مراجعة أحداث أمان Web3 لعام 2024: عشرة حالات هجوم ودروسها المستفادة

في عام 2024، يواجه قطاع blockchain تحديات أمنية متزايدة في الوقت الذي يشهد فيه الابتكار التكنولوجي وتوسيع النظام البيئي. وفقًا لبيانات المراقبة، حتى نهاية العام، بلغت الخسائر الإجمالية في مجال Web3 بسبب الهجمات الإلكترونية، الاحتيال عبر البريد الإلكتروني وهروب المشروعات 24.91 مليار دولار.

لم تكشف هذه الأحداث فقط عن ثغرات على المستوى التقني مثل إدارة المفاتيح الخاصة والعقود الذكية، بل أبرزت أيضًا المخاطر المحتملة في مجال الهندسة الاجتماعية والإدارة الداخلية. ستستعرض هذه المقالة أهم عشرة أحداث أمان في Web3 لعام 2024، على أمل أن يستفيد القطاع من الدروس المستفادة منها، ويتعامل بشكل أفضل مع تهديدات الأمان المستقبلية.

1. DMM Bitcoin: تسرب المفتاح الخاص أدى إلى خسارة 304 مليون دولار

في 31 مايو 2024، تعرضت بورصة DMM Bitcoin الشهيرة للعملات المشفرة في اليابان لحدث أمني خطير. استخدم المهاجمون مفتاحًا خاصًا مسربًا لنقل أكثر من 300 مليون دولار من البيتكوين مباشرة، وسرعان ما قاموا بتوزيع الأموال المسروقة على عدة عناوين مختلفة. كشفت هذه الهجمة عن نقص خطير في إدارة المفاتيح الخاصة وحماية الأمن متعدد الطبقات في البورصة.

على الرغم من أن البورصة حاولت تتبع القراصنة من خلال مراقبة الشبكة على السلسلة وتجميد الأموال، فإن جهود التتبع تواجه تحديات كبيرة بسبب تشتت البيتكوين المسروق واستخدام أدوات خلط الأموال. في نهاية العام، أكدت الشرطة اليابانية أن هذه الحادثة كانت مخططة ومنفذة من قبل مجموعة القراصنة الكورية الشمالية لزاروس.

2. PlayDapp: خسارة 2.90 مليار دولار بسبب تسريب المفتاح الخاص

في 9 فبراير 2024، تعرضت PlayDapp لضربة قوية. قام هاكر بسرقة المفتاح الخاص وصك 2 مليار من رموز PLA، بقيمة أولية 36.5 مليون دولار. بسبب فشل المشروع في التفاوض مع الهاكر، قام الهاكر في فترة قصيرة بصك 15.9 مليار من رموز PLA، بقيمة 253.9 مليون دولار. بعد دخول جزء من الرموز إلى البورصات، اضطرت PlayDapp إلى تعليق عقد PLA والانتقال إلى عقد رموز جديد. تسلط هذه الحادثة الضوء على نقص مشاريع البلوكشين في حماية المفاتيح الخاصة والتعامل مع الطوارئ.

3. بورصة هندية: هجوم الهندسة الاجتماعية يتسبب في خسائر بقيمة 2.35 مليار دولار

في 18 يوليو 2024، تعرضت محفظة Safe Wallet متعددة التوقيع لأكبر بورصة للعملات المشفرة في الهند لهجوم دقيق من قبل قراصنة. قام المهاجمون باستخدام تقنيات الهندسة الاجتماعية لإقناع الموقعين على التوقيع المتعدد بتوقيع معاملة ترقية للعقد، ثم استخدموا صلاحيات العقد المحدث لنقل جميع الأصول الموجودة في المحفظة. تكشف هذه القضية عن المخاطر المحتملة لمحافظ التوقيع المتعدد في إدارة تكوين الصلاحيات وشفافية العمليات، كما أثارت تفكيرًا عميقًا في الصناعة بشأن آليات التحكم الداخلي والأمان للمشاريع.

4. Gala Games: ثغرة في التحكم بالوصول أدت إلى خسارة 2.16 مليار دولار

في 20 مايو 2024، تم اختراق عنوان خاص لشركة Gala Games. قام المهاجم باستدعاء دالة mint في عقد الرموز، وصنع دفعة واحدة 5 مليارات رمز GALA. بعد ذلك، قام المهاجم بتحويل هذه الرموز إلى ETH على دفعات، مما أدى مباشرة إلى خسارة قدرها 216 مليون دولار. بعد وقوع الحادث، قامت فريق Gala Games بتفعيل خاصية القائمة السوداء بشكل طارئ لحظر بعض حسابات المهاجمين، واستعادوا جزءًا من الخسائر من خلال الطرق القانونية.

5. مؤسس Ripple المشارك: تسرب المفتاح الخاص أدى إلى سرقة 1.12 مليار دولار من XRP

في 31 يناير 2024، تم اختراق أربعة محافظ شخصية لمؤسس Ripple المشارك، مما أدى إلى سرقة 112 مليون دولار من XRP. ويُعتقد أن هذه المحافظ أصبحت هدفًا للهجمات بسبب نقص الحماية المزدوجة باستخدام الأجهزة. بعد الحادث، تمكنت إحدى البورصات من تجميد 4.2 مليون دولار من XRP وساعدت في تتبع الأصول المسروقة، لكن معظم الأموال قد تم غسلها بالفعل من خلال البورصات اللامركزية وخدمات خلط العملات.

