انتزعت الجهات الخبيثة مثل المخترقين ** 310 مليون دولار ** من صناعة الويب 3.0 في الربع الثاني من عام 2023.
هذا الرقم يقترب من خسارة 320 مليون دولار في الربع الأول ، وهو ما يمثل انخفاضًا بنسبة 58٪ ** عن خسارة قدرها 745 مليون دولار في الربع الثