وقت القراءة: 6 دقائق
مع استمرار إطلاق blockchain الأحدث ، أصبحت الجسور عبر السلاسل لا غنى عنها أكثر من أي وقت مضى لتعزيز قابلية التشغيل البيني بين أنظمة blockchain البيئية.
بعد قولي هذا ، فإن الابتكار الجديد يضع أيضًا السطح لعدد كبير من ناقلات الهجوم. وفقا ل Chainalysis ، اختراق الجسر عبر السلسلة تشكل وحدها ما يصل إلى 69٪ من الأموال المسروقة في عام 2022.
كان هناك 13 جسر عبر سلسلة
” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”، “format”:”html”}]”>هجمات الجسور عبر السلاسل ذهابًا وإيابًا، مع كون عام 2022 هو العام الذي شهد أكبر عدد من الهجمات غالبية.
تقدم هذه المقالة موجزًا لجميع أحداث الاختراق عبر السلاسل لعام 2022 من أجل توضيح أفضل حول أمن الجسور عبر السلاسل في زمن اليوم.
كيف تحقق الجسور عبر السلاسل قابلية التشغيل البيني لأصول التشفير؟
دعونا نفهم عملية أ جسر عبر سلسلة
” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”، “format”:”html”}]”>جسر عبر السلسلة من خلال مثال.
يمتلك المستخدم أصولًا على شبكة Ethereum ولكنه يحتاج إلى استخدامها على Polygon. يسعى فورًا إلى تبادل مركزي مثل Coinbase أو Binance ويقوم بتحويل مقتنيات ETH الخاصة به إلى MATIC لاستخدامها في Polygon.
الآن ، يريد تحويل رمز MATIC المتبقي مرة أخرى إلى ETH. لذلك ، سيتعين عليه المرور بنفس العملية مرة أخرى.
ومن المثير للاهتمام ، أن الجسور عبر السلاسل تجعل العملية مستقيمة وتوفر طريقة أسهل لنقل الأصول ذهابًا وإيابًا بين شبكات blockchain المختلفة.
كيف يفعل ذلك؟
تعمل معظم الجسور المتقاطعة على نموذج القفل والنعناع لتحقيق إمكانية التشغيل البيني.
نفس السيناريو الذي يريد فيه المستخدم استخدام رموز ETH على شبكة Polygon. دعونا نلقي نظرة على كيف يمكنه القيام بذلك من خلال جسر عبر سلسلة
” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”، “format”:”html”}]”>جسر عبر السلسلة.
- يمكن للمستخدم إرسال رمز ETH إلى عنوان محدد في سلسلة Ethereum ودفع رسوم المعاملة.
- يتم قفل الرموز المميزة لـ ETH في عقد ذكي بواسطة المدقق أو يتم الاحتفاظ بها بواسطة خدمة الحراسة.
- الآن يتم سك رموز MATIC ذات القيمة المساوية لرموز ETH المقفلة في سلسلة Polygon (أي سلسلة الوجهة)
- يتلقى المستخدم رمز MATIC في محفظته ويمكنه استخدامه لإجراء المعاملات
ماذا لو أراد المستخدم استعادة رمز ETH الخاص به؟
هذا هو المكان الذي يظهر فيه "حرق الرموز المميزة" في الصورة.
- يمكن للمستخدم إرسال رمز MATIC المتبقي في المحفظة إلى عنوان محدد في سلسلة Polygon.
- يتم حرق هذه الرموز المميزة MATIC بحيث لا يمكن إعادة استخدام الأموال
- تقوم العقود الذكية أو خدمة الحراسة بإصدار رمز ETH وإضافتها إلى محفظة المستخدم.
في الواقع ، تعمل الجسور المتقاطعة من خلال تغليف الرموز لاستخدامها من blockchain إلى آخر.
إذا أراد المستخدم استخدام Bitcoin في شبكة Ethereum ، فإن الجسور المتقاطعة تقوم بتحويل BTC في Bitcoin blockchain إلى Bitcoin ملفوفة (wBTC) على Ethereum blockchain.
