وقت القراءة: 5 دقائق
استكشاف الاختراقات التي تؤدي إلى خسائر بملايين الدولارات.
لا تحتاج الجسور المتقاطعة إلى مقدمة. لقد تم استخدامها لفترة من الوقت وهي طريقة رائعة لنقل الأموال من سلسلة إلى أخرى. تساعد الجسور على تحسين تجربتنا في Web3 ، حيث يساعد QuillAudits على تحسين أمان البروتوكولات. نظرًا لأن الجسور تتعامل مع الكثير من الأموال ، فمن المعقول فقط ضمان سلامتها ، وغالبًا ما تكون السلامة هي الأولوية القصوى في مثل هذه البروتوكولات. ومع ذلك ، كان عام 2022 مليئًا بالاختراق عبر السلاسل.
- كانون الثاني (يناير): Qubit - 80 مليون دولار
- فبراير: Wormhole - 375 مليون دولار
- مارس: جسر رونين - 624 مليون دولار
- يونيو: Harmony - 97 مليون دولار
- أغسطس: Nomad Bridge - 190 مليون دولار
ماذا حدث؟
دعنا نتحدث بشكل فردي عن كل اختراق عبر السلاسل المذكورة أعلاه لمعرفة الخطأ الذي حدث معهم وتثقيف أنفسنا لاتخاذ قرارات أفضل.
و qubit
في 27 يناير 2022 ، Qubit ، مثال على a
”data-gt-translate-attributes =” [{"attribute": "data-cmtooltip"، "format": "html"}] ”> cross-chain bridge ، تم اختراقه. كانت سلسلة المعاملات على النحو التالي ، بعد الحصول على 77,162 qxETH من خلال استغلال ، استخدمها المهاجم لاقتراض 15,688 BTC ثم تحويلها إلى 767 BTC-B ثم استخدام هذه الأموال للحصول على عملات مستقرة ووضعها في بعض البروتوكولات. أدى هذا كله إلى خسارة 80 مليون دولار من إجمالي القيمة.
والمثير للدهشة أن هذا الاستغلال نتج عن خطأ منطقي في كيبيت للتمويل شفرة. سمح هذا الخلل للمهاجمين بإرسال مدخلات ضارة إلى وظائف العقد مما أدى إلى سحب الرموز المميزة على BSC بينما لم يتم إجراء أي إيداع على Ethereum.
كود عقد كيبيت
في جوهر هذه الثغرة الأمنية المستغلة كانت الوظيفة tokenAddress.safeTransferFrom () في كود Qubit Finance ، أدرك المهاجم أن هذه الوظيفة لا تعود عندما يكون tokenAddress فارغًا.
الثقب
خسر الثقب الدودي ، وهو أحد الجسور الشهيرة التي تسهل المعاملات عبر السلسلة التي تربط بلوكشين سولانا وإيثريوم ، حوالي 320 مليون دولار ، ليحتل المرتبة الثانية بعد جسر رونين (المزيد حول هذا لاحقًا) في عام 2022.
في 2 فبراير 2022 ، حاول المهاجم تجاوز عملية التحقق من جسر Wormhole على Solana. تجاوز المهاجم خطوة التحقق ونجح في حقن حساب sysvar مزيف وسك على نحو مشهور 120,000 منه. أعلنت تغريدة في الثالث من فبراير عن استغلال بقيمة 3 مليون دولار في البروتوكول الخاص بهم. لوضع غرزة على الموقف ، أعلنت الشركة الأم لـ Wormhole عن توريد الأثير ليحل محل ما سُرق بعد عدم الحصول على رد مقابل تعويض قدره 320 ملايين دولار مقابل الأموال المسروقة للمهاجم.
ستندهش من معرفة أن كل هذا كان ممكنًا بسبب وظيفة واحدة فقط مهملة. نعم !! ، جذر هذا الاستغلال هو وظيفة مهملة "load_current_index" تحت عنوان "التحقق من التوقيعات" ، والتي تتعامل مع عملية التحقق. كانت المشكلة مع الوظيفة المهملة "load_current_index" أنها لم تتحقق من أصالة "حساب sysvar" المُدخَل ليكون في الواقع "نظام sysvar" مما خلق مساحة للمهاجم ليستغلها.
مصدر:- لينك
جسر رونين
اختراق خفي لم يتم ملاحظته حتى خلال الأيام الستة التالية حتى قام المستخدم بإخطار الفريق بعدم القدرة على سحب حوالي 6k ETH من الجسر ، مما أدى إلى الكشف عن الأموال المسروقة.
يُزعم أن هذا الاختراق هو هجوم شنته مجموعة Lazarus Group في كوريا الشمالية وأسفر عن خسارة حوالي 600 مليون دولار. كان هذا اختراقًا استنادًا إلى اختراق المفاتيح الخاصة لعقد المدقق مع هجمات التصيد بالرمح باعتبارها السبب الرئيسي للاستغلال.
