تحليل طرق هجمات الهاكر في مجال Web3 في النصف الأول من 2022
خلال النصف الأول من عام 2022، واجه مجال Web3 العديد من الحوادث الأمنية الكبيرة، مما أدى إلى خسائر ضخمة. ستقوم هذه المقالة بتحليل طرق الهجوم الشائعة التي يستخدمها الهاكر في هذه الفترة، بهدف تقديم مرجع للوقاية من المخاطر في الصناعة.
ملخص استغلال الثغرات
وفقًا لبيانات من منصة مراقبة أمان blockchain معينة، حدثت 42 حالة رئيسية من هجمات ثغرات العقود في النصف الأول من عام 2022، مما يمثل 53% من جميع أنواع الهجمات. تسببت هذه الهجمات في خسائر تقدر بحوالي 644 مليون دولار.
في جميع الثغرات المستخدمة، فإن عيوب التصميم المنطقي أو الوظيفي هي الهدف الأكثر شيوعًا الذي يستهدفه هاكر، تليها مشاكل التحقق والثغرات المتكررة.
تحليل حالات الخسائر الكبيرة
حدث هجوم جسر Wormhole عبر السلاسل
في 3 فبراير 2022، تعرض مشروع جسر متعدد السلاسل لهجوم، مما أدى إلى خسارة تصل إلى 326 مليون دولار. استغل الهاكر ثغرة في التحقق من التوقيع في عقد المشروع، مما سمح له بتزوير حساب النظام وصك كمية كبيرة من الرموز.
بروتوكول Fei تعرض لهجوم هاكر عبر القرض السريع
في 30 أبريل 2022، تعرضت بركة التمويل لبروتوكول اقتراض معين لهجوم اقتراض فلاش متزامن مع هجوم إعادة الدخول، مما أدى إلى خسارة قدرها 80.34 مليون دولار. كانت هذه الهجمة ضربة قاتلة للمشروع، مما أدى في النهاية إلى إعلان إغلاق المشروع في 20 أغسطس.
قام المهاجم أولاً بالحصول على قرض فوري من صندوق تمويل معين، ثم استغل ثغرة إعادة الإدخال الموجودة في منصة الإقراض، من خلال استدعاء دالة هجوم تم إنشاؤها، واستخرج بنجاح جميع الرموز من صندوق التمويل المتأثر. وأخيرًا، أعاد قرض الفوري، ونقل الأرباح إلى العقد المحدد.
أنواع الثغرات الشائعة
هجوم إعادة الدخول على ERC721/ERC1155: استغلال دالة إشعار النقل في معيار الرمز لإجراء هجوم إعادة الدخول.
ثغرة منطقية:
عدم مراعاة السيناريوهات الخاصة بشكل كامل، مثل تحويل الأموال لنفسك مما يؤدي إلى وجود غير موجود.
تصميم الوظائف غير مكتمل، مثل عدم وجود آلية للاستخراج أو التسوية.
عيوب إدارة الوصول: تفتقر الوظائف الأساسية مثل سك العملات، وإعداد الأدوار إلى تحكم فعال في الوصول.
تلاعب الأسعار:
أوراكل بسعر متوسط مرجح غير مستخدم بالوقت.
استخدام نسبة رصيد الرموز في العقد كمرجع للسعر.
تدابير التدقيق
يمكن اكتشاف معظم الثغرات المذكورة أعلاه من خلال منصة التحقق الرسمية لعقود الذكاء الاصطناعي بالتعاون مع مراجعة يدوية من خبراء الأمان قبل إطلاق المشروع. يُنصح الأطراف المعنية بالمشروع بإيلاء أهمية لتدقيق الأمان وإصلاح المخاطر المحتملة في الوقت المناسب بناءً على توصيات الخبراء.
من خلال تعزيز تصميم منطق العقد، وتحسين إدارة الأذونات، وتحسين آلية التسعير، يمكن اتخاذ تدابير أمنية فعالة لتقليل مخاطر التعرض للهجمات. في الوقت نفسه، فإن المراقبة الأمنية المستمرة وإصلاح الثغرات في الوقت المناسب هما أيضًا مفتاح لضمان التشغيل الآمن طويل الأمد للمشروع.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 14
أعجبني
14
3
مشاركة
تعليق
0/400
TokenAlchemist
· منذ 15 س
smh... لا يزال هناك ناقل انتقال حالة ضعيف آخر تم تحسينه بشكل سيء. 644 مليون في الاستغلالات؟ يجب على الهواة الذين يكتبون هذه العقود دراسة ميكانيكا MEV بجدية.
