وفقًا لأحدث تقرير أمان صناعة Web3 من Gate Research ، وقع مجموع 27 حادثًا أمان في ديسمبر، مما أدى إلى خسائر تقدر بحوالي 4.11 مليون دولار. كانت أنواع الحوادث متنوعة، حيث ظلت ثغرات العقود الذكية الفرعية هي التهديد الأساسي، حيث بلغت نسبتها 72% من إجمالي الخسائر. كما يقدم التقرير تحليلاً مفصلاً للأحداث الأمنية الرئيسية، بما في ذلك ثغرة FEG، ثغرة عقد Clober، ثغرة عقد Clipper DEX، وهجوم القروض الفلاش HarryPotterObamaSonic10Inu. تم تحديد ثغرات العقود الذكية واختراقات الحسابات كأكبر المخاطر الأمنية للشهر، مما يسلط الضوء على الحاجة المستمرة للصناعة لتعزيز تدابيرها الأمنية.

ملخصات رئيسية

• في ديسمبر 2024 ، تعرضت صناعة الويب3 لـ 27 حادثًا أمنيًا ، مما أسفر عن خسائر تقدر بحوالي 4.11 مليون دولار ، وهو انخفاض كبير مقارنة بالشهر السابق.
• تتضمن حوادث الأمان هذا الشهر أساسا ثغرات العقود واختراق حسابات.
• تظل الثغرات في العقود تهديدا رئيسيا، حيث تمثل 72٪ من إجمالي الخسائر في حوادث أمان صناعة العملات المشفرة.
• تمت معظم الخسائر عبر سلاسل الكتل الرئيسية، بما في ذلك BSC و Ethereum و Cardano و Base.
• حدثت الأحداث الرئيسية هذا الشهر ثغرة أمان FEG (خسارة 1 مليون دولار)، ثغرة عقد Clober (خسارة 500،000 دولار)، ثغرة عقد Vestra DAO (خسارة 500،000 دولار)، اختراق حساب Moonhacker (خسارة 320،000 دولار)، وهجوم قرض فلاش HarryPotterObamaSonic10Inu (خسارة 243،000 دولار).

نظرة عامة على حوادث الأمان

وفقًا لبيانات من سلوميست ، شهد ديسمبر 2024 ما مجموعه 27 حادث اختراق ، مما أدى إلى خسائر بقيمة 4.11 مليون دولار. تشمل الهجمات بشكل أساسي ثغرات العقود واختراقات الحسابات وطرق أخرى. بالمقارنة مع نوفمبر ، شهدت كل من عدد الحوادث والخسائر الإجمالية انخفاضًا كبيرًا ، مما يشير إلى تحسن إجراءات الأمان والوعي في الصناعة. تظل ثغرات العقود سببًا رئيسيًا للهجمات ، حيث تشكل تسع حوادث أكثر من 2.98 مليون دولار من الخسائر ، أو 72٪ من الإجمالي. تظل الحسابات الرسمية لـ X ومواقع مشروعات العملات المشفرة هي أهداف القراصنة الأساسية [1].

تكشف توزيع الحوادث الأمنية عبر سلاسل الكتل العامة لهذا الشهر أن معظم الخسائر تركزت على عدد قليل من سلاسل الكتل الناضجة والشائعة، ولا سيما إيثيريوم وبيس، مع خسائر بلغت 2.01 مليون دولار و 950,000 دولار على التوالي. يبرز هذا أن الثغرات في طبقة التطبيق والعقود الذكية لا تزال تشكل مخاطر كبيرة على أموال المستخدمين على الرغم من الأمان الأساسي القوي لسلاسل الكتل العامة.

شهدت العديد من مشاريع سلسلة الكتلة حوادث أمنية كبيرة هذا الشهر ، مما أدى إلى خسائر مالية كبيرة. من بين الحوادث الملحوظة ، هناك ثغرة أمان في FEG التي تسببت في خسارة مليون دولار ؛ ثغرة العقد في Clober ، التي أدت إلى خسارة 500،000 دولار ؛ ثغرة عقد Vestra DAO ، مما أدى إلى خسارة 500،000 دولار ؛ وثغرة عقد Clipper DEX ، والتي تسببت في خسارة 457،000 دولار.

الحوادث الأمنية الرئيسية في ديسمبر

وفقًا للكشف الرسمي ، تعرضت المشاريع التالية لخسائر تجاوزت 3.22 مليون دولار في ديسمبر. تؤكد هذه الحوادث أن ثغرات العقود لا تزال تشكل تهديدًا كبيرًا.

