من عام 2022 إلى 2024، حدثت العديد من الحوادث الأمنية الكبيرة في مجال الجسور عبر السلسلة، حيث تجاوزت الخسائر الإجمالية 2.8 مليار دولار أمريكي. ومن بين الحوادث الأكثر بروزاً:
مارس 2022: تم اختراق جسر رونين، وخسارة 6.25 مليار دولار
أكتوبر 2022: تعرضت Binance Bridge لهجوم، مما أدى إلى خسارة 5.7 مليار دولار
فبراير 2022: تم اختراق جسر Wormhole، وخسارة 3.2 مليار دولار
أغسطس 2022: تعرضت جسور عبر السلسلة Nomad لهجوم "مشاركة شاملة"، مما أدى إلى خسارة 1.9 مليار دولار.
يونيو 2022: تم سرقة جسر هارموني هورايزون، وخسارة 100 مليون دولار
يناير 2024: تسرب مفتاح متعدد التوقيع لـ Orbit Chain، خسارة 81.5 مليون دولار
تظهر هذه الأحداث بوضوح العيوب الأساسية الموجودة في تصميم بنية الأمان للبنية التحتية عبر السلاسل الحالية.
جسر رونين: نموذج لهجمات الهندسة الاجتماعية
في 23 مارس 2022، تعرض جسر Ronin الخاص بـ Axie Infinity لأشد هجوم عبر السلسلة في تاريخ العملات المشفرة. تمكن المهاجمون من سرقة 173,600 ETH و 25.5 مليون USDC من خلال أساليب الهندسة الاجتماعية، بقيمة إجمالية تزيد عن 625 مليون دولار.
تشمل النقاط الرئيسية في عملية الهجوم:
هجمات الصيد المتقدمة المستمرة عبر رمح، انتهت باختراق نظام أحد موظفي Sky Mavis.
الاستفادة من تفويض مؤقت منسي للحصول على صلاحية توقيع عقد Axie DAO.
التحكم في 4 عقد تحقق من Sky Mavis وعقد واحد من Axie DAO، للوصول إلى عتبة التوقيع المتعدد 5/9.
الهجوم استمر لمدة 6 أيام دون أن يتم اكتشافه، مما كشف عن عيوب خطيرة في نظام المراقبة.
المشاكل الرئيسية التي كشفت عنها هذه الهجمة تشمل:
السيطرة على عقد التحقق المركزية المفرطة
إدارة الأذونات غير صحيحة، ولم يتم سحب التفويض المؤقت في الوقت المناسب
نقص آلية مراقبة المعاملات غير الطبيعية في الوقت الحقيقي
نقص في تدريب الوعي الأمني للموظفين
جسر وورم هول: العواقب المميتة للكود المهمل
في 2 فبراير 2022، تعرض الجسر عبر السلسلة الذي يربط Ethereum وSolana، وهو Wormhole Bridge، لضربة قوية، حيث استخدم المهاجمون دالة قديمة ولكن لم تتم إزالتها في العقد الذكي، وتمكنوا من تجاوز آلية التحقق من التوقيع، مما أدى إلى سك 120,000 رمز wETH غير المدعوم، بقيمة حوالي 320 مليون دولار.
تشمل التفاصيل التقنية للهجوم:
استغلال ثغرة التحقق في دالة load_current_index.
إنشاء حساب "Sysvar" مزيف لخداع النظام.
إنشاء حساب رسالة خبيثة من خلال دالة post_vaa.
استدعاء دالة complete_wrapped لإكمال سك الرموز غير المصرح بها.