شاهد النسخة الأصليةرد0
SmartMoneyWallet
· 08-02 16:12
أين ذهب المال الذي خسره هؤلاء المستثمرين؟ 6 مليارات و 4؟
شاهد النسخة الأصليةرد0
TokenomicsTrapper
· 08-02 16:09
لقد قلت ذلك - الجسور هي حرفياً مجرد وعاء عسل ينتظر أن يتعرض للركود... 2022 L بشكل عام
تحليل هجمات هاكر في مجال Web3 للنصف الأول من عام 2022: ثغرات العقود كانت الهدف الرئيسي
تحليل طرق هجمات الهاكر في مجال Web3 في النصف الأول من 2022
خلال النصف الأول من عام 2022، واجه مجال Web3 العديد من الحوادث الأمنية الكبيرة، مما أدى إلى خسائر ضخمة. ستقوم هذه المقالة بتحليل طرق الهجوم الشائعة التي يستخدمها الهاكر في هذه الفترة، بهدف تقديم مرجع للوقاية من المخاطر في الصناعة.
ملخص استغلال الثغرات
وفقًا لبيانات من منصة مراقبة أمان blockchain معينة، حدثت 42 حالة رئيسية من هجمات ثغرات العقود في النصف الأول من عام 2022، مما يمثل 53% من جميع أنواع الهجمات. تسببت هذه الهجمات في خسائر تقدر بحوالي 644 مليون دولار.
في جميع الثغرات المستخدمة، فإن عيوب التصميم المنطقي أو الوظيفي هي الهدف الأكثر شيوعًا الذي يستهدفه هاكر، تليها مشاكل التحقق والثغرات المتكررة.
تحليل حالات الخسائر الكبيرة
حدث هجوم جسر Wormhole عبر السلاسل
في 3 فبراير 2022، تعرض مشروع جسر متعدد السلاسل لهجوم، مما أدى إلى خسارة تصل إلى 326 مليون دولار. استغل الهاكر ثغرة في التحقق من التوقيع في عقد المشروع، مما سمح له بتزوير حساب النظام وصك كمية كبيرة من الرموز.
بروتوكول Fei تعرض لهجوم هاكر عبر القرض السريع
في 30 أبريل 2022، تعرضت بركة التمويل لبروتوكول اقتراض معين لهجوم اقتراض فلاش متزامن مع هجوم إعادة الدخول، مما أدى إلى خسارة قدرها 80.34 مليون دولار. كانت هذه الهجمة ضربة قاتلة للمشروع، مما أدى في النهاية إلى إعلان إغلاق المشروع في 20 أغسطس.
قام المهاجم أولاً بالحصول على قرض فوري من صندوق تمويل معين، ثم استغل ثغرة إعادة الإدخال الموجودة في منصة الإقراض، من خلال استدعاء دالة هجوم تم إنشاؤها، واستخرج بنجاح جميع الرموز من صندوق التمويل المتأثر. وأخيرًا، أعاد قرض الفوري، ونقل الأرباح إلى العقد المحدد.
أنواع الثغرات الشائعة
تدابير التدقيق
يمكن اكتشاف معظم الثغرات المذكورة أعلاه من خلال منصة التحقق الرسمية لعقود الذكاء الاصطناعي بالتعاون مع مراجعة يدوية من خبراء الأمان قبل إطلاق المشروع. يُنصح الأطراف المعنية بالمشروع بإيلاء أهمية لتدقيق الأمان وإصلاح المخاطر المحتملة في الوقت المناسب بناءً على توصيات الخبراء.
من خلال تعزيز تصميم منطق العقد، وتحسين إدارة الأذونات، وتحسين آلية التسعير، يمكن اتخاذ تدابير أمنية فعالة لتقليل مخاطر التعرض للهجمات. في الوقت نفسه، فإن المراقبة الأمنية المستمرة وإصلاح الثغرات في الوقت المناسب هما أيضًا مفتاح لضمان التشغيل الآمن طويل الأمد للمشروع.