• استغل المهاجمون ثغرة في العقد الذكي المستخدم بواسطة Clipper، مما أدى إلى تلاعب في وظيفة الإيداع/السحب للأصول الواحدة. أثرت هذه العملية على حمامات السيولة على شبكتي Optimism و Base، مما تسبب في عدم توازن في أصول الحمام وسمح للمهاجمين بسحب مبالغ أكبر من المبلغ المودع لديهم. أسفر الهجوم عن خسارة تقدر بحوالي 457،878 دولارًا.
• أرسلت Vestra DAO تغريدة تفيد بأن هاكر استغل ثغرة في عقد الاحتجاز المؤمن، وقام بتلاعب في آلية المكافأة للحصول على مكافآت زائدة تتجاوز ما كان مستحقًا. أدى هذا الحادث إلى سرقة 73،720،000 رمز VSTR. تم بيع الرموز المسروقة تدريجياً على Uniswap، مما تسبب في فقدان سيولة يقدر بحوالي 500،000 دولار أمريكي في ETH. لحماية اقتصاديات رمز VSTR واستقرار المشروع، تمت إزالة 755،631،188 رمز VSTR المتبقية من التداول بشكل دائم.
• تعرض خزان السيولة على Clober DEX، المبني على Base Network، لهجوم، مما أدى إلى خسارة بلغت 133.7 ETH (بقيمة تقريبية 501،000 دولار). كما قدم الفريق 20٪ من الأموال المسروقة كجائزة مقابل تحديد الضعف، على أمل استعادة الأصول المتبقية. ومع ذلك، لم تصل المفاوضات إلى توافق.
• تعرض هاريبوتراوباماصونيك10إينو لهجوم قرض فلاش على إثيريوم، يشمل سلسلة من التجارات المستغلة التي تستهدف بركة السيولة لرمز هاريبوتراوباماصونيك10إينو 2.0. استفاد المهاجم بما يقرب من 243,000 دولار وقام بإيداع الأموال في Tornado Cash.
• تعرض مشروع FEG لهجوم ثغرة أمان، مما أدى إلى خسارة تقدر بحوالي 1 مليون دولار. تشير التحليلات إلى أن السبب الجذري كان مشكلة القابلية للتكامل عند دمجها مع جسر السلسلة المتقاطعة الأساسي Wormhole، والذي يستخدم لرسائل السلسلة المتقاطعة وتحويل الرموز. فريق العمل قام بتعليق جميع معاملات FEG على البورصات المركزية، وتم أيضاً إيقاف بروتوكول SmartDeFi.

بورصة كليبر

نظرة عامة على المشروع: كليبر هو صرف لامركزي (DEX) مصمم لتوفير أفضل أسعار لتجار العملات المشفرة الصغار (أقل من 10,000 دولار). يتحقق ذلك عن طريق تقييد السيولة وتقليل الخسارة غير المستدامة.

نظرة عامة على الحادث: وفقًا لتقرير تحليل أصدرته Clipper ، في 1 ديسمبر 2024 ، استغل المهاجمون ثغرة في العقد الذكي المستخدم من قبل Clipper ، مما أدى إلى تلاعب بوظيفة الإيداع/السحب للأصول الفردية. هذا العمل تأثر على حمامات السيولة على شبكتي Optimism و Base ، مما تسبب في عدم توازن في أصول حمام السيولة والسماح للمهاجمين بسحب مزيد من الأصول مما قد أودعوها. أدى الهجوم إلى خسارة تقدر بحوالي 457،878 دولارًا.

في غضون ساعات قليلة، أطلقت AdmiralDAO خطة استجابة طارئة، واتخذت بسرعة تدابير لحماية الأموال المتبقية في البروتوكول ووقف الهجوم. بعد الاستجابة، لم يتأثر أي أموال إضافية[2].

توصيات ما بعد الحادث:

• توسيع الفحوصات الثابتة: تنفيذ التحقق على السلسلة لضمان استمرار تطابق الثوابت في حوض السباحة أثناء السحب على الأصول المفردة، على غرار الفحوصات التي تم تطبيقها بواسطة Clipper في أحدث نسخة من عقدهم للتبادل.
• توسيع التحقق من أسعار أوراكل: دمج أوراكل الأسعار على السلسلة في التحقق من قيمة الأصول للإيداعات والسحوبات، تمامًا كما قام كليبر في النسخة الأخيرة من عقدهم للصرف.
• النظر في قفل الودائع على المدى القصير: إذا كانت الودائع الجديدة مشمولة بفترة قفل تتجاوز صلاحية توقيع الوديعة (على سبيل المثال، بضع دقائق)، فإن هذا الهجوم لم يكن ممكناً.

