تم استهداف مشروع الجسور عبر السلسلة، وبلغت الخسائر 80 مليون دولار
في بداية عام 2024، صدم حدث أمني كبير عالم العملات المشفرة. تعرضت منصة للجسور عبر السلسلة لهجوم من قبل هاكرز، حيث بلغت الخسائر حوالي 80 مليون دولار. وفقًا لمنصة مراقبة المخاطر الأمنية، بدأ المهاجمون هجمات تجريبية صغيرة قبل يوم واحد، واستفادوا من ETH المسروقة لدعم رسوم المعاملات للهجوم الكبير الذي تلا ذلك.
هذا المشروع الجسر عبر السلسلة يسمح للمستخدمين بنقل الأصول المشفرة بين شبكات البلوكشين المختلفة. في الوقت الحالي، أوقف فريق المشروع تشغيل عقد الجسر عبر السلسلة ويحاول التواصل مع المهاجمين.
تحليل الأحداث
الهجوم الحالي يتم بشكل رئيسي من خلال استدعاء مباشر لدالة withdraw لعقد الجسور عبر السلسلة لنقل الأصول. ومن خلال التحليل الإضافي، تم اكتشاف أن هذه الدالة تستخدم آلية التحقق من التوقيع لضمان شرعية عملية السحب.
في معاملات blockchain، تعتبر التحقق من التوقيع إجراءً أمنيًا شائعًا، يُستخدم لتأكيد هوية وامتيازات مُقدم المعاملة. تضمن دالة withdraw من خلال التحقق من التوقيع أن الطرف المخول فقط هو الذي يمكنه استدعاء ونقل الأصول بنجاح.
ستقوم دالة التحقق من التوقيع بإرجاع عدد توقيعات المالك، وهو أمر بالغ الأهمية للتحقق من شرعية المعاملة. سيقوم النظام بمقارنة عدد التوقيعات المعادة مع العتبة المحددة مسبقًا لتحديد ما إذا كان يجب تنفيذ المعاملة.
استنادًا إلى بيانات السلسلة، يوجد في هذه العقد 10 عناوين مسؤولين، وقيمة required هي 7، مما يعني أنه يجب الحصول على توقيع 70% من المسؤولين لسحب الأصول.
بناءً على ما سبق، من المحتمل أن تكون هذه الحادثة ناتجة عن هجوم خداعي تعرض له الخادم الذي يخزن المفتاح الخاص لمدير التخزين.
عملية الهجوم
تظهر البيانات على السلسلة أن المهاجمين بدأوا هجومًا صغير النطاق على المشروع في 30 ديسمبر 2023، وقاموا بتوزيع كمية صغيرة من ETH المسروقة على عناوين الهجوم الأخرى كرسوم معاملات.
ثم، في مساء 31 ديسمبر، شنت عدة عناوين هجومًا واسع النطاق على أصول مثل DAI و WBTC و ETH و USDC و USDT في المشروع.
اتجاه تدفق الأموال
حتى وقت التقرير، تم تحويل الأموال المسروقة إلى خمسة عناوين مختلفة. قام المهاجمون من خلال خمس معاملات مستقلة بتحويل حوالي 50 مليون دولار من العملات المستقرة (بما في ذلك 30 مليون Tether، 10 مليون DAI و10 مليون USDC)، و231 wBTC (تبلغ قيمتها حوالي 10 مليون دولار) و9500 ETH (تبلغ قيمتها حوالي 21.5 مليون دولار) إلى عنوان محفظة جديدة.
نصائح الأمان
تسليط الضوء على أهمية أمان نظام blockchain مرة أخرى. عند تصميم وتنفيذ مشاريع blockchain، يجب أن نضع الأمان في المقام الأول.
أولاً، أمان كود العقد أمر بالغ الأهمية. كونه جوهر نظام البلوكشين، يجب أن يتبع كود العقد عند كتابته ومراجعته أفضل الممارسات والمعايير الأمنية بشكل صارم، لتجنب الثغرات الأمنية الشائعة.
