مراجعة لأهم عشرة أحداث أمنية في مجال Web3 لعام 2024
في عام 2024، يواجه قطاع blockchain، بجانب الابتكار التكنولوجي وتوسيع النظام البيئي، تحديات أمنية متزايدة الصعوبة. وفقًا لبيانات منصة مراقبة الأمن، بلغ إجمالي الخسائر في مجال Web3 بسبب هجمات القراصنة، والاحتيال عبر التصيد، وهروب المشاريع حتى نهاية العام 24.91 مليار دولار أمريكي.
هذه الأحداث لا تكشف فقط عن عيوب تقنية مثل إدارة المفاتيح الخاصة، والثغرات في العقود الذكية، بل تبرز أيضًا المخاطر المحتملة للهندسة الاجتماعية والإدارة الداخلية. ستستعرض هذه المقالة أهم عشرة أحداث أمنية في Web3 لعام 2024، لتكون بمثابة دروس للصناعة، لمواجهة التهديدات الأمنية المستقبلية بشكل أفضل.
1. حدث DMM Bitcoin
مبلغ الخسارة: 3.04 مليار دولار أمريكي
طريقة الهجوم: تسرب المفتاح الخاص
في 31 مايو 2024، تعرضت بورصة DMM Bitcoin اليابانية المعروفة لتجارة العملات المشفرة لهجوم كبير. استغل المهاجمون المفاتيح الخاصة المسربة لنقل أكثر من 300 مليون دولار من البيتكوين مباشرة، وسرعان ما قاموا بتوزيع الأموال المسروقة على أكثر من 10 عناوين مختلفة. كشفت هذه الحادثة عن ثغرات خطيرة في إدارة المفاتيح الخاصة ووسائل الأمان المتعددة لدى البورصة. على الرغم من أن البورصة تتعقب القراصنة من خلال مراقبة السلسلة وتجميد الأموال، إلا أن جهود التتبع تواجه تحديات كبيرة بسبب توزيع البيتكوين المسروق وتحويله باستخدام أدوات خلط.
في نهاية العام، أكدت الشرطة اليابانية أن هذه الحادثة كانت مدبرة من قبل مجموعة هاكرز كورية شمالية.
2. تعرض PlayDapp لضرر كبير
مبلغ الخسارة: 290 مليون دولار أمريكي
طريقة الهجوم: تسرب المفتاح الخاص
في 9 فبراير 2024، تعرضت PlayDapp لضربة شديدة. قام القراصنة بقرصنة المفاتيح الخاصة وصنعوا 2 مليار رمز PLA، بقيمة أولية تبلغ 36.5 مليون دولار. بسبب فشل المشروع في التفاوض مع القراصنة، قام القراصنة بعد ذلك بصنع 15.9 مليار رمز PLA، بقيمة 253.9 مليون دولار. بعد أن تدفق جزء من الرموز المسروقة إلى البورصات، اضطرت PlayDapp إلى تعليق عقد PLA والانتقال إلى عقد رموز PDA جديد. تسلط هذه الحادثة الضوء على أوجه القصور في حماية المفاتيح الخاصة والاستجابة الطارئة لمشاريع blockchain.
3. تم الهجوم على محفظة WazirX متعددة التوقيعات
مبلغ الخسارة: 2.35 مليار دولار أمريكي
طرق الهجوم: الهجمات الإلكترونية والتصيد
في 18 يوليو 2024، تعرضت محفظة Safe Wallet متعددة التوقيع التابعة لأكبر بورصة للعملات المشفرة في الهند WazirX لهجوم دقيق. قام المهاجمون باستخدام أساليب الهندسة الاجتماعية لإقناع موقعين متعددين بالتوقيع على صفقة ترقية العقد، ثم استخدموا صلاحيات العقد المحدث لنقل جميع الأصول الموجودة في المحفظة. تكشف هذه القضية عن المخاطر المحتملة لمحافظ متعددة التوقيع في إدارة الصلاحيات وشفافية العمليات، كما أثارت تفكيرًا عميقًا في آليات التحكم الداخلية للمشاريع في الصناعة.