Vestra DAO

نظرة عامة على المشروع: إن VSTR عبارة عن رمز تم تطويره بواسطة مجتمع NFT “CMLE” (Crypto Monster Limited Edition) الذي يقدم خدمات نصف مركزية من نوع Web2+Web3. يعمل كمشروع منظمة مستقلة لامركزية (DAO)، يوفر حلول DeFi.

نظرة عامة على الحادث: في 4 ديسمبر 2024، تغرد Vestra DAO بأن هاكر استغل ثغرة في العقد المغلق للاحتفاظ بالرهان، وتلاعب في آلية المكافأة للحصول على مكافآت زائدة تتجاوز ما كان مقدرًا. أدى الحادث إلى سرقة إجمالية لـ 73،720،000 رمز VSTR. تم بيع الرموز المسروقة تدريجياً على Uniswap، مما أدى إلى خسارة تقدر بحوالي 500،000 دولار في سيولة ETH.

تمكّن الفريق بسرعة من تحديد المشكلة واتّخذ إجراء فوريًا عن طريق إضافة عقد الاحتجاز المغلق إلى القائمة السوداء، مما يعطّل المزيد من التفاعلات مع هذه العقود. نتيجة لذلك، تمت إزالة 755،631،188 رمز VSTR في مجموعة الاحتجاز من التداول، ولا يمكن سحب الأموال من هذه العقود بعد الآن. في 6 ديسمبر، أعلن الفريق أنه لحماية اقتصاديات رمز VSTR واستقرار المشروع، سيتم إزالة الرموز المتبقية من VSTR بشكل دائم من التداول[3].

توصيات بعد الحادث:

• إجراء فحوصات أمان شاملة للعقود وتحسينها
  قم بتوظيف شركة تدقيق أمنية موثوقة من الطرف الثالث لمراجعة جميع العقود الذكية بدقة ، وخاصةً عقود الرهان والقفل. يجب التركيز على إدارة الأذونات ومعالجة حالة الحدود وأمان الشفرة الموجودة. بعد التدقيق ، يجب تحسين شفرة العقد بناءً على التوصيات ، ويجب أن يتم توفير تقرير التدقيق بشكل عام لتعزيز الشفافية وثقة المستخدم.

• نشر آليات حماية متعددة الطبقات ورصد في الوقت الحقيقي

• تنفيذ وظيفة القفل الزمني: إدخال تأخيرات زمنية للعمليات الرئيسية لضمان وجود وقت كافٍ لإيقاف العمليات أو التدخل في حالة وجود انحراف.
• قدم نظامين للرصد والتنبيه في الوقت الحقيقي: استخدم تحليل البيانات على السلسلة لاكتشاف سلوكيات التداول غير الطبيعية أو تفاعلات العقود في الوقت الحقيقي، وقم بتنفيذ أنظمة التنبيه لإعلامك بالأنشطة المشبوهة مما يقلل من الخسائر المحتملة الناجمة عن الثغرات.

Clober DEX

نظرة عامة على المشروع: Clober هو سوق بيانات كامل على السلسلة الكاملة (on-chain) الذي يسمح بالتطابق والتسوية على السلسلة الكاملة (on-chain) على منصات العقود الذكية اللامركزية. مع Clober، يمكن للمشاركين في السوق وضع أوامر سوق وحدودية بشكل كامل ولامركزي وبدون ثقة بتكاليف قابلة للإدارة.

نظرة عامة على الحادث:
في 10 ديسمبر 2024 ، تعرضت قبو السيولة لـ Clober DEX على Base Network لهجوم ، مما أدى إلى خسارة بلغت 133.7 ETH (حوالي 501،000 دولار). كان سبب الهجوم الجذري ثغرة إعادة الدخول في وظيفة _burn() داخل عقد Rebalancer.

قدم الفريق 20٪ من الأموال المسروقة كجائزة لتحديد ثغرة الأمان، شريطة أن يمكن إعادة الأصول المتبقية. بالإضافة إلى ذلك، أكد الفريق أنه لن يتخذ أي إجراء قانوني إذا تعاون الجاني. في 31 ديسمبر 2024، أعلن الفريق أن المفاوضات لم تصل إلى توافق، وقد نقل الجاني الأصول المسروقة إلى Tornado Cash. يتعاون الفريق مع وكالات إنفاذ القانون لتتبع أصول الجاني.