من خلال النظر إلى هذا ، يمكننا القول بسهولة أن هناك تعقيدات كبيرة مثل المصدر ، ويستخدم blockchain الوجهة عقدين ذكيين مختلفين. وبالتالي ، فإن المشكلات من كلا الجانبين تعرض أموال المستخدم للخطر.
يمكن أن تتكون الجسور من نوعين: موثوق به وغير موثوق به
بشكل عام ، يحدد نوع الجسر من يملك السلطة على الأموال.
جسور موثوقة يتم تشغيلها من قبل كيانات مركزية تتولى حفظ الأموال المحولة عبر الجسور.
جسور لا يثق بها تعمل على العقود والخوارزميات الذكية ، ويبدأ العقد الذكي نفسه في كل إجراء. وبهذه الطريقة ، يتحكم المستخدمون في أصولهم.
الاضطرابات التي أدت إلى اختراق الجسر عبر السلاسل
توضح السجلات الحديثة للاختراق من 2021 إلى 22 أن جسور DeFi هي الأهداف الأكثر طلبًا من قبل المهاجمين.
تتبع الاختراقات التي حدثت منذ إنشاء الجسور المتقاطعة
كما ذكرنا سابقًا ، يساهم عام 2022 في غالبية الاختراقات ، ولنلقِ نظرة على الخطأ الذي حدث في كل هذه الاختراقات.
BSC (غير مدقق)
"2M BNB token بقيمة 586 مليون دولار مسروقة من مركز رمز BSC."
مركز رمز BSC هو جسر Binance يربط بين سلسلة Binance Beacon القديمة وسلسلة BNB. قام المهاجم بإظهار دليل كاذب على الإيداع في سلسلة Binance Beacon ، وسكت 2M BNB من جسر BNB.
استغل المخترق الخلل في جسر Binance الذي تحقق من الأدلة واقترض مليون BNB لكل منهما من معاملتين.
ثم استخدم المهاجم الأموال المقترضة كضمان على بروتوكول فينوس لمنصة الإقراض BSC ، وتم تحويل السيولة على الفور إلى شبكات blockchain الأخرى.
هجوم البدوي
"جسر البدوي سقط بسبب هجوم وحشي خسر 190 مليون دولار من السيولة"
تبين أن Nomad هو اختراق غير مصرح به يمكن لأي شخص الانضمام إليه واستغلاله. بعد الترقية الروتينية للعقد ، تمت تهيئة عقد النسخة المتماثلة مع وجود خطأ.
تعتبر الدالة process () مسؤولة عن تنفيذ الرسائل عبر السلاسل ولديها متطلبات داخلية للتحقق من صحة جذر Merkle لمعالجة الرسائل.
مستفيدًا من خطأ التشفير ، تمكن المستغل من استدعاء الدالة process () مباشرةً دون الحاجة إلى "إثبات" صحتها.
تحقق الخطأ الموجود في الكود من صحة قيمة "الرسائل" التي تبلغ 0 (غير صالحة ، وفقًا للمنطق القديم) على أنها "مثبتة". وبالتالي ، فإن هذا يعني أن أي عملية () تمت الموافقة عليها باعتبارها صالحة ، مما أدى إلى استغلال الأموال من الجسر.
انتهز العديد من المتسللين الفرصة لنهب أموال ضخمة من خلال نسخة / لصق بسيطة من نفس استدعاء الوظيفة () عبر Etherscan.
جسر الانسجام
"Harmony ضرب الطريق الصعب حيث خسر أكثر من 100 مليون دولار بسبب اختراق مفتاح خاص"
تم تأمين جسر Harmony بواسطة 2 من 5 multisig ، حيث تمكن ناقل الهجوم من الوصول إلى عنوانين.
استخدم المخترق العنوان المخترق الذي كان ضروريًا لتمرير أي معاملة وأخيراً أخذ 100 مليون دولار في أيديهم من الجسر.