ثانياً، تعتبر آليات التحقق من الهوية وإدارة الأذونات الفعالة ضرورية. من خلال اعتماد أنظمة تحقق قوية، والتوقيعات المتعددة، والرقابة الصارمة على الأذونات، يمكن منع الوصول غير المصرح به وفقدان الأصول بشكل فعال، مما يضمن أن الكيانات المصرح لها فقط هي التي يمكنها تنفيذ العمليات الحساسة.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
رعب السنة الجديدة: الجسور عبر السلسلة تتعرض لهجوم هاكر وخسائر تصل إلى 80 مليون دولار
تم استهداف مشروع الجسور عبر السلسلة، وبلغت الخسائر 80 مليون دولار
في بداية عام 2024، صدم حدث أمني كبير عالم العملات المشفرة. تعرضت منصة للجسور عبر السلسلة لهجوم من قبل هاكرز، حيث بلغت الخسائر حوالي 80 مليون دولار. وفقًا لمنصة مراقبة المخاطر الأمنية، بدأ المهاجمون هجمات تجريبية صغيرة قبل يوم واحد، واستفادوا من ETH المسروقة لدعم رسوم المعاملات للهجوم الكبير الذي تلا ذلك.
هذا المشروع الجسر عبر السلسلة يسمح للمستخدمين بنقل الأصول المشفرة بين شبكات البلوكشين المختلفة. في الوقت الحالي، أوقف فريق المشروع تشغيل عقد الجسر عبر السلسلة ويحاول التواصل مع المهاجمين.
تحليل الأحداث
الهجوم الحالي يتم بشكل رئيسي من خلال استدعاء مباشر لدالة withdraw لعقد الجسور عبر السلسلة لنقل الأصول. ومن خلال التحليل الإضافي، تم اكتشاف أن هذه الدالة تستخدم آلية التحقق من التوقيع لضمان شرعية عملية السحب.
في معاملات blockchain، تعتبر التحقق من التوقيع إجراءً أمنيًا شائعًا، يُستخدم لتأكيد هوية وامتيازات مُقدم المعاملة. تضمن دالة withdraw من خلال التحقق من التوقيع أن الطرف المخول فقط هو الذي يمكنه استدعاء ونقل الأصول بنجاح.
ستقوم دالة التحقق من التوقيع بإرجاع عدد توقيعات المالك، وهو أمر بالغ الأهمية للتحقق من شرعية المعاملة. سيقوم النظام بمقارنة عدد التوقيعات المعادة مع العتبة المحددة مسبقًا لتحديد ما إذا كان يجب تنفيذ المعاملة.
استنادًا إلى بيانات السلسلة، يوجد في هذه العقد 10 عناوين مسؤولين، وقيمة required هي 7، مما يعني أنه يجب الحصول على توقيع 70% من المسؤولين لسحب الأصول.
بناءً على ما سبق، من المحتمل أن تكون هذه الحادثة ناتجة عن هجوم خداعي تعرض له الخادم الذي يخزن المفتاح الخاص لمدير التخزين.
عملية الهجوم
تظهر البيانات على السلسلة أن المهاجمين بدأوا هجومًا صغير النطاق على المشروع في 30 ديسمبر 2023، وقاموا بتوزيع كمية صغيرة من ETH المسروقة على عناوين الهجوم الأخرى كرسوم معاملات.
ثم، في مساء 31 ديسمبر، شنت عدة عناوين هجومًا واسع النطاق على أصول مثل DAI و WBTC و ETH و USDC و USDT في المشروع.
اتجاه تدفق الأموال
حتى وقت التقرير، تم تحويل الأموال المسروقة إلى خمسة عناوين مختلفة. قام المهاجمون من خلال خمس معاملات مستقلة بتحويل حوالي 50 مليون دولار من العملات المستقرة (بما في ذلك 30 مليون Tether، 10 مليون DAI و10 مليون USDC)، و231 wBTC (تبلغ قيمتها حوالي 10 مليون دولار) و9500 ETH (تبلغ قيمتها حوالي 21.5 مليون دولار) إلى عنوان محفظة جديدة.
نصائح الأمان
تسليط الضوء على أهمية أمان نظام blockchain مرة أخرى. عند تصميم وتنفيذ مشاريع blockchain، يجب أن نضع الأمان في المقام الأول.
أولاً، أمان كود العقد أمر بالغ الأهمية. كونه جوهر نظام البلوكشين، يجب أن يتبع كود العقد عند كتابته ومراجعته أفضل الممارسات والمعايير الأمنية بشكل صارم، لتجنب الثغرات الأمنية الشائعة.
ثانياً، تعتبر آليات التحقق من الهوية وإدارة الأذونات الفعالة ضرورية. من خلال اعتماد أنظمة تحقق قوية، والتوقيعات المتعددة، والرقابة الصارمة على الأذونات، يمكن منع الوصول غير المصرح به وفقدان الأصول بشكل فعال، مما يضمن أن الكيانات المصرح لها فقط هي التي يمكنها تنفيذ العمليات الحساسة.