وفقًا لشركة التحليلات على السلسلة ، Chainalysis ، بلغ حجم المعاملات الإجرامية للعملات المشفرة في عام 2021 ذروته عند أعلى مستوى جديد على الإطلاق - 14 مليار دولار. ومع ذلك ، على الرغم من الزيادة في حجم التحويلات الجنائية ، كانت حصتها النسبية من حجم معاملات العملة المشفرة بالكامل لعام 2021 هي الأدنى على الإطلاق. تُظهر هذه الإحصائيات أن التوسع في مجال العملات المشفرة يفوق بكثير الجرائم الإلكترونية المرتبطة بالعملات المشفرة ، كما يُظهر أن الأمن في الصناعة يلحق أيضًا بالطلب.
الهجمات الإلكترونية الأكثر ربحًا في عام 2021
على الرغم من وجود انخفاض في حصة حجم المعاملات المرتبطة بالجريمة في مساحة العملات المشفرة في عام 2021 ، كانت هناك عدة حالات أثارت بعض الدهشة. هنا سوف أتناول بعضًا من أكثرها جذبًا للأنظار.
1. شبكة بولي - 611 مليون دولار
حدث اختراق Poly Network في 10 أغسطس 2021 وأدى إلى سرقة ما قيمته 611 مليون دولار من الأصول الرقمية على ثلاث سلاسل من الكتل: Ethereum و BSC و Polygon. كانت التفاصيل الواضحة هي أن المخترق أعاد المبلغ الكامل الذي سرقه ، موضحًا تحركه كمحاولة للإشارة إلى نقاط الضعف في بروتوكول شبكة Poly التي لا تسعى إلى الربح.
شبكة Poly Network هي شبكة عبر سلسلة تتيح للمستخدمين أداء عمليات عبر blockchain بطريقة لامركزية. على سبيل المثال ، تحويل الأموال من blockchain إلى آخر. للقيام بذلك ، يلزم وجود قدر كبير من السيولة في البروتوكول. في شبكة Poly ، يتم التحكم في هذه السيولة من خلال عقود ذكية خاصة.
العقود التي تم استغلالها هي EthCrossChainManager و EthCrossChainData. تعود ملكية EthCrossChainData إلى EthCrossChainManager وتخزن قائمة بالمفاتيح العامة التي يمكنها التحكم في هذه السيولة (أمناء).
استغل المهاجم ثغرة أمنية في عقد EthCrossChainManager ويمكنه خداعها لاستبدال حراس العقد بأولئك المهاجمين. ثم قام المهاجم بسحب السيولة من بروتوكول Poly Network ، بعد أن اكتسب السيطرة الكاملة على عمليات البروتوكول.
2. Bitmart - 196 مليون دولار
في 4 ديسمبر 2021 ، تعرضت منصة Bitmart المركزية لتبادل العملات المشفرة للهجوم ، حيث تمت سرقة أصول مشفرة بقيمة 200 مليون دولار من محفظتها الساخنة. سرق المهاجمون المفاتيح الخاصة لمحافظ التبادل الساخنة.
ادعى تبادل Bitmart ذلك لقد خسرت 150 مليون دولار، لكن شركة Peckshield للأمن السيبراني blockchain خرجت لاحقًا بـ مطالبة أن 196 مليون دولار قد سُرقت من بلوكتشين Ethereum و Binance Smart Chain في أكثر من 20 عملة مشفرة ورمزًا مميزًا. كما أظهروا في الرسومات المسار الذي سلكته الأصول المسروقة باستثناء الوجهة النهائية. أولاً ، قام المهاجم بتبديل الأصول المسروقة بـ Ether باستخدام مجمع DEX 1 بوصة ثم غسل الأثير باستخدام خالط الخصوصية Tornado Cash. بعد ذلك يصبح التتبع فارغًا.
أظهر هذا الهجوم الإلكتروني مرة أخرى ضعف تخزين المفاتيح الخاصة لعناوين متعددة بمبالغ ضخمة على خادم واحد. كشف هذا عن كل محافظ الصرف الساخنة في وقت واحد.
