أكبر ثغرات DeFi في Web3: كيفية منع الاختراقات الأمنية المماثلة

تُقدّم بروتوكولات التمويل اللامركزي (DeFi) خدمات مالية لامركزية للمستخدمين، مما يُتيح لهم إجراء المعاملات وإبرام الاتفاقيات مع المشاركين الآخرين. وبينما تهدف DeFi البروتوكولات إلى توفير منصة آمنة وموثوقة، فقد تسبّبت العديد من الثغرات الأمنية خلال السنوات القليلة الماضية في خسائر مالية كبيرة. ستتناول هذه المقالة بعضًا من أبرز الثغرات DeFi التي ظهرت مؤخرًا في مجال التمويل اللامركزي.

فيما يلي أبرز 8 ثغرات أمنية DeFi اللامركزي للعملات المشفرة على منصة Web3 بعد خصم الأموال المستردة:

سلسلة رونين – 600 مليون دولار

كان شهر مارس 2023 شهراً حافلاً بالأحداث بالنسبة لمجال العملات المشفرة، حيث تصدرت عملية اختراق جسر Axie Infinity Ronin القائمة بقيمة 612 مليون دولار.

جسر رونين هو سلسلة جانبية Ethereum تُستخدم في لعبة Axie Infinity الشهيرة التي تعتمد على اللعب من أجل الربح.

تمكنت مجموعة لازاروس للجرائم الإلكترونية، المشتبه في ارتباطها بكوريا الشمالية، من الوصول إلى المفاتيح الخاصة لتسعة مدققي معاملات، مما سمح لها بالموافقة على معاملتين كبيرتين ونقل الأموال من محفظة عملاتهم. ولحسن الحظ، ساهم تعاون بين السلطات وشركات الأمن ومنصات تداول العملات الرقمية في tracبعض هذه الأموال بعد أن قام المخترقون بتحويلها إلى منصة تورنادو cash - وهي منصة مفتوحة المصدر لخلط العملات الرقمية - ومنصات تداول أخرى.

جسر الثقب الدودي – 323 مليون دولار

في فبراير 2022، وقعdent مؤسف حيث استغل قراصنة العملات المشفرة رمز ثقب دودي للهروب بعملات مشفرة بقيمة 326 مليون دولار.

الثقب الدودي هو جسر رمزي بين Solana Ethereum، والذي فشل للأسف في منع الهجوم. وقد تم ذلك بفضل وظيفة مهملة/غير آمنة تجاوزت التحقق من التوقيع ومكّنت سلسلة تفويض التوقيعات.

يرى خبراء الأمن السيبراني أن المطورين كان بإمكانهم منع الهجوم لو اتبعوا ممارسات البرمجة الآمنة، والتي تتضمن التحقق من جميع المعايير. كان من شأن هذا التحقق ضمان صحة العناوين، وبالتالي منع وصول جهات غير مشروعة إلى الأصول على الشبكة.

فيلم "بينستالك" – 181 مليون دولار

في عطلة نهاية أسبوع مشؤومة في أبريل 2022، شنّ أحد المخترقين هجومًا هزّ مجتمع العملات الرقمية. باستخدام قرض سريع - وهي ميزة من ميزات بروتوكولات التمويل اللامركزي (DeFi) - تمكّن من سرقة 182 مليون دولار من عملة الإيثيريوم (ETH) وعملة BEAN المستقرة وأصول أخرى من بروتوكول Beanstalk للعملات المستقرة.

قدّم المخترقون اقتراحين خبيثين إلى منظمة Beanstalk DAO عبر خاصية الالتزام الطارئ، التي تتطلب موافقة ثلثي الأعضاء قبل التنفيذ بعد مرور 24 ساعة. استخدم المهاجمون تقنية الإقراض السريع للسيطرة على 79% من الرموز المميزة لتمرير كلا الاقتراحين وتنفيذ خطتهم بنجاح.

تم تحويل الأموال من داخل البروتوكول لسداد القرض السريع، بينما وُجّه المبلغ المتبقي إلى عنوان مرتبط بصندوق طوارئ مقره أوكرانيا. وبلغ إجمالي ما استولى عليه الشخص المسؤول عن هذا العمل الجريء 76 مليون دولار.