4. تم استغلال ثغرة عقد Gala Games
مبلغ الخسارة: 2.16 مليار دولار أمريكي
أسلوب الهجوم: ثغرة في التحكم بالوصول
في 20 مايو 2024، تم اختراق عنوان متميز في Gala Games من قبل قراصنة. قام المهاجمون باستدعاء دالة mint لعقد الرموز، وصنعوا 5 مليارات من رموز GALA دفعة واحدة. ثم قام القراصنة بتحويل الرموز التي تم إصدارها بشكل إضافي إلى ETH على دفعات، مما أدى مباشرة إلى خسارة قدرها 216 مليون دولار. بعد الحادث، قام فريق Gala Games بتفعيل وظيفة القائمة السوداء بشكل عاجل لحظر بعض حسابات القراصنة، واستعادوا جزءًا من الخسائر من خلال الطرق القانونية.
5. تعرض مؤسس Ripple المشارك لهجوم هاكر
مبلغ الخسارة: 1.12 مليار دولار أمريكي
أسلوب الهجوم: تسريب المفتاح الخاص
في 31 يناير 2024، تم اختراق أربعة محافظ شخصية للمؤسس المشارك لشركة Ripple كريس لارسن، مما أدى إلى سرقة 112 مليون دولار من XRP. ويُعتقد أن هذه المحافظ كانت هدفًا للهجوم بسبب نقص الحماية المزدوجة للمعدات. بعد الحادث، نجحت منصة تداول معينة في تجميد 4.2 مليون دولار من XRP، وساعدت في تتبع الأصول المسروقة، ولكن تم غسل معظم الأموال من خلال منصات التداول اللامركزية وخدمات خلط العملات.
6. واجهت Munchables اختراقًا داخليًا
مبلغ الخسارة: 6250 مليون دولار أمريكي
أسلوب الهجوم: هجوم الهندسة الاجتماعية
في 26 مارس 2024، تعرضت منصة Munchables للألعاب على الويب 3 المعتمدة على Blast لعملية اختراق داخلية نادرة. تمكن المهاجمون من التظاهر بأنهم مطورون للبلوك تشين، وحصلوا على الكود الأساسي والمفاتيح الحساسة من خلال التسلل لفترة طويلة. على الرغم من الأضرار المالية الكبيرة، إلا أن الضغط من المجتمع والفريق أدى في النهاية إلى إعادة القراصنة لجميع الأموال المسروقة. تكشف هذه الحادثة عن أهمية أمان سلسلة التوريد، خاصة بالنسبة لمشاريع البلوك تشين التي تعتمد على تطوير أطراف ثالثة.
7. حادث تسرب مفتاح BtcTurk الخاص
مبلغ الخسارة: 55 مليون دولار أمريكي
طريقة الهجوم: تسريب المفتاح الخاص
في 22 يونيو 2024، تعرضت أكبر بورصة عملات مشفرة في تركيا BtcTurk لهجوم تسريب مفتاح خاص، مما أسفر عن خسارة تزيد عن 55 مليون دولار من الأصول المشفرة. بمساعدة إحدى منصات التداول، تم تجميد 5.3 مليون دولار من الأموال المسروقة بنجاح، لكن الأصول الأخرى لم يتم استردادها بعد. وقد زاد هذا الحدث من قلق السوق بشأن إدارة المفاتيح الخاصة في البورصات المركزية.
8. تم اختراق محفظة Radiant Capital متعددة التوقيع
مبلغ الخسارة: 53 مليون دولار أمريكي
أسلوب الهجوم: تسريب المفتاح الخاص
في 17 أكتوبر 2024، تعرضت محفظة متعددة التوقيع الخاصة بـ Radiant Capital للاختراق. نظرًا لاعتمادها على نموذج التحقق من التوقيع 3/11 ذو العتبة المنخفضة، تمكن المخترقون من السيطرة على مفاتيح خاصة لثلاثة من الموقّعين، مما أدى إلى إجراء توقيع خارج السلسلة ونقل ملكية عقد المحفظة إلى عنوان خبيث، مما أدى في النهاية إلى سرقة 53 مليون دولار. أثار هذا الهجوم تأملات في تصميم محفظة متعددة التوقيع وآلية الحكم في الصناعة.
من الجدير بالذكر أن Radiant Capital قد خسرت 4.5 مليون دولار بسبب ثغرة في العقد قبل هذا الهجوم، وتم سرقة أكثر من 1900 ETH. وهذا يبرز مرة أخرى أن هناك مجالاً لتحسين مستوى الاهتمام بالأمان من قبل المشاريع في Web3.
