تحليل أكبر هجوم هاكر في تاريخ Web3

في 21 فبراير 2025، تعرضت محفظة الإيثريوم الباردة لمنصة تداول معروفة لحادث أمني كبير، مما أدى إلى تحويل حوالي 1.46 مليار دولار من الأصول المشفرة إلى عنوان غير معروف. يُعتبر هذا الحدث واحدًا من أكبر هجمات هاكر في تاريخ Web3، مما أثار اهتمامًا واسعًا في الصناعة بمسألة الأمان.

مراجعة عملية الهجوم

المهاجمون من خلال أساليب التصيد المصممة بعناية، قاموا بإغراء الموقعين على محفظة التوقيع المتعدد بالموافقة على صفقة خبيثة. الخطوات المحددة كما يلي:

1. نشر عقود خبيثة تحتوي على أبواب خلفية لتحويل الأموال.
2. تعديل واجهة Safe الأمامية، بحيث تكون معلومات المعاملة التي يراها الموقعون غير متطابقة مع البيانات المرسلة فعليًا إلى محفظة الأجهزة.
3. الحصول على ثلاث توقيعات صالحة من خلال واجهة مزيفة، واستبدال عقد تنفيذ محفظة Safe متعددة التوقيع بإصدار خبيث.
4. التحكم في المحفظة الباردة ونقل كميات كبيرة من الأصول المشفرة.

تم العثور على التحقيق

أصدرت شركة الأمان Sygnia المعنية بالتحقيقات الجنائية تقريرًا أوليًا ، والذي يتضمن الاكتشافات الرئيسية التالية:

• تم العثور على تعليمات برمجية JavaScript ضارة تم حقنها في دلو AWS S3 الخاص بـ Safe.
• تحليل الشفرة يُظهر أن الهدف الرئيسي هو تعديل محتوى المعاملة أثناء عملية التوقيع.
• مصدر الهجوم يبدو أنه من بنية AWS التحتية لـ Safe، وليس من نظام منصة التداول نفسها.
• بعد فترة قصيرة من إتمام الصفقة، تم إزالة الشيفرة الخبيثة من دلو S3.

لا تزال التحقيقات جارية حاليًا لتأكيد هذه الاكتشافات الأولية بشكل أكبر.

تحليل الثغرات الأمنية

هذا الحدث كشف عن عدة ثغرات أمان رئيسية:

1. أمان التخزين السحابي: تم اختراق حاوية AWS S3 مما أدى إلى تعديل كود JavaScript.
2. نقص في التحقق من صحة الواجهة الأمامية: لم يتم تنفيذ تحقق SRI( الأساسي لسلامة الموارد الفرعية) في الواجهة الأمامية لـ Safe.
3. قيود المحفظة الصلبة: لا يمكنها تحليل وعرض بيانات المعاملات المعقدة بشكل كامل، مما يؤدي إلى خطر "التوقيع الأعمى".
4. آلية التوقيع المتعدد غير فعالة: فشلت في منع تنفيذ المعاملات الضارة بشكل فعال.

تحديات جديدة في أمان الواجهة الأمامية لـ Web3

مع تطور تقنية Web3، أصبحت الحدود بين أمان الواجهة الأمامية وأمان البلوكشين أكثر ضبابية. تُمنح الثغرات التقليدية في الواجهة الأمامية أبعاد هجوم جديدة في بيئة Web3، بينما تُكبر ثغرات العقود الذكية ومشكلات إدارة المفاتيح الخاصة من المخاطر.

مشهد 1: تعديل معاملات التداول

يمكن للمهاجمين تعديل الشيفرة الأمامية، مما يجعل المعلومات التجارية المعروضة في واجهة المستخدم غير متوافقة مع العمليات المنفذة بالفعل. على سبيل المثال، ما يراه المستخدم هو عملية تحويل، بينما العملية المنفذة فعلياً هي عملية تفويض.

الحل: استخدام توقيع هيكل EIP-712 للتحقق، لضمان أن البيانات التي تم إنشاؤها في الواجهة الأمامية يمكن التحقق منها في العقد الذكي، لمنع تعديل المعلمات.

المشهد الثاني: اختطاف التوقيع الأعمى

قد يقوم المهاجمون بتعديل قواعد تحليل المحفظة الصلبة، مما يحث المستخدمين على توقيع معاملات تبدو غير ضارة ولكنها في الواقع خطيرة.

الحل: ترقية البرنامج الثابت لمحفظة الأجهزة لدعم EIP-712، وتنفيذ مطابقة دلالية إلزامية على السلسلة لضمان اتساق وأمان محتوى المعاملات.

نصائح الأمان

1. تنفيذ آلية تحقق أمني متعددة المستويات، بما في ذلك الواجهة الأمامية، والمحفظة الصلبة، والعقد الذكي.
2. تعزيز إدارة أمان التخزين السحابي والبنية التحتية.
3. تحسين قدرة محفظة الأجهزة على تحليل المعاملات وعرضها.
4. إجراء تدقيق أمني وفحص ثغرات بشكل دوري.
5. تعزيز وعي المستخدم بالأمان، والحذر من أساليب الاحتيال والتصيد المختلفة.

الخاتمة

تُبرز الهجوم الهاكر الكبير الذي تعرضت له Bybit المشكلات العميقة في إدارة الأمن والبنية التحتية التقنية في صناعة العملات المشفرة. مع تطور أساليب الهجوم باستمرار، يحتاج القطاع إلى تعزيز قدرات الحماية على عدة مستويات، بدءًا من أمان الأجهزة، والتحقق من المعاملات، إلى آليات التحكم في المخاطر. يجب على مطوري الواجهة الأمامية إجراء تحقق صارم في كل خطوة، بما في ذلك وصول DApp، اتصال المحفظة، توقيع الرسائل، وتوقيع المعاملات، لتحقيق التحول من الدفاع السلبي إلى المناعة النشطة. فقط من خلال ذلك، يمكن حماية قيمة كل معاملة وثقة المستخدمين في عالم Web3 المفتوح.