6. Munchables: خسائر بقيمة 62.5 مليون دولار نتيجة هجمات اختراق داخلية

في 26 مارس 2024، تعرضت منصة الألعاب Web3 القائمة على Blast، Munchables، لهجوم داخلي نادر. كان المهاجم هاكر متخفيًا كمطوّر بلوكتشين، وقد حصل على الكود الأساسي والمفاتيح الحساسة من خلال التسلل لفترة طويلة. على الرغم من أن الهجوم تسبب في خسائر فادحة، إلا أنه تحت ضغط المجتمع والفريق، أعاد المتسلل في النهاية جميع الأموال المسروقة. تكشف هذه الحادثة عن أهمية أمان سلسلة التوريد، خاصة بالنسبة لمشاريع البلوكتشين التي تعتمد على تطوير طرف ثالث.

7. بورصة تركية: تسرب المفتاح الخاص يؤدي إلى خسارة 55 مليون دولار

في 22 يونيو 2024، تعرضت أكبر بورصة للعملات المشفرة في تركيا لهجوم تسرب مفاتيح خاصة، مما أدى إلى خسارة أكثر من 55 مليون دولار من الأصول المشفرة. بمساعدة فريق من بورصة معينة، تم تجميد 5.3 مليون دولار من الأموال المسروقة بنجاح، لكن لم يتم استرداد الأصول الأخرى. زاد هذا الحدث من قلق السوق بشأن إدارة المفاتيح الخاصة في البورصات المركزية.

8. Radiant Capital: تم اختراق محفظة متعددة التوقيعات مما أسفر عن خسارة قدرها 53 مليون دولار

في 17 أكتوبر 2024، تم اختراق محفظة التوقيع المتعدد الخاصة بشركة Radiant Capital من قبل قراصنة. نظرًا لاستخدامها نمط التحقق من التوقيع 3/11 ذو العتبة المنخفضة، تمكن القراصنة من السيطرة على المفاتيح الخاصة لثلاثة من الموقّعين وبدء التوقيع خارج السلسلة، مما أدى إلى نقل ملكية عقد المحفظة إلى عنوان خبيث، مما أسفر في النهاية عن سرقة 53 مليون دولار. أدت هذه الهجمة إلى تفكير جديد في تصميم محفظة التوقيع المتعدد وآلية الحكم في الصناعة.

من الجدير بالذكر أن Radiant Capital فقدت 4.5 مليون دولار بسبب ثغرة في العقد قبل هذا الهجوم، وتم سرقة أكثر من 1900 ETH. وهذا يوضح مرة أخرى أن مشاريع Web3 بحاجة إلى تحسين مستوى اهتمامها بالأمان.

9. Hedgey Finance: ثغرة في العقد أدت إلى خسارة 44.7 مليون دولار

في 19 أبريل 2024، تعرضت Hedgey Finance لهجوم على عدة عقود على الشبكة. استغل القراصنة ثغرة في موافقة عقد ClaimCampaigns، وتمكنوا من استخراج الرموز من شبكتي Ethereum وArbitrum، حيث بلغ إجمالي الخسائر 44.7 مليون دولار. تسلط هذه الحادثة الضوء على أهمية تدقيق الشفرة، وخاصة التحقق الصارم من منطق الموافقة على الرموز.

10. منصة تداول معينة: تم اختراق المحفظة الساخنة وخسارة 44.7 مليون دولار

في 19 سبتمبر 2024، تعرضت المحفظة الساخنة لإحدى منصات التداول للاختراق من قبل قراصنة، وشملت السلاسل المتأثرة Ethereum و BNB Chain و Tron وغيرها من السلاسل العامة. على الرغم من أن البورصة بدأت بسرعة في آلية تحويل الأصول وتجميد السحب، إلا أن القراصنة تمكنوا من سحب أصول بقيمة 44.7 مليون دولار. تعكس هذه الهجمة المخاطر العالية لإدارة المحافظ الساخنة في البورصات المركزية، وتدفع القطاع لمزيد من استكشاف حلول تخزين الأصول الأكثر أمانًا.

الخاتمة

تذكرنا حوادث الهجمات الأمنية المتكررة في عام 2024 مرة أخرى أن تطوير صناعة blockchain لا يمكن أن يتم بدون حماية أمنية. من تسرب المفاتيح الخاصة إلى ثغرات العقود، ومن الإخفاقات الإدارية الداخلية إلى ترقية أساليب الهجمات الخارجية، كل حادثة جلبت دروسًا عميقة. لمواجهة التهديدات المتزايدة التعقيد، يحتاج جميع الأطراف في الصناعة إلى تعزيز الاستثمارات باستمرار في تطوير التقنية، والمعايير الإدارية، والوقاية من المخاطر. نأمل في المستقبل من خلال التعاون الصناعي والابتكار التقني، أن نتمكن معًا من إنشاء نظام blockchain أكثر أمانًا، مما يوفر حماية أكثر موثوقية للمستخدمين والمستثمرين.