9. تم استغلال ثغرة عقد Hedgey Finance
مبلغ الخسارة: 44.7 مليون دولار أمريكي
أسلوب الهجوم: ثغرات العقد
في 19 أبريل 2024، تعرضت Hedgey Finance لهجوم على عدة عقود على السلسلة. استغل القراصنة ثغرة في عقد ClaimCampaigns الخاص بها، مما أدى إلى استخراج الرموز المميزة على سلسلتي Ethereum وArbitrum، وبلغت الخسائر الإجمالية 44.7 مليون دولار. تبرز هذه الحادثة أهمية تدقيق الشفرات، خاصةً التحقق الصارم من منطق الموافقة على الرموز.
10. تم اختراق المحفظة الساخنة في بورصة BingX
مبلغ الخسارة: 44.7 مليون دولار أمريكي
أسلوب الهجوم: تسرب المفتاح الخاص
في 19 سبتمبر 2024، تم اختراق المحفظة الساخنة لبورصة BingX من قبل قراصنة، مما أثر على عدة سلاسل عامة مثل الإيثيريوم وBNB Chain وترون. على الرغم من أن البورصة بدأت بسرعة في آلية نقل الأصول وتجميد السحب، إلا أن القراصنة تمكنوا من سحب أصول بقيمة 44.7 مليون دولار. هذه الهجمة تبرز مرة أخرى المخاطر العالية لإدارة محافظ البورصات المركزية الساخنة، مما يدفع الصناعة لاستكشاف حلول تخزين أصول أكثر أمانًا.
تُشير الحوادث الأمنية المتكررة في عام 2024 إلى ضرورة تعزيز الأمان في تطوير صناعة البلوك تشين. بدءًا من تسرب المفاتيح الخاصة إلى ثغرات العقود، ومن الإخفاقات الإدارية الداخلية إلى تطور أساليب الهجوم الخارجية، كل حادثة تحمل دروسًا عميقة. لمواجهة التهديدات المتزايدة التعقيد، يجب على جميع الأطراف في الصناعة تعزيز الاستثمار في البحث والتطوير التكنولوجي، والمعايير الإدارية، والحد من المخاطر بشكل مستمر. في المستقبل، نتطلع إلى بناء بيئة بلوك تشين أكثر أمانًا من خلال التعاون الصناعي والابتكار التكنولوجي، لتوفير حماية أكثر موثوقية للمستخدمين والمستثمرين.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
2024 مراجعة أمان Web3: عشرة أحداث تكبدت خسائر تقارب 2.5 مليار دولار
مراجعة لأهم عشرة أحداث أمنية في مجال Web3 لعام 2024
في عام 2024، يواجه قطاع blockchain، بجانب الابتكار التكنولوجي وتوسيع النظام البيئي، تحديات أمنية متزايدة الصعوبة. وفقًا لبيانات منصة مراقبة الأمن، بلغ إجمالي الخسائر في مجال Web3 بسبب هجمات القراصنة، والاحتيال عبر التصيد، وهروب المشاريع حتى نهاية العام 24.91 مليار دولار أمريكي.
هذه الأحداث لا تكشف فقط عن عيوب تقنية مثل إدارة المفاتيح الخاصة، والثغرات في العقود الذكية، بل تبرز أيضًا المخاطر المحتملة للهندسة الاجتماعية والإدارة الداخلية. ستستعرض هذه المقالة أهم عشرة أحداث أمنية في Web3 لعام 2024، لتكون بمثابة دروس للصناعة، لمواجهة التهديدات الأمنية المستقبلية بشكل أفضل.
1. حدث DMM Bitcoin
مبلغ الخسارة: 3.04 مليار دولار أمريكي طريقة الهجوم: تسرب المفتاح الخاص
في 31 مايو 2024، تعرضت بورصة DMM Bitcoin اليابانية المعروفة لتجارة العملات المشفرة لهجوم كبير. استغل المهاجمون المفاتيح الخاصة المسربة لنقل أكثر من 300 مليون دولار من البيتكوين مباشرة، وسرعان ما قاموا بتوزيع الأموال المسروقة على أكثر من 10 عناوين مختلفة. كشفت هذه الحادثة عن ثغرات خطيرة في إدارة المفاتيح الخاصة ووسائل الأمان المتعددة لدى البورصة. على الرغم من أن البورصة تتعقب القراصنة من خلال مراقبة السلسلة وتجميد الأموال، إلا أن جهود التتبع تواجه تحديات كبيرة بسبب توزيع البيتكوين المسروق وتحويله باستخدام أدوات خلط.
في نهاية العام، أكدت الشرطة اليابانية أن هذه الحادثة كانت مدبرة من قبل مجموعة هاكرز كورية شمالية.