تستخدم شبكة رونين مجموعة من تسع عقد مصادقة للموافقة على معاملة على الجسر ، ويحتاج الإيداع أو السحب إلى موافقة الأغلبية ، أي خمسة من هذه العقد. في نوفمبر 2021 ، سمحت Axie DAO مؤقتًا لشركة Sky Mavis بتوقيع المعاملات نيابة عنها ، لكن خمن ماذا؟ لم يتم إلغاء البدل.
هذا يعني أنه لا يزال بإمكان Sky Mavis إنشاء توقيعات. استفاد المهاجم من هذا وقام أولاً بخرق أنظمة Sky Mavis واستغل هذه التوقيعات لإنشاء توقيع من جهة التحقق من الطرف الثالث التي تتحكم فيها Axie DAO. باختصار ، من خلال الوصول إلى أنظمة Sky Mavis ، يمكن للمهاجم إنشاء توقيعات صالحة لخمسة مدققين في شبكة ronin ثم استنزاف الأموال بنجاح.
الانسجام
في 23 يونيو 2022 ، تم اختراق جسر Harmony ، وتم تسجيل العديد من الرموز المميزة على الجسر ، بما في ذلك ETH و WETH و WBTC و USDT و USDC وما إلى ذلك. -سلسلة الإختراق مشابه لـ Ronin.
لإجراء معاملة ، سيحتاج المستخدم على الأقل 2 من أصل 5 MultiSig ، مما يعني أنه يلزم مفتاحين من إجمالي 2 مفاتيح للتحقق من صحة المعاملة. لكن المهاجمين اخترقوا مفتاحين لاستنزاف الأموال. كان هذا كله ممكنًا لأن المهاجمين تمكنوا من الوصول إلى عدد كافٍ من هذه المفاتيح وفك تشفيرها.
جسر البدوي
كان الأول من أغسطس 1 عندما واجهت Nomad Bridged استغلالًا أدى إلى خسارة 2022 مليون دولار. كانت
”data-gt-translate-attributes =” [{"attribute": "data-cmtooltip"، "format": "html"}] ”> جسر عبر السلاسل بين Ethereum و Moonbeam و Avalanche و Evmos و Mikomeda.
بالوقوف في المركز الثالث بخسارة 190 مليون دولار ، تعرض الجسر للخطر بسبب ثغرة أمنية في عملية التهيئة ، مما سمح للمهاجمين بتجاوز عملية التحقق واستنزاف الأموال من عقد الجسر.
يمكن للمهاجم مباشرة استدعاء وظيفة "process ()" ، والتي تأخذ المعلمة "_message". تمكن المهاجم الذي أرسل "رسالة" عشوائية من تجاوز التحقق. في وقت لاحق ، كان على العقد التأكد من أن تجزئة الرسالة قد تم إثباتها باستخدام وظيفة AcceptRoot (). ثم يتلخص كل شيء في وظيفة "أثبت ()" ، والتي لها بيان مطلوب يجب الوفاء به. يمكن للمهاجم تنفيذ الهجوم بنجاح لمجرد أن الصفر كجذر مؤكد صالح يمكن أن يتجاوز الفحص المطلوب.
وفي الختام
من خلال إحصائيات عام 2022 ، من الواضح أن الجسور كانت هدفًا مما أدى إلى خسائر تقدر بالملايين. استحوذت الثغرات الخمس على البروتوكولات عبر السلسلة على حوالي 5٪ من إجمالي Web56. على الرغم من كونها واحدة من أكثر الأدوات فائدة ، إلا أن أمن الجسور غير موجود ووقع ضحية للهجمات.
من المحتمل أن نشهد المزيد من مثل هذه الهجمات على الجسور قريبًا. في ظل هذه الظروف ، من الأهمية بمكان أن تقوم الجسور بتأمين نفسها ومستخدميها. في المدونة القادمة ، سنعود بمبادئ توجيهية للتدقيق لمساعدتك على فهم عدد قليل من الفحوصات الحاسمة التي نحتاجها لضمان سلامة البروتوكول.
في غضون ذلك ، تذكر أنه لا يوجد بديل عن الذهاب إلى التدقيق. من خلال التدقيق ، يمكنك التأكد من الأمان. ليس ذلك فحسب ، سيتردد المستخدمون في الوثوق بالبروتوكول. الحصول على المراجعة في صالح الجميع ، لذا قم بتدقيق مشروعك وساعد في تنفيذه Web3 مكان أكثر أمانًا. ومن أفضل للتدقيق من QuillAudits؟ قم بزيارة موقعنا الإلكتروني اليوم وتحقق من المزيد من هذه المدونات.