المشكلة الأساسية التي يكشفها الهجوم:
إدارة التعليمات البرمجية غير دقيقة، الاستمرار في استخدام الدوال المهملة المعروفة بأنها تشكل مخاطر
تحقق غير كافٍ، لم يتم التحقق من صحة عنوان الحساب الرئيسي
عيوب في عملية النشر، لم يتم نشر التحديثات الأمنية في الوقت المناسب إلى بيئة الإنتاج
الاعتماد المفرط على الكيانات المركزية كضمان نهائي
جسر هارموني هورايزون: الانهيار الشامل لمفاتيح التوقيع المتعددة
في 23 يونيو 2022، تعرض جسر هارموني هورايزن لهجوم، مما أسفر عن خسارة 100 مليون دولار. استغل المهاجمون مفتاحي التحقق اللذين حصلوا عليهما لتنفيذ 14 معاملة سحب عبر السلاسل في غضون ساعات.
نقاط الهجوم الرئيسية:
تصميم التوقيع المتعدد 2 من 5 يقلل من عتبة الهجوم
حصل المهاجم على مفتاحين خاصين لنقطتي التحقق بطريقة غير معروفة
14 صفقة غير طبيعية لم ت Trigger أي تنبيهات تلقائية
المشكلة الرئيسية المعرضة:
تم تعيين حد الدخول للتوقيع المتعدد منخفضًا جدًا
آلية حماية المفتاح الخاص بها عيب أساسي
آلية المراقبة غير كافية بشكل خطير
جسر بينانس: العيب القاتل لإثبات ميركل
في 6 أكتوبر 2022، تعرض مركز توكن BSC الخاص بـ Binance للاختراق، مما أدى إلى خسارة حوالي 570 مليون دولار. استغل المهاجمون عيبًا دقيقًا في مكتبة IAVL عند معالجة إثبات Merkle، مما سمح لهم بتزوير إثبات الكتلة.
تفاصيل التقنية للهجوم:
يقوم المهاجم بالتسجيل كوسيط، ويودع 100 BNB كضمان.
استخدام شجرة IAVL لتحقيق حالة الحافة ذات الخصائص المزدوجة للعقدة الوسطى.
إثبات Merkle للكتلة المزورة 110217401.
سحب 1,000,000 BNB مرتين.
المشكلة المكشوفة:
تنفيذ شجرة IAVL لم يأخذ في الاعتبار حالات الحافة للخصائص المزدوجة للعقد.
إثبات عيوب منطق التحقق
الاعتماد المفرط على مكتبات التشفير الخارجية
الاعتماد على اتخاذ القرار المركزي لتعليق الشبكة بأكملها
جسر نوماد: تأثير الفراشة لتكوين جذور الثقة
في 1 أغسطس 2022، تسبب خطأ في التكوين في جسر نوماد في "مشاركة الجميع" في نهب الأموال، مما أدى إلى خسارة قدرها 190 مليون دولار.
نقاط الضعف في الهجوم:
تعيين قيمة "الجذر الموثوق" بشكل خاطئ إلى 0x00، وهو نفس القيمة الافتراضية لـ "الجذر غير الموثوق"
النظام لا يستطيع التمييز بين الرسائل الصحيحة وغير الصحيحة، جميع الرسائل يتم وضع علامة "تم التحقق" تلقائيًا
من اكتشاف مستخدم واحد إلى مشاركة واسعة النطاق، تطورت إلى "مأدبة هجمات"
المشاكل المكشوفة:
تعارض قيم التكوين يؤدي إلى استخدام جذر موثوق وغير موثوق بنفس القيمة الافتراضية
تغطية الاختبار غير كافية قبل الترقية
آلية التحقق المتفائل تعتمد بشكل مفرط على جذر ثقة واحد
خاصية عدم إذن blockchain تضخم الخسائر في حالة فشل النظام
في 1 يناير 2024، تعرضت Orbit Chain للهجوم، مما أدى إلى خسارة قدرها 81.5 مليون دولار. حصل المهاجمون على المفاتيح الخاصة لسبعة من أصل عشرة عقد تحقق، وهو ما يكفي تمامًا للوصول إلى الحد الأدنى المطلوب لتنفيذ أي معاملة.
خصائص الهجوم:
تم اختراق تصميم التوقيع المتعدد 7 من 10
حصل المهاجم على مفاتيح خاصة لسبعة من عقد التحقق في نفس الوقت
توزيع الأموال بسرعة وتنظيفها من خلال خدمات خلط العملات
المشكلة المكشوفة:
إدارة المفاتيح الخاصة تعاني من عيوب نظامية
لا تزال بنية التوقيع المتعدد تعاني من مخاطر نقطة فشل مركزية.
نقص المراقبة الفورية للمعاملات الشاذة وآلية التوقف التلقائي
عمق أسباب ثغرات الجسور عبر السلسلة
من خلال التحليل، يمكننا تلخيص مشكلات أمان الجسور عبر السلسلة في عدة عيوب نظامية رئيسية:
عيوب إدارة المفاتيح الخاصة (حوالي 55%) :
يعتمد هيكل التوقيع المتعدد بشكل مفرط على العمليات اليدوية وإدارة المفاتيح المركزية
تخزين مفاتيح خاصة لعقد التحقق في مكان مركزي أو إدارتها من قبل نفس الفريق
تم تعيين حد الانعقاد المتعدد بشكل عام منخفض جداً
نقص آلية فعالة لتدوير المفاتيح
نقص في حماية من هجمات الهندسة الاجتماعية
ثغرات التحقق من العقود الذكية (حوالي 30%):
قد توجد إمكانية لتجاوز منطق التحقق من التوقيع
التحقق من الإدخال غير كافٍ
استخدام الدوال المهجورة أو التي تحتوي على مخاطر معروفة
مخاطر تكامل المكتبات الطرف الثالث
تعقيد بروتوكولات عبر السلاسل يؤدي إلى صعوبة التدقيق الأمني الشامل
خطأ في إدارة التكوين (حوالي 10٪):
خطأ في التكوين خلال عملية ترقية البروتوكول
إعدادات الأذونات غير صحيحة أو لم يتم سحب الأذونات المؤقتة في الوقت المناسب
تعارض تكوين المعلمات الرئيسية
تغطية الاختبار غير كافية
عيوب نظام إثبات التشفير (حوالي 5%):
يوجد عيب دقيق في نظام الإثبات
يجب أن يكون لدى المهاجم فهم عميق للمبادئ الأساسية للتشفير
!
حالة الصناعة والتطور التكنولوجي
الجسور عبر السلسلة الأمني呈现明显的演进趋势:
2022: إجمالي الخسائر حوالي 18.5 مليار دولار، هجوم نقطي كبير وعالي الخسارة
2023: إجمالي الخسائر حوالي 680 مليون دولار، وتنوع أساليب الهجوم، وزيادة في هجمات الهندسة الاجتماعية
2024: إجمالي الخسائر حوالي 240 مليون دولار، هجمات موجهة أكثر سرية ودقة
تستكشف الصناعة حلول تقنية متعددة:
جسور إثبات المعرفة الصفرية: استخدام تقنية ZK-SNARKs/STARKs لتحقيق التحقق بدون ثقة
بنية الحوسبة متعددة الأطراف (MPC): تعزيز الأمان من خلال تخزين مفتاح خاص مقسم وتوقيع موزع
التحقق الرسمي: استخدام الطرق الرياضية لإثبات صحة منطق العقود الذكية
نظام المراقبة في الوقت الحقيقي والتوقف التلقائي: الكشف عن المعاملات الشاذة المدفوع بالذكاء الاصطناعي والاستجابة الطارئة الآلية
الاستنتاج: إعادة تعريف مستقبل أمان عبر السلاسل
تتمثل المشكلة الأساسية التي تواجه الجسور عبر السلسلة في عيوب نموذج الثقة. تعتمد معظم الجسور عبر السلسلة على افتراض "الثقة في عدد قليل من المدققين بعدم الإساءة"، مما يجعلها ضعيفة للغاية أمام الهجمات المنظمة. تزداد التناقضات بين التعقيد والأمان وضوحًا، بينما تتجاوز العوائد المحتملة للمهاجمين بكثير تكاليف الحماية الأمنية.