2. تعرض PlayDapp لضرر كبير
مبلغ الخسارة: 290 مليون دولار أمريكي طريقة الهجوم: تسرب المفتاح الخاص
في 9 فبراير 2024، تعرضت PlayDapp لضربة شديدة. قام القراصنة بقرصنة المفاتيح الخاصة وصنعوا 2 مليار رمز PLA، بقيمة أولية تبلغ 36.5 مليون دولار. بسبب فشل المشروع في التفاوض مع القراصنة، قام القراصنة بعد ذلك بصنع 15.9 مليار رمز PLA، بقيمة 253.9 مليون دولار. بعد أن تدفق جزء من الرموز المسروقة إلى البورصات، اضطرت PlayDapp إلى تعليق عقد PLA والانتقال إلى عقد رموز PDA جديد. تسلط هذه الحادثة الضوء على أوجه القصور في حماية المفاتيح الخاصة والاستجابة الطارئة لمشاريع blockchain.
3. تم الهجوم على محفظة WazirX متعددة التوقيعات
مبلغ الخسارة: 2.35 مليار دولار أمريكي طرق الهجوم: الهجمات الإلكترونية والتصيد
في 18 يوليو 2024، تعرضت محفظة Safe Wallet متعددة التوقيع التابعة لأكبر بورصة للعملات المشفرة في الهند WazirX لهجوم دقيق. قام المهاجمون باستخدام أساليب الهندسة الاجتماعية لإقناع موقعين متعددين بالتوقيع على صفقة ترقية العقد، ثم استخدموا صلاحيات العقد المحدث لنقل جميع الأصول الموجودة في المحفظة. تكشف هذه القضية عن المخاطر المحتملة لمحافظ متعددة التوقيع في إدارة الصلاحيات وشفافية العمليات، كما أثارت تفكيرًا عميقًا في آليات التحكم الداخلية للمشاريع في الصناعة.
4. تم استغلال ثغرة عقد Gala Games
مبلغ الخسارة: 2.16 مليار دولار أمريكي أسلوب الهجوم: ثغرة في التحكم بالوصول
في 20 مايو 2024، تم اختراق عنوان متميز في Gala Games من قبل قراصنة. قام المهاجمون باستدعاء دالة mint لعقد الرموز، وصنعوا 5 مليارات من رموز GALA دفعة واحدة. ثم قام القراصنة بتحويل الرموز التي تم إصدارها بشكل إضافي إلى ETH على دفعات، مما أدى مباشرة إلى خسارة قدرها 216 مليون دولار. بعد الحادث، قام فريق Gala Games بتفعيل وظيفة القائمة السوداء بشكل عاجل لحظر بعض حسابات القراصنة، واستعادوا جزءًا من الخسائر من خلال الطرق القانونية.
5. تعرض مؤسس Ripple المشارك لهجوم هاكر
مبلغ الخسارة: 1.12 مليار دولار أمريكي أسلوب الهجوم: تسريب المفتاح الخاص
في 31 يناير 2024، تم اختراق أربعة محافظ شخصية للمؤسس المشارك لشركة Ripple كريس لارسن، مما أدى إلى سرقة 112 مليون دولار من XRP. ويُعتقد أن هذه المحافظ كانت هدفًا للهجوم بسبب نقص الحماية المزدوجة للمعدات. بعد الحادث، نجحت منصة تداول معينة في تجميد 4.2 مليون دولار من XRP، وساعدت في تتبع الأصول المسروقة، ولكن تم غسل معظم الأموال من خلال منصات التداول اللامركزية وخدمات خلط العملات.
6. واجهت Munchables اختراقًا داخليًا
مبلغ الخسارة: 6250 مليون دولار أمريكي أسلوب الهجوم: هجوم الهندسة الاجتماعية
في 26 مارس 2024، تعرضت منصة Munchables للألعاب على الويب 3 المعتمدة على Blast لعملية اختراق داخلية نادرة. تمكن المهاجمون من التظاهر بأنهم مطورون للبلوك تشين، وحصلوا على الكود الأساسي والمفاتيح الحساسة من خلال التسلل لفترة طويلة. على الرغم من الأضرار المالية الكبيرة، إلا أن الضغط من المجتمع والفريق أدى في النهاية إلى إعادة القراصنة لجميع الأموال المسروقة. تكشف هذه الحادثة عن أهمية أمان سلسلة التوريد، خاصة بالنسبة لمشاريع البلوك تشين التي تعتمد على تطوير أطراف ثالثة.
7. حادث تسرب مفتاح BtcTurk الخاص
مبلغ الخسارة: 55 مليون دولار أمريكي طريقة الهجوم: تسريب المفتاح الخاص
في 22 يونيو 2024، تعرضت أكبر بورصة عملات مشفرة في تركيا BtcTurk لهجوم تسريب مفتاح خاص، مما أسفر عن خسارة تزيد عن 55 مليون دولار من الأصول المشفرة. بمساعدة إحدى منصات التداول، تم تجميد 5.3 مليون دولار من الأموال المسروقة بنجاح، لكن الأصول الأخرى لم يتم استردادها بعد. وقد زاد هذا الحدث من قلق السوق بشأن إدارة المفاتيح الخاصة في البورصات المركزية.
8. تم اختراق محفظة Radiant Capital متعددة التوقيع
مبلغ الخسارة: 53 مليون دولار أمريكي أسلوب الهجوم: تسريب المفتاح الخاص
في 17 أكتوبر 2024، تعرضت محفظة متعددة التوقيع الخاصة بـ Radiant Capital للاختراق. نظرًا لاعتمادها على نموذج التحقق من التوقيع 3/11 ذو العتبة المنخفضة، تمكن المخترقون من السيطرة على مفاتيح خاصة لثلاثة من الموقّعين، مما أدى إلى إجراء توقيع خارج السلسلة ونقل ملكية عقد المحفظة إلى عنوان خبيث، مما أدى في النهاية إلى سرقة 53 مليون دولار. أثار هذا الهجوم تأملات في تصميم محفظة متعددة التوقيع وآلية الحكم في الصناعة.
من الجدير بالذكر أن Radiant Capital قد خسرت 4.5 مليون دولار بسبب ثغرة في العقد قبل هذا الهجوم، وتم سرقة أكثر من 1900 ETH. وهذا يبرز مرة أخرى أن هناك مجالاً لتحسين مستوى الاهتمام بالأمان من قبل المشاريع في Web3.
9. تم استغلال ثغرة عقد Hedgey Finance
مبلغ الخسارة: 44.7 مليون دولار أمريكي أسلوب الهجوم: ثغرات العقد
في 19 أبريل 2024، تعرضت Hedgey Finance لهجوم على عدة عقود على السلسلة. استغل القراصنة ثغرة في عقد ClaimCampaigns الخاص بها، مما أدى إلى استخراج الرموز المميزة على سلسلتي Ethereum وArbitrum، وبلغت الخسائر الإجمالية 44.7 مليون دولار. تبرز هذه الحادثة أهمية تدقيق الشفرات، خاصةً التحقق الصارم من منطق الموافقة على الرموز.
10. تم اختراق المحفظة الساخنة في بورصة BingX
مبلغ الخسارة: 44.7 مليون دولار أمريكي أسلوب الهجوم: تسرب المفتاح الخاص
في 19 سبتمبر 2024، تم اختراق المحفظة الساخنة لبورصة BingX من قبل قراصنة، مما أثر على عدة سلاسل عامة مثل الإيثيريوم وBNB Chain وترون. على الرغم من أن البورصة بدأت بسرعة في آلية نقل الأصول وتجميد السحب، إلا أن القراصنة تمكنوا من سحب أصول بقيمة 44.7 مليون دولار. هذه الهجمة تبرز مرة أخرى المخاطر العالية لإدارة محافظ البورصات المركزية الساخنة، مما يدفع الصناعة لاستكشاف حلول تخزين أصول أكثر أمانًا.
تُشير الحوادث الأمنية المتكررة في عام 2024 إلى ضرورة تعزيز الأمان في تطوير صناعة البلوك تشين. بدءًا من تسرب المفاتيح الخاصة إلى ثغرات العقود، ومن الإخفاقات الإدارية الداخلية إلى تطور أساليب الهجوم الخارجية، كل حادثة تحمل دروسًا عميقة. لمواجهة التهديدات المتزايدة التعقيد، يجب على جميع الأطراف في الصناعة تعزيز الاستثمار في البحث والتطوير التكنولوجي، والمعايير الإدارية، والحد من المخاطر بشكل مستمر. في المستقبل، نتطلع إلى بناء بيئة بلوك تشين أكثر أمانًا من خلال التعاون الصناعي والابتكار التكنولوجي، لتوفير حماية أكثر موثوقية للمستخدمين والمستثمرين.