23 المشاهدات
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
- المصدر https://blog.quillhash.com/2023/03/23/part-1-bridging-the-blockchain-a-deep-dive-into-cross-chain-hacks-and-failures/
- :يكون
- 10 مليون دولار
- 000
- 1
- 2021
- 2022
- المرتبة الرابعة
- 77
- a
- ماهرون
- من نحن
- فوق
- الوصول
- حسابي
- تحقق
- في الواقع
- مميزات
- بعد
- الكل
- مزعوم
- السماح
- البديل
- و
- أعلن
- آخر
- موافقة
- الموافقة على
- هي
- حول
- AS
- At
- مهاجمة
- الهجمات
- حاول
- التدقيق
- دققنا
- أغسطس
- انهيار
- جائزة
- Axie
- الى الخلف
- على أساس
- BE
- لان
- يجري
- أفضل
- ما بين
- سلسلة كتلة
- blockchains
- المدونة
- المدونة
- الاقتراض
- BRIDGE
- جسر
- الجسور
- سد
- BSC
- by
- دعوة
- CAN
- سبب
- سلسلة
- التحقق
- الشيكات
- ظروف
- واضح
- الكود
- حول الشركة
- تسوية
- تم تأكيد
- عقد
- ذو شاهد
- تحول
- جوهر
- استطاع
- خلق
- عبر
- عبر سلسلة
- حاسم
- DAO
- أيام
- صفقة
- المخصصة
- القرارات
- فك تشفير
- عميق
- غوص عميق
- الايداع
- على الرغم من
- افضل الرحلات السياحية
- فعل
- مباشرة
- لا
- إلى أسفل
- كل
- تثقيف
- ضمان
- معادل
- خطأ
- إلخ
- ETH
- الأثير
- ethereum
- حتى
- كل شخص
- evmos
- مثال
- تنفيذ
- الخبره في مجال الغطس
- استغلال
- استغلال
- استغلال
- مآثر
- واجه
- تيسير
- زائف
- هبوط
- فبراير
- قليل
- الاسم الأول
- عيب
- متابعات
- في حالة
- تبدأ من
- بالإضافة إلى
- وظيفة
- وظائف
- أموال
- توليد
- دولار فقط واحصل على خصم XNUMX% على جميع
- الحصول على
- الذهاب
- تجمع
- الإختراق
- اخترق
- الخارقة
- حدث
- الانسجام
- مزيج
- يملك
- مساعدة
- يساعد
- عقد
- HTTPS
- أهمية
- in
- عجز
- بما فيه
- بشكل فردي
- البنية التحتية
- المُقدّمة
- قضية
- IT
- انها
- يناير
- مفاتيح
- علم
- الكوريّة
- لازاروس
- مجموعة لازاروس
- قيادة
- تعلم
- ليد
- على الأرجح
- ربط
- منطقي
- خسارة
- خسائر
- الكثير
- صنع
- الرئيسية
- أغلبية
- جعل
- ماكس العرض
- يعني
- المذكورة
- الرسالة
- مليون
- ملايين
- سكت
- سك
- مال
- شعاع القمر
- الأكثر من ذلك
- أكثر
- خطوة
- Multisig
- حاجة
- إحتياجات
- شبكة
- التالي
- العقد
- نوماد
- شمال
- نوفمبر
- نوفمبر 2021
- عدد
- of
- on
- ONE
- المعلمة
- الشركة الأم
- جزء
- التصيد
- هجمات التصيد
- المكان
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- الرائج
- ان يرتفع المركز
- ممكن
- الأولوية
- خاص
- مفاتيح خاصة
- عملية المعالجة
- تنفيذ المشاريع
- بروتوكول
- البروتوكولات
- ثبت
- ويوفر
- وضع
- و qubit
- كويلهاش
- معقول
- سجل
- تذكر
- يحل محل
- مطلوب
- استجابة
- مما أدى
- عائد أعلى
- العودة
- رونين
- شبكة رونين
- غرفة
- جذر
- أكثر أمانا
- السلامة
- الثاني
- تأمين
- أمن
- مسلسلات
- طقم
- قصير
- إشارة
- التوقيعات
- مماثل
- حالة
- سماء
- مافيس السماء
- سمارت
- عقد الذكية
- So
- الاستلقاء تحت أشعة الشمس
- بعض
- مصدر
- الرمح التصيد
- Stablecoins
- ملخص الحساب
- الإحصائيات
- خطوة
- لا يزال
- مسروق
- الأموال المسروقة
- بنجاح
- هذه
- كاف
- تزويد
- مندهش
- أنظمة
- حديث
- الهدف
- فريق
- أن
- •
- المصدر
- من مشاركة
- منهم
- أنفسهم
- تشبه
- الثالث
- طرف ثالث
- عبر
- الوقت
- إلى
- اليوم
- الرموز
- أدوات
- تيشرت
- الإجمالي
- صفقة
- المعاملات
- تحويل
- الثقة
- سقسقة
- مع
- فهم
- فتح
- المقبلة
- USDC
- USDT
- مستخدم
- المستخدمين
- التحقق من صحة
- المصادقة
- عقد المدقق
- المصادقون
- قيمنا
- مختلف
- التحقق
- تحقق من
- ضحية
- قم بزيارتنا
- الضعف
- طريق..
- WBTC
- Web3
- الموقع الإلكتروني
- مع
- ابحث عن
- التي
- في حين
- من الذى
- كامل
- سوف
- مع
- سحب
- عملية سحب
- الثقب
- قيمة
- سوف
- خاطئ
- أنت
- حل متجر العقارات الشامل الخاص بك في جورجيا
- زفيرنت
- صفر