تتطلب الحلول الحقيقية التوجه من ثلاثة جوانب: التقنية، والحكم، والاقتصاد في نفس الوقت:
الجانب التقني:
استخدام أساليب التشفير لإزالة الاعتماد على الثقة البشرية
ضمان الصحة الرياضية للمنطق البرمجي من خلال التحقق الرسمي
إنشاء نظام حماية متعدد المستويات
الجانب الإداري:
إنشاء معايير أمان وممارسات أفضل موحدة في الصناعة
دفع الهيئات التنظيمية لوضع إطار امتثال مستهدف
تعزيز تبادل المعلومات الأمنية والتعاون عبر المشاريع
الجانب الاقتصادي:
تصميم آلية تحفيز اقتصادي أكثر عقلانية
إنشاء صندوق تأمين وتعويضات على مستوى الصناعة
زيادة تكلفة الهجوم وتقليل عائدات الهجوم
يجب أن يبنى مستقبل الجسور عبر السلسلة على ضمانات تشفيرية "حتى لو حاول جميع المشاركين القيام بأعمال خبيثة، فلن ينجحوا". فقط من خلال إعادة تصميم هيكل أمان عبر السلاسل من الجذور، والتخلص من الاعتماد على الثقة المركزية، يمكن تحقيق التشغيل البيني المتعدد السلاسل بشكل آمن وموثوق. أولئك الذين يمكنهم تقديم حلول عبر السلاسل تتمتع بلامركزية حقيقية وأمان يمكن إثباته رياضيًا، سوف يصبحون منارات تقود الصناعة للخروج من ضباب الأمان.
!
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 12
أعجبني
12
5
إعادة النشر
مشاركة
تعليق
0/400
SelfMadeRuggee
· منذ 10 س
لماذا تلعب عبر السلاسل بعد الآن، لقد خرجت من اللعبة.
28 مليار دولار من الخسائر: تحليل عميق لحادثة أمان الجسور عبر السلسلة وآفاق المستقبل
مراجعة وتحليل أحداث أمان الجسور عبر السلسلة
من عام 2022 إلى 2024، حدثت العديد من الحوادث الأمنية الكبيرة في مجال الجسور عبر السلسلة، حيث تجاوزت الخسائر الإجمالية 2.8 مليار دولار أمريكي. ومن بين الحوادث الأكثر بروزاً:
تظهر هذه الأحداث بوضوح العيوب الأساسية الموجودة في تصميم بنية الأمان للبنية التحتية عبر السلاسل الحالية.
جسر رونين: نموذج لهجمات الهندسة الاجتماعية
في 23 مارس 2022، تعرض جسر Ronin الخاص بـ Axie Infinity لأشد هجوم عبر السلسلة في تاريخ العملات المشفرة. تمكن المهاجمون من سرقة 173,600 ETH و 25.5 مليون USDC من خلال أساليب الهندسة الاجتماعية، بقيمة إجمالية تزيد عن 625 مليون دولار.
تشمل النقاط الرئيسية في عملية الهجوم:
المشاكل الرئيسية التي كشفت عنها هذه الهجمة تشمل:
جسر وورم هول: العواقب المميتة للكود المهمل
في 2 فبراير 2022، تعرض الجسر عبر السلسلة الذي يربط Ethereum وSolana، وهو Wormhole Bridge، لضربة قوية، حيث استخدم المهاجمون دالة قديمة ولكن لم تتم إزالتها في العقد الذكي، وتمكنوا من تجاوز آلية التحقق من التوقيع، مما أدى إلى سك 120,000 رمز wETH غير المدعوم، بقيمة حوالي 320 مليون دولار.