قلة من الناس يشكون في أن اختراق المفتاح الخاص قد يكون بسبب وصول المتسلل إلى الخوادم التي تشغل هذه المحافظ الساخنة.
شبكة رونين (غير مدققة)
"أكبر عمليات اختراق التشفير - استغلال رونين مقابل حوالي 624 مليون دولار"
كان Ronin عبارة عن سلسلة جانبية من Ethereum عملت على نموذج إثبات السلطة مع تسعة مدققين للموافقة على المعاملات.
مطلوب خمسة من أصل تسعة موافقة مدقق للموافقة على معاملات الإيداع والسحب. ومن هذا المنطلق ، فإن أربعة مدققين هم أعضاء داخليون في الفريق ، وهناك حاجة إلى توقيع واحد فقط للمصادقة على المعاملات.
بالإضافة إلى المساومة على عقد المدقق الداخلية الأربعة ، تمكن المخترق أيضًا من الوصول إلى هذا التوقيع الخامس ، مما أدى إلى استنزاف الأموال من عقد جسر رونين.
للأسف ، تم التعرف على الهجوم بعد مرور ما يقرب من أسبوع.
متر.io (غير مدقق)
"تم الحصول على 4.4 مليون دولار أمريكي من Meter.io بسبب هجوم على جسر"
تم إطلاق Meter.io ، وهو شوكة سلسلة ChainSafe's ChainBridge ، مع تغيير في طريقة الإيداع بواسطة معالج ERC20.
استفاد المتسلل من التناقضات في طريقة الإيداع ، حيث قام بنهب الأموال عن طريق إرسال مبلغ عشوائي في بيانات الاتصال.
الثقب
"حادث الثقب الدودي مع المتسلل الذي جمع 326 مليون دولار في هذه العملية"
تم التلاعب بـ Wormhole ، وهو جسر Solana ، للاعتقاد بأن 120k ETH قد تم إيداعه على Ethereum ، مما سمح للمتسلل بسك الأصول المغلفة المكافئة في Solana.
استغل المخترقون أوجه القصور في "Solana_program :: sysvar :: الإرشادات" وفي "Solana_program" التي لم تتحقق من العنوان بشكل صحيح. باستخدام هذا ، قدم المهاجم عنوانًا يحتوي على 0.1 ETH فقط وأنتج "مجموعة توقيع" مزيفة لصك 120 ألف ملفوفة ETH على Solana بطريقة احتيالية.
كيوبريدج (غير مدقق)
"Qbridge تحت العدسة مقابل استغلال 80 مليون دولار"
يسمح Qubit بضمانات الأصول عبر السلاسل بين Ethereum و BSC.
جعل الخطأ المنطقي في الخطأ xETH متاحًا على BSC بدون إيداع ETH على Ethereum. هذا جعل المتسللين يكتسبون قروضًا جانبية على Qubit على الرغم من عدم وجود أي ودائع مقفلة في عقد Ethereum.
بعض الضوء على أمن الجسر المتقاطع
بالإضافة إلى التدابير الأمنية المضمنة في تصميم البروتوكول ، فإن إجراء فحوصات تدقيق شاملة ومنتظمة يقلل من مخاطر الهجمات. QuillAudits رائدة باعتبارها شركة تدقيق من المستوى 1 بسمعة عالمية جيدة لتأمين المشاريع.
10 المشاهدات
- إلى البيتكوين
- سلسلة كتلة
- الامتثال blockchain
- بلوكشين المؤتمر
- coinbase
- عملة عبقرية
- إجماع
- مؤتمر تشفير
- والتشفير التعدين
- العملات المشفرة
- اللامركزية
- الصدمة
- الأصول الرقمية
- ethereum
- آلة التعلم
- رمز غير قابل للاستبدال
- أفلاطون
- أفلاطون ع
- الذكاء افلاطون البيانات
- بلاتوبلوكشين
- أفلاطون داتا
- بلاتوغمينغ
- المضلع
- إثبات للخطر
- كويلهاش
- جديدة
- W3
- زفيرنت