نوماد – 155 مليون دولار

تصدرت عملية اختراق جسر نوماد المحيرة عناوين الأخبار عندما حدثت في الأول من أغسطس 2022. وقد صدمت العديد من المتحمسين لتقنية البلوك تشين حيث استغل المهاجمون ثغرة أمنية لسحب أكثر من 190 مليون دولار من الأصول القائمة على Ethereumوالمخزنة في الجسر المتقاطع متعدد السلاسل.

تحرك المخترقون بسرعة وعنف، حيث شاركت مئات المحافظ في 960 معاملة أسفرت عن 1175 عملية سحب فردية من إجمالي القيمة المقفلة ( TVL ) للجسر . كل ذلك في غضون ساعات.

كان أحد الجوانب المحيرة في هذا الاختراق هو أن كل ما كان على المستخدمين فعله لاختراق أموال الجسر هو نسخ بيانات مكالمة المعاملة الأصلية للمخترق ولصقها، واستبدال العنوان الأصلي بعنوان شخصي، وستكتمل المعاملة.

أحدثت عملية الاختراق صدمةً في أوساط مجتمع التمويل اللامركزي (DeFi)، مُثبتةً أن المخترقين يتفوقون بخطوة في استغلال الثغرات البرمجية. ويُقدّم جسر نوماد مثالاً توضيحياً يُبيّن أهمية ممارسات البرمجة الآمنة، ويُؤكد على أن الأمن لا يزال يُمثّل تحدياً مستمراً لمشاريع البلوك تشين حتى اليوم.

شركة كريم للتمويل – 130.8 مليون دولار

رغم أن الهجوم على شركة CREAM في أكتوبر 2021 كان من أكبر عمليات السطو على القروض السريعة، إلا أنه لم يكنdentمعزولًا. تتضمن هجمات القروض السريعة استخدام "قرض سريع" للسيولة، والاقتراض، والتخلف عن سداد هذا التمويل السريع، كل ذلك ضمن معاملة واحدة.

باستغلال أخطاء حساب الأسعار، يستطيع المخترقون تحقيق أرباح سريعة من عمليات الاقتراض. على سبيل المثال، في حالة عملة CREAM، تفاعل عنوانان مختلفان مع منصة yUSDVault الخاصة بها لإصدار عدد كبير من رموز crYUSD. استغلوا ثغرة أمنية من شأنها مضاعفة قيمة هذه الأسهم. ورغم نجاحهم في تأمين ما قيمته 130 مليون دولار، إلا أن الضمانات المتاحة التي تبلغ قيمتها مليار دولار تقريبًا قد تستنزف مبالغ أكبر بكثير. 

أصبحت هجمات القروض السريعة منتشرة بشكل متزايد، وينبغي على المجتمع أن يطرح أسئلة حول كيفية منع المزيد من الاختراقات الأمنية في المستقبل.

مركز رموز BSC – 127 مليون دولار

في أكتوبر 2022، استغل المتسللون ثغرة أمنية خطيرة في كود الجسر المتقاطع BSC Beacon واستولوا على أصول مشفرة بقيمة إجمالية قدرها 570 مليون دولار.

سلسلة BSc Beacon، والمعروفة أيضًا باسم Token Hub، هي جسر بين السلاسل يربط سلسلة BNB Beacon (BEP2) وسلسلة BNB (BEP20/BSC).

قام المخترق بتزوير أدلة تشفيرية تُعرف باسم أدلة ميركل، والتي تهدف إلى تأكيد صحة البيانات مثل المعاملات. ثم استخدم هذه الأدلة المزيفة لتحويل الأموال من جسر BSC Beacon إلى سلاسل أخرى.

بمجرد أن قامت شركة Tether بإدراج عنوان المهاجمين في القائمة السوداء، تم اتخاذ إجراء سريع حيث تم تجميد أكثر من 7 ملايين دولار تم تحويلها من سلسلة BNB ، ومصادرة معظم أموالهم المكتسبة بطرق غير مشروعة.

هارموني هورايزون – 100 مليون دولار

في يونيو 2022، تعرض مشروع جسر هارموني هورايزون للاختراق عندما سرق المتسللون اثنين من مفاتيح التحقق الخاصة الخمسة، مما سمح للمحتالين بتحويل ما قيمته 100 مليون دولار من الرموز.

يعود سبب هذه المشكلة الأمنية إلى طريقة إعداد الجسر، حيث اعتمد نظام التحقق على 2 من 5. ونتيجةً لذلك، لم يكن المهاجم بحاجة إلا إلى موافقتين لإتمام أي معاملة خبيثة. ولإخفاء trac، استخدم المهاجمون برنامج تورنادو Cash لغسل بعض مكاسبهم غير المشروعة. 

على الرغم من أن هذا الإعداد قد يبدو آمناً في البداية، إلا أنه أثبت أنه هدف مربح للجهات الفاعلة السيئة ودرس مكلف في أمان البلوك تشين لأولئك الذين تم القبض عليهم.

ناري - 91 مليون دولار

لقد كانت هجمات إعادة الدخول موجودة منذ الأيام الأولى Ethereum. وقد استغلت هذه الهجمات ثغراتtracلسحب الأموال بشكل متكرر قبل الموافقة على المعاملة الأصلية أو رفضها.

في مايو 2022، تعرضت منصتان للتمويل اللامركزي للاختراق بهذه الطريقة، حيث سرق المخترقون 90 مليون دولار. صرّح جاك لونغارزو، من شركة راري كابيتال، بأن المهاجم استغل ثغرة في الشركة، وأن شركة فاي بروتوكول، التي اندمجت مع راري كابيتال، عرضت على المخترق مكافأة قدرها 10 ملايين دولار.

أوضحت شركة BlockSec المتخصصة في أمن تقنية البلوك تشين أن المتسللين استخدموا ثغرة أمنية تتعلق بإعادة الدخول. 

يمكن للمطورين منع هذه الأنواع من الهجمات عن طريق اختبار العقودtracبشكل صحيح قبل نشرها على سلسلة كتل Ethereum .

كيفية حماية نفسك من استغلالات التمويل DeFi

أصبحت بروتوكولات DeFi شائعة ومعقدة بشكل متزايد، مما يجعلها هدفًاtracللمخترقين. فيما يلي سبع نصائح لمساعدتك على حماية نفسك من ثغرات التمويل DeFi :

1. قم بإجراء دراسة شاملة لأي مشروع قبل الاستثمار فيه. تحقق من كود المنصة وموقعها الإلكتروني وأعضاء فريقها وقنوات التواصل الاجتماعي الخاصة بها بحثًا عن أي مؤشرات سلبية.
2. تأكد من أن جهة موثوقة تقوم بمراجعةtracالتي تتعامل معها وأن نتائج المراجعة متاحة للجمهور.
3. لا تقم بتخزين مبالغ كبيرة من الأموال في عقد واحد منtracDeFi ، مما يجعله أكثر عرضة للهجوم.
4. ابقَ على اطلاع دائم بآخر أخبار الأمن لتتعرف على الثغرات الأمنية الجديدة.
5. قم بتطبيق إجراءات المصادقة والتفويض المناسبة لجميع الحسابات التي تتفاعل مع بروتوكولات التمويل DeFi .
6. تأكد من أن محفظتك آمنة، واستخدم المصادقة الثنائية كلما أمكن ذلك.
7. راقب أموالك ومعاملاتك بانتظام على سلسلة الكتل لاكتشاف أي نشاط مشبوه أو عمليات سحب غير مصرح بها.

اتباع هذه النصائح سيساعدك على حماية أموالك من ثغرات التمويل DeFi وضمان سلامتها عند التعامل مع بروتوكولات التمويل اللامركزي. مع ذلك، من المهم أيضًا تذكر أن أي نظام ليس معصومًا من الخطأ، لذا يُنصح دائمًا بتوخي الحذر الشديد عند التعامل مع الأصول الرقمية.

خاتمة

بشكل عام، يُعدّ الأمن أحد أهم الاعتبارات عند التعامل مع العملات المشفرة وبروتوكولات DeFi . مع الأسف، مع استمرار نمو هذا القطاع، تتزايد مخاطر الأنشطة الخبيثة. ورغم استحالة ضمان الأمان التام، إلا أن اتباع هذه النصائح يُمكن أن يُساعدك على حماية نفسك من ثغرات DeFi والحفاظ على أموالك آمنة. 

من خلال مواكبة أحدث التطورات في مجال أمن البلوك تشين وضمان وجود إجراءات مصادقة مناسبة لجميع الحسابات، يمكنك المساعدة في ضمان بقاء أصولك الرقمية آمنة.