3. كريم التمويل - 130 مليون دولار
في هجوم Cream Finance الإلكتروني الذي وقع في ديسمبر 2021 ، استخدم متسلل أو اثنان من المتسللين بروتوكولات متعددة - MakerDAO و AAVE و Curve و Yearn.finance - لسرقة من Cream Finance بقيمة 130 مليون دولار من الرموز والعملات المشفرة.
تشير الأدلة إلى أنه ربما كان هناك مهاجمان ، سأفترض ذلك. كان هناك عنوانان مستخدمان في الهجوم: العنوان أ والعنوان ب. العنوان الأول أ اقرضت 500 مليون دولار من DAI من MakerDAO ، وبعد أن سحبت تلك السيولة من خلال Curve and Year.finance ، استخدمتها لصك 500 مليون دولار أمريكي على كريم التمويل . في الوقت نفسه ، أدى العنوان A إلى زيادة السيولة في yUSD Vault الخاص بـ Yearn.finance إلى 511 مليون yUSDTVault.
ثم اقترض العنوان B flash 2 مليار دولار في Ether من AAVE ، وسك بقيمة 2 مليار دولار من cEther عن طريق إيداع 2 مليار دولار من ETH المقترض في Cream. ثم استخدم العنوان B لإخراج 1 مليار yUSDVault واستردادها مقابل 1 مليار دولار أمريكي وتحويلها إلى العنوان A. وبالتالي ، حصل العنوان A على 1.5 مليار دولار أمريكي.
بعد هذا العنوان ، اشترى A 3 ملايين دولار أمريكي من Curve واستردهم جميعًا مقابل yUSDVault ، وبالتالي حصل على 503 مليون دولار أمريكي USDVault على رصيده. ثم قم بالعنوان A الذي تم استرداده بقيمة 503 مليون yUSDVault للرمز المميز الأساسي لـ yUSD ورفع إجمالي المعروض من yUSDVault إلى 8 ملايين.
ثم قم بتحويل 8 ملايين ين ياباني إلى خزنة Yearn.finance وضاعف تقييم الخزنة بعنوان "أ". هذا جعل PriceOracleProxy من Cream ضعف تقييم cryUSD لأنه يحدد سعر cryUSD على أساس (تقييم yUSD Yearn Vault) / (إجمالي المعروض من yUSDVault) ، أي 16 مليون دولار / 8 مليون دولار أمريكي Vault. لذلك ، أدرك كريم أن العنوان A لديه 3 مليارات دولار في cryUSD.
هذا الخطأ كلف كريم التمويل في النهاية. كان المتسللون قادرين على إعادة القرض العاجل بالسيولة الزائدة التي أنتجوها وجيب السيولة بالكامل (130 مليون دولار) التي تم حجزها في كريم التمويل باستخدام مليار دولار أمريكي في الصرخة التي حصلوا عليها.
أشهر أنواع الهجمات عام 2021
عند الحديث عن الهجمات على العقود الذكية ، كان النوع الأكثر شيوعًا من الهجمات هو هجوم القرض السريع مثل الهجوم الموصوف أعلاه. وفق تشفير بلوك، من بين 70 هجومًا من DeFi في عام 2021 ، استخدمت 34 قروضًا سريعة ، وكانت سرقة كريم التمويل في ديسمبر هي الذروة من حيث المبلغ المسروق. السمة الجوهرية لهذه الهجمات هي استخدام بروتوكولات متعددة. قد تكون آمنة بمفردها ، ولكن عندما يتعلق الأمر باستخدام سلسلة منها ، يمكن العثور على نقاط الضعف.
