مراجعة حوادث الأمان في التمويل اللامركزي: تحليل الحوادث الكبرى لعام 2022

في عام 2022، تعرضت صناعة Web3 لعدة حوادث أمان كبيرة، حيث بلغ إجمالي المبالغ المعنية 4.3 مليار دولار أمريكي. ستقوم هذه المقالة بالتعمق في تحليل ثمانية حالات نموذجية، حيث تتضمن معظم هذه الحالات خسائر تزيد عن 100 مليون دولار.

! Cobo DeFi Security Class I: مراجعة أحداث أمان DeFi لعام 2022

حادث جسر رونين

في مارس 2022، تعرضت شبكة رونين التابعة لأكسي إنفينيتي للاختراق، حيث تم خسارة 173,600 قطعة من ETH و25.5 مليون دولار، بإجمالي قيمة تقارب 625 مليون دولار. تسلل المهاجمون إلى نظام شركة سكاي مافيس من خلال أساليب الهندسة الاجتماعية، وتمكنوا في النهاية من السيطرة على 5 من أصل 9 عقد تحقق، مما سمح لهم بتنفيذ الهجوم. كشفت هذه الحادثة عن ضعف الوعي الأمني لدى موظفي الشركة ووجود ثغرات في نظام الأمان الداخلي.

حدث وورمهول

تسبب خطأ في كود التحقق من توقيع العقد الأساسي على طرف سولانا في جسر Wormhole عبر السلاسل في تمكين المهاجمين من تزوير رسائل "الوصي" وصك ETH المعبأ، مما أدى إلى خسارة حوالي 120,000 إيثريوم. كانت هذه المشكلة ناتجة عن استخدام دالة مهجورة، مما يذكر المطورين بضرورة تحديث استخدامهم لأحدث الإصدارات لتجنب مشاكل مماثلة.

حادثة جسر نوماد

تسبب جسر نوماد في خسارة تبلغ حوالي 190 مليون دولار بسبب مشاكل في إعدادات التهيئة، مما أتاح للمهاجمين إنشاء رسائل عشوائية لسحب الأموال المقيدة. تحولت هذه الحادثة إلى "معركة سرقة"، حيث حققت حوالي 41 عنوانًا ربحًا بقيمة 152 مليون دولار، بما في ذلك روبوتات MEV، والمخترقين، وقراصنة الأخلاق. يبرز هذا التحديات الأمنية التي تواجه المشاريع مفتوحة المصدر، حيث يمكن أن تؤدي الثغرات إلى فشل المشروع.

أحداث Beanstalk

تعرض مشروع العملة المستقرة الخوارزمية Beanstalk لهجوم قرض فوري، مع خسارة تقدر بحوالي 1.82 مليون دولار. استغل المهاجمون ثغرة في آلية اقتراح المشروع، عبر الحصول على حقوق تصويت كبيرة من خلال القرض الفوري لتقديم اقتراح ضار وتنفيذه على الفور. يعكس هذا المخاطر المحتملة لآلية الحكم اللامركزية البحتة، وينبه فرق المشروع إلى ضرورة التفكير بعناية في آلية مراجعة الاقتراحات، وتوزيع وزن التصويت، وتدابير الأمان مثل قفل الوقت.

حدث Wintermute

تسبب صانع السوق Wintermute في خسائر مالية ضخمة بسبب استخدامه لأداة توليد عناوين تحتوي على ثغرات، وهي Profanity، مما أدى إلى اختراق مفتاح خاص لمالك العقد. وهذا يذكر المشاريع بأهمية إجراء تقييم أمني شامل عند استخدام الأدوات مفتوحة المصدر.

حدث جسر هارموني

خسرت جسر Horizon عبر السلاسل أكثر من 100 مليون دولار، ويُشتبه في أن السبب هو تسرب المفتاح الخاص. تظهر التحليلات أن الحادث قد يكون مرتبطًا بمجموعة القراصنة الكورية الشمالية Lazarus، حيث أن أساليب هجماتهم مشابهة لحدث جسر Ronin.

حدث Ankr

تعرضت Ankr لعمل داخلي خبيث، مما أدى إلى تعدين وبيع大量 الرموز بشكل ضار، مما تسبب في رد فعل متسلسل أثر على مشاريع أخرى ذات صلة. وهذا يكشف عن وجود عيوب خطيرة في إدارة الصلاحيات، والتوقيعات المتعددة، ونظام الأمان الداخلي للمشروع.

حدث مانغو

تلاعب تاجر بضعف السيولة في العملات الصغيرة على منصة مانغو واستفاد من خلال التلاعب بأسعار العملات مما تسبب في خسائر ضخمة للمنصة. تعكس هذه الحادثة الفجوة بين ثغرات الأمان وسلوكيات التحكيم، وتظهر الحاجة إلى أخذ مختلف الحالات القصوى بعين الاعتبار عند تصميم نماذج الأعمال للمشاريع.

هذه الحالات تحذرنا من أن مشاريع Web3 تواجه تحديات أمنية متعددة الجوانب. يجب على الفرق العاملة على المشروع تعزيز الحماية الأمنية من عدة جوانب مثل تدقيق الشيفرة، إدارة الصلاحيات، والمنطق التجاري. في الوقت نفسه، يجب على المستخدمين أن يظلوا يقظين عند المشاركة في المشاريع، وتقييم المخاطر المحتملة بشكل شامل.