توصيات ما بعد الحادث:

• تحسين أمان العقد الذكي: يجب على فريق المشروع تعزيز مراجعة أمان العقود الذكية. يجب أن يخضع جميع الشفرات لفحوصات دقيقة قبل النشر، مع فحوصات دورية للثغرات لتقليل مخاطر الهجوم.
• استراتيجيات إدارة الصناديق القوية: تنفيذ محافظ متعددة التوقيع وأنظمة تخزين الصناديق المتدرجة لمنع التركيز الزائد للأصول في عقد واحد، وبالتالي تقليل الخسائر المحتملة في حالة هجوم.
• التعاون مع منظمات الأمان: يمكن أن يساهم التعاون السريع مع فرق الأمان في تكنولوجيا البلوكشين والجهات الإنفاذية في السيطرة بشكل فعال على الضرر وتسريع استعادة الأصول بعد وقوع حادث.

هاري بوتر أوباما سونيك 10 إينو

نظرة عامة على المشروع: HarryPotterObamaSonic10Inu هو أعلى شكل من الأصول الرقمية. مستوحاة من بيتكوين، يشجع المشروع على إنشاء محتوى ميم جديد وممتع. مع التنازل عن الملكية وقفل السيولة، اتخذت المجتمع المتنامي باستمرار الزمام. مستوحاة من ميم بيتكوين الأسطوري، يعمل المشروع على تطوير موقع ويب فريد، ومستلزمات حصرية، ومنصة تجارة إلكترونية. الهدف هو إنشاء بيئة حيث يمكن لأعضاء المجتمع النشطين التفاعل والتعاون.

نظرة عامة على الحادث:
في 18 ديسمبر 2024 ، تعرضت سلسلة من المعاملات الاستغلالية لحوض السيولة لرمز HarryPotterObamaSonic10Inu 2.0 على شبكة Ethereum. استفاد المهاجم بما يقرب من 243،000 دولار ونقل الأموال إلى Tornado Cash.

خلال الأيام الأربعة التالية ، شهد سعر الرمز الخاص به انخفاضاً كبيراً بنسبة حوالي -33.42٪ ، حيث انخفضت قيمته السوقية من 245 مليون دولار إلى 168 مليون دولار[5].

توصيات ما بعد الحادث:

• تعزيز تدقيق وتحسين أمان العقود الذكية
  انخرط مؤسسة محترفة من طرف ثالث لإجراء تدقيق أمني شامل للعقود الذكية الحالية، مع التركيز على منطق حوض السيولة ومراقبة الوصول. يجب إصلاح الثغرات وتحسين كود العقد. يجب إضافة آليات مثل قفل الزمن وتحديد معدل الحد لمنع العمليات الخبيثة في فترة زمنية قصيرة.

• دمج بوابات البيانات السعرية على السلسلة
  دمج المدققين الأمينين الموثوقين على السلسلة للتحقق من أسعار الأصول أثناء عمليات الإيداع والسحب، مما يضمن أن العمليات تتوافق مع القيم السوقية الفعلية ويمنع تلاعب الأموال من خلال تلاعب الأسعار.

• زيادة شفافية المجتمع والثقة
  نشر نتائج تحقيق الحادث وخطة الإصلاح، مع ضمان شفافية المعلومات وبناء الثقة داخل مجتمع المستخدمين.

FEG

توكن FEG هو توكن حوكمة تضاؤلية ضمن نظام FEG البيئي، والذي يشمل بورصة غير مركزية وآليات حوافز الدخل السلبي. هدفه هو إعادة تشكيل نموذج التشغيل لشبكات التداول غير المركزية. يتوفر التوكن على كل من شبكتي Ethereum و Binance Smart Chain.

نظرة عامة على الحادث:
في 29 ديسمبر 2024، تعرض مشروع FEG لهجوم ثغرة أمنية، مما أدى إلى خسارة تقدر بحوالي 1 مليون دولار. يبدو أن سبب هذا الحادث يتعلق بمشكلة قابلية الاعتماد المتعلقة بتكامل جسر السلسلة المشتركة الأساسية لـ Wormhole، الذي يسهل الرسائل وتحويل الرموز عبر السلاسل. وأوضحت مؤسسة Wormhole في وقت لاحق أنه لم يتم العثور على أي مشاكل داخل بروتوكول Wormhole، وأن الهجوم لم يكن له علاقة بـ Wormhole.

