخسائر في الغالب 100 مليون دولار.

جسر رونين

استعراض الحدث:

• في 23 مارس 2022، تم اختراق شبكة Ronin التابعة لـ Axie Infinity، مما أدى إلى سرقة 173600 ETH و 25500000 USD، بقيمة حوالي 590 مليون دولار.
• وزارة الخزانة الأمريكية تشير إلى أن مجموعة القراصنة الكورية الشمالية Lazarus مرتبطة بهذا الحدث.
• وفقًا للتقارير، اتصل القراصنة بأحد موظفي شركة Sky Mavis عبر لينكد إن وخدعوه للحصول على حق الوصول إلى النظام.

تعتبر هذه الهجمة من النوع النموذجي للتهديد المتقدم المستمر APT(. قامت مجموعة قراصنة باستخدام أساليب مثل الهندسة الاجتماعية، للسيطرة أولاً على جهاز كمبيوتر داخل المنظمة المستهدفة كنقطة انطلاق، ثم التسلل بشكل أعمق، حتى تحقيق هدف الهجوم.

كشفت الأحداث عن ضعف الوعي الأمني لدى موظفي الشركة، ووجود مشاكل في النظام الأمني الداخلي.

وورم هول

مراجعة الحدث:

• يوجد خطأ في كود التحقق من توقيع العقد الأساسي لWormhole على شبكة Solana، مما يسمح للمهاجمين بتزوير رسائل "الوصي" وصك ETH المغلفة بواسطة Wormhole، مما أدى إلى خسارة حوالي 120,000 ETH.
• Jump Crypto استثمرت 120,000 ETH لتعويض الخسائر.

تواجه Wormhole بشكل رئيسي مشكلات على مستوى الكود، حيث تم استخدام بعض الدوال المهجورة. يُنصح المطورون باستخدام أحدث إصدار لتجنب مشكلات مماثلة.

جسر نوماد

مراجعة الحدث:

• تم تعيين الجذر الموثوق به لعقد Replica لجسر Nomad إلى 0x0 عند التهيئة، ولم يتم إبطال الجذر القديم في الوقت المناسب، مما أدى إلى تمكين المهاجمين من إنشاء رسائل عشوائية وسرقة الأموال، مما تسبب في خسائر تزيد عن 190 مليون دولار.
• عدة عناوين تشارك في الهجوم، بما في ذلك روبوتات MEV، والقراصنة، والهاكر الأخلاقي.

هذه حالة نموذجية. توجد مشكلة في إعدادات التهيئة، مما يؤدي إلى إمكانية تنفيذ المعاملات الفعالة بشكل متكرر. بعد اكتشافها من قبل روبوتات MEV وما إلى ذلك، تم بث هجمات المعاملات بشكل كبير، مما تسبب في حادثة سطو.

تتيح الخصائص المفتوحة المصدر لنظام العقود الذكية للقراصنة تحليل واكتشاف الثغرات بشكل أسهل. بمجرد ظهور ثغرة في المشروع، فإن ذلك يعلن فشله بشكل أساسي.

Beanstalk

استعراض الحدث:

• تعرضت Beanstalk Farms لهجوم قرض سريع، مما أدى إلى خسارة حوالي 1.82 مليار دولار.
• حقق المهاجمون أرباحًا تزيد عن 80 مليون دولار، بما في ذلك حوالي 24830 قطعة من ETH و 36000000 قطعة من BEAN.
• سبب الهجوم هو عدم وجود فترة زمنية بين تصويت الاقتراح وتنفيذه، مما يسمح للمهاجم بتنفيذ الاقتراح الخبيث مباشرة.

عملية الهجوم:

1. شراء الرموز مسبقاً للحصول على مؤهلات الاقتراح، إنشاء عقد اقتراح خبيث
2. الحصول على عدد كبير من رموز التصويت من خلال القرض الفوري
3. تنفيذ العقد الخبيث مباشرة، إكمال الأرباح.

هذه الحالة كشفت عن المخاطر المحتملة لآلية الحكم اللامركزية البحتة. يُنصح بأن تقوم المشاريع بإنشاء آلية لمراجعة الاقتراحات، ومتطلبات تصويت، وإجراءات قفل زمنية كإجراءات أمان.