تشمل التفاصيل التقنية للهجوم:
المشكلة الأساسية التي يكشفها الهجوم:
جسر هارموني هورايزون: الانهيار الشامل لمفاتيح التوقيع المتعددة
في 23 يونيو 2022، تعرض جسر هارموني هورايزن لهجوم، مما أسفر عن خسارة 100 مليون دولار. استغل المهاجمون مفتاحي التحقق اللذين حصلوا عليهما لتنفيذ 14 معاملة سحب عبر السلاسل في غضون ساعات.
نقاط الهجوم الرئيسية:
المشكلة الرئيسية المعرضة:
جسر بينانس: العيب القاتل لإثبات ميركل
في 6 أكتوبر 2022، تعرض مركز توكن BSC الخاص بـ Binance للاختراق، مما أدى إلى خسارة حوالي 570 مليون دولار. استغل المهاجمون عيبًا دقيقًا في مكتبة IAVL عند معالجة إثبات Merkle، مما سمح لهم بتزوير إثبات الكتلة.
تفاصيل التقنية للهجوم:
المشكلة المكشوفة:
جسر نوماد: تأثير الفراشة لتكوين جذور الثقة
في 1 أغسطس 2022، تسبب خطأ في التكوين في جسر نوماد في "مشاركة الجميع" في نهب الأموال، مما أدى إلى خسارة قدرها 190 مليون دولار.
نقاط الضعف في الهجوم:
المشاكل المكشوفة:
Orbit Chain: الانهيار النظامي لمفاتيح التوقيع المتعددة
في 1 يناير 2024، تعرضت Orbit Chain للهجوم، مما أدى إلى خسارة قدرها 81.5 مليون دولار. حصل المهاجمون على المفاتيح الخاصة لسبعة من أصل عشرة عقد تحقق، وهو ما يكفي تمامًا للوصول إلى الحد الأدنى المطلوب لتنفيذ أي معاملة.
خصائص الهجوم:
المشكلة المكشوفة:
عمق أسباب ثغرات الجسور عبر السلسلة
من خلال التحليل، يمكننا تلخيص مشكلات أمان الجسور عبر السلسلة في عدة عيوب نظامية رئيسية:
عيوب إدارة المفاتيح الخاصة (حوالي 55%) :
ثغرات التحقق من العقود الذكية (حوالي 30%):
خطأ في إدارة التكوين (حوالي 10٪):
عيوب نظام إثبات التشفير (حوالي 5%):
!
حالة الصناعة والتطور التكنولوجي
الجسور عبر السلسلة الأمني呈现明显的演进趋势:
تستكشف الصناعة حلول تقنية متعددة:
الاستنتاج: إعادة تعريف مستقبل أمان عبر السلاسل
تتمثل المشكلة الأساسية التي تواجه الجسور عبر السلسلة في عيوب نموذج الثقة. تعتمد معظم الجسور عبر السلسلة على افتراض "الثقة في عدد قليل من المدققين بعدم الإساءة"، مما يجعلها ضعيفة للغاية أمام الهجمات المنظمة. تزداد التناقضات بين التعقيد والأمان وضوحًا، بينما تتجاوز العوائد المحتملة للمهاجمين بكثير تكاليف الحماية الأمنية.
تتطلب الحلول الحقيقية التوجه من ثلاثة جوانب: التقنية، والحكم، والاقتصاد في نفس الوقت:
الجانب التقني:
الجانب الإداري:
الجانب الاقتصادي:
يجب أن يبنى مستقبل الجسور عبر السلسلة على ضمانات تشفيرية "حتى لو حاول جميع المشاركين القيام بأعمال خبيثة، فلن ينجحوا". فقط من خلال إعادة تصميم هيكل أمان عبر السلاسل من الجذور، والتخلص من الاعتماد على الثقة المركزية، يمكن تحقيق التشغيل البيني المتعدد السلاسل بشكل آمن وموثوق. أولئك الذين يمكنهم تقديم حلول عبر السلاسل تتمتع بلامركزية حقيقية وأمان يمكن إثباته رياضيًا، سوف يصبحون منارات تقود الصناعة للخروج من ضباب الأمان.
!