بعد الحادث، قام الفريق بتعليق جميع معاملات FEG على البورصات المركزية وبدأ تحقيقا شاملا. في حين لم يتأثر كود عقد SmartDeFi مباشرة، تم إيقاف بروتوكول SmartDeFi أيضا كإجراء احترازي. ومع ذلك، فإن جميع المشاريع على البروتوكول ظلت آمنة حتى الآن[6].

توصيات بعد الحادث:

• إجراء تدقيق أمني شامل: تعاقد مع منظمة مهنية من طرف ثالث لإجراء تدقيق أمني شامل للعقود الذكية ورمز المنصة، مع التركيز على التحكم في الوصول والثغرات المنطقية وثغرات الرمز. استنادًا إلى نتائج التدقيق، يجب تنفيذ الإصلاحات اللازمة بسرعة، وجعل تقرير التدقيق علنيًا لتعزيز ثقة المستخدمين.
• إنشاء برنامج إفشاء الثغرات والمكافآت: إطلاق برنامج مستمر للمكافآت النقدية لتشجيع الباحثين الأمنيين والقراصنة الأخلاقيين على تحديد وإبلاغ الثغرات المحتملة. وسيساعد ذلك في التعامل مع الثغرات بسرعة لتقليل مخاطر الأمان المستقبلية.
• تعزيز آليات حماية الأصول وتعويض المستخدمين: تطوير أنظمة حماية الأصول متعددة الطبقات، مثل المراقبة الفورية للمعاملات الغير طبيعية، وتنفيذ وظائف القفل الزمني، واستخدام محافظ متعددة التوقيعات. بالنسبة للمستخدمين المتضررين، إنشاء خطة تعويض عادلة وشفافة لاستعادة ثقة المستخدم وتقليل الخسائر المالية.

استنتاج

في ديسمبر 2024 ، تم استهداف العديد من مشاريع DeFi من خلال الثغرات الأمنية ، مما أدى إلى خسارة ملايين الدولارات من الأصول. تضمنت هذه الحوادث هجوم قبو السيولة Clober DEX ، وهو استغلال عبر السلسلة ناتج عن تكامل FEG مع Wormhole ، وثغرة التخزين في Vestra DAO ، والتلاعب بميزة سحب الأصول الفردية في Clipper DEX ، وهجوم قرض فلاش على HarryPotterObamaSonic10Inu. سلطت هذه الأحداث الضوء على المخاطر الحرجة في أمن العقود الذكية ، وقابلية تركيب البروتوكول عبر السلسلة ، وإدارة مجمع السيولة. تحتاج الصناعة بشكل عاجل إلى تعزيز عمليات تدقيق العقود الذكية ، وتنفيذ المراقبة في الوقت الفعلي ، واعتماد آليات حماية متعددة الطبقات لتحسين أمان النظام الأساسي وثقة المستخدم. يذكر Gate.io المستخدمين بالبقاء على اطلاع دائم بالتطورات الأمنية واختيار منصات موثوقة وتعزيز حماية الأصول الشخصية.


الإشارة:

1. Slowmist,https://hacked.slowmist.io/zh/statistics
2. كليبرhttps://blog.clipper.exchange/clipper-dec-24-exploit-post-mortem/
3. X,https://x.com/Vestra_DAO/status/1864677381459390781
4. X,https://x.com/CloberDEX/status/1874039225001377816
5. Gate.io,https://www.gate.io/zh-tw/post/status/8242569
6. X,https://x.com/FEGtoken/status/1873265905867866294

بوابة البحث
بوابة البحث هي منصة بحث شاملة عن سلسلة الكتل والعملات المشفرة، تقدم للقراء محتوى عميقًا، بما في ذلك التحليل التقني، والرؤى الساخنة، واستعراضات السوق، والبحوث الصناعية، وتوقعات الاتجاهات، وتحليل السياسات الاقتصادية الكبرى.

انقر علىرابطلمعرفة المزيد

تنصل
الاستثمار في سوق العملات المشفرة ينطوي على مخاطر عالية، ويوصى بأن يقوم المستخدمون بإجراء أبحاث مستقلة وفهم تمامًا طبيعة الأصول والمنتجات التي يتعاملون بها.شراءقبل اتخاذ أي قرارات استثمارية.Gate.ioغير مسؤولة عن أي خسائر أو أضرار ناتجة عن هذه القرارات الاستثمارية.