وينترميوت

مراجعة الحدث:

في 21 سبتمبر 2022، أكدت Wintermute تعرضها لعملية اختراق. كانوا قد استخدموا أداة Profanity لإنشاء عناوين محفظة مميزة لتحسين رسوم المعاملات. على الرغم من أنهم تسارعوا في التخلي عن المفاتيح القديمة بعد اكتشاف ثغرة في Profanity، إلا أن خطأ داخليًا أدى إلى عدم حذف صلاحيات التوقيع للعناوين المتأثرة بشكل كامل، مما أدى إلى سرقة الأموال.

يجب تقييم مخاطر الأمان بشكل كامل عند استخدام الأدوات مفتوحة المصدر. خاصةً عندما يتعلق الأمر بأدوات إدارة المفاتيح، يجب أن تكون أكثر حذرًا.

جسر هارموني

استعراض الأحداث:

• خسائر جسر Horizon عبر السلاسل تتجاوز 100 مليون دولار، بما في ذلك أكثر من 13 ألف قطعة من ETH و 5000 قطعة من BNB.
• مؤسس Harmony يقول إن الهجوم ناجم عن تسرب مفتاح خاص.
• تعتبر شركة تحليل البلوكشين أن مجموعة القراصنة الكورية الشمالية Lazarus قد تكون هي الجهة الفاعلة وراء ذلك.

إذا كان الأمر كذلك بالفعل من قبل جماعة قراصنة كوريا الشمالية، فقد تكون طريقة الهجوم مشابهة لحدث جسر رونين. في السنوات الأخيرة، كانت جماعة قراصنة كوريا الشمالية نشطة للغاية في هجمات على صناعة العملات المشفرة.

عنكر

استعراض الحدث:

• تم تحديث عقد Ankr، واستطاع المهاجمون من خلال طريقة السك سك 100 تريليون aBNBc.
• المهاجم قام بتبادل جزء من aBNBc مقابل 5000000 USDC، مما أدى إلى انهيار سعر aBNBc.
• استغل المضاربون آلية تأخير الأسعار في بروتوكول الإقراض Helio لتحقيق أرباح تزيد عن 17 مليون دولار.
• أنكر تتعهد بتعويض 15 مليون دولار.

أظهرت التحقيقات اللاحقة أن الحادث نجم عن سوء تصرف موظف سابق. تشمل المشاكل المكشوفة:

• العقود الرئيسية تتحكم بها حسابات EOA وليس من خلال التوقيع المتعدد
• يمكن للموظفين الرئيسيين السيطرة على مفتاح Deployer الخاص
• هناك عيوب في إدارة الأمان الداخلي

![Cobo التمويل اللامركزي 安全课（上）：复盘 2022 التمويل اللامركزي 安全大事件])https://img-cdn.gateio.im/webp-social/moments-646b3144d462a0e5ced17444071f9d00.webp(

مانجو

استعراض الحدث:

• استخدم المهاجم 10 مليون USDT في منصة مانغو لتحقيق صفقات شراء وبيع متزامنة، بينما رفع سعر MNGO على منصات أخرى.
• ارتفع سعر MNGO من 0.0382 دولار إلى 0.91 دولار، وحقق المهاجمون أرباحًا قدرها 4.2 مليار دولار.
• اقترض المهاجم في النهاية أصولًا تقدر بـ 1.15 مليار دولار.
• اقترح المهاجم استخدام أموال الخزانة لسداد الديون المتعثرة في الاتفاقية، بشرط عدم إجراء تحقيق جنائي.
• في ديسمبر 2022، تم القبض على أفراهام أيزنبرغ الذي ادعى أنه مهاجم في بورتو ريكو.

يمكن اعتبار هذا كحدث أمان، وأيضًا كعمل استثماري. المشكلة الرئيسية تكمن في ثغرات نموذج العمل، حيث يمكن التلاعب بأسعار العملات الصغيرة، مما يؤدي إلى صعوبة إدارة مراكز المنصة.

يجب على المشروع أن يأخذ في الاعتبار جميع السيناريوهات المتطرفة لاجراء الاختبارات. يجب على المستخدمين تقييم المخاطر بشكل شامل عند المشاركة في المشروع، ولا ينبغي عليهم التركيز فقط على العوائد.

! [Cobo DeFi Security Class I: مراجعة أحداث أمان DeFi لعام 2022])https://img-cdn.gateio.im/webp-social/moments-bb42708a0810f2b5c37b48aeaa2d22d0.webp(