هناك نوع آخر من الهجمات على العقود الذكية التي يمكن تصنيفها على أنها هجوم DeFi كلاسيكي وهو هجوم العودة. يمكن أن يحدث هجوم إعادة الدخول إذا لم تقم الوظيفة التي تستدعي عقدًا خارجيًا بتحديث رصيد العنوان قبل إجراء مكالمة أخرى لهذا العقد. في هذه الحالة ، يمكن للعقد الخارجي سحب الأموال بشكل متكرر لأن رصيد العنوان في العقد المستهدف لا يتم تحديثه بعد كل عملية سحب. ويمكن أن تستمر هذه المكالمات المتكررة حتى ينضب رصيد العقد.
والنوع الثالث الشائع من الهجمات في عام 2021 كان الهجمات على التبادلات المركزية عن طريق سرقة المفتاح الخاص للمحفظة الساخنة للتبادلات. هذه طريقة قديمة جدًا للهجمات الإلكترونية في تاريخ العملات المشفرة ، لكنها لم تصبح قديمة جدًا.
كيف تحمي أموالك في مجال العملات المشفرة؟
عندما يتعلق الأمر بأموال مستخدم فردي ، فمن الجيد القيام بالعناية الواجبة للمنصة التي تريد إيداع أموالك فيها: انظر إلى الموقع ، وانظر إلى مواقع التواصل الاجتماعي لأعضاء الفريق ، وألق نظرة على الورقة البيضاء و المراجعة الفنية. أيضًا ، سيكون من الجيد استخدام الوظائف في محافظ العملات المشفرة التي تسمح بإدراج العقود التي يستخدمها المستخدم بانتظام في القائمة البيضاء ، فهي موجودة في محفظة Metamask وفي الخدمات المخصصة عبر الإنترنت للعملات المشفرة الآمنة التي تحافظ على Unrekt و Debank. إذا تمت الموافقة على النقل إلى عقد غير مألوف ، فسوف يسلطون الضوء على هذا العقد.
عندما يتعلق الأمر بسلامة بروتوكول DeFi ، فمن الجيد استخدام قاعدة كود مشاريع أخرى مجربة ومختبرة. لكن لا يزال يتعين على المؤسس الموافقة على تدقيق تقني واحد على الأقل للعقود الذكية للمشروع. هذا مهم بشكل خاص مع البروتوكولات المنشورة على سلاسل الكتل المتعددة والتفاعل مع البروتوكولات الأخرى. تتطلب تدقيقا صارما بشكل خاص أثناء عمليات التدقيق.
G
uest post by Gleb Zykov من HashEx
بدأ جليب مسيرته المهنية في تطوير البرمجيات في معهد أبحاث ، حيث اكتسب خلفية تقنية وبرمجية قوية ، حيث طور أنواعًا مختلفة من الروبوتات لوزارة حالات الطوارئ الروسية.
لاحقًا ، نقل جليب خبرته التقنية إلى شركة خدمات تكنولوجيا المعلومات GTC-Soft ، حيث صمم تطبيقات Android. انتقل ليصبح المطور الرئيسي وبعد ذلك ، مدير التكنولوجيا في الشركة. في GTC ، قاد جليب تطوير العديد من خدمات مراقبة المركبات وخدمة شبيهة بأوبر لسيارات الأجرة المتميزة. في عام 2017 ، أصبح Gleb أحد مؤسسي HashEx - شركة استشارات وتدقيق دولية على مستوى blockchain. يشغل جليب منصب الرئيس التنفيذي للتكنولوجيا ، حيث يقود تطوير حلول blockchain وتدقيق العقود الذكية لعملاء الشركة.
النشرة الإخبارية CryptoSlate
يضم ملخصًا لأهم القصص اليومية في عالم التشفير و DeFi و NFTs والمزيد.
الحصول على حافة في سوق الأصول المشفرة
يمكنك الوصول إلى المزيد من رؤى وسياقات التشفير في كل مقالة بصفتك عضوًا مدفوع الأجر في CryptoSlate الحافة.
تحليل على السلسلة
لقطات الأسعار
المزيد من السياق
المصدر: https://cryptoslate.com/the-biggest-security-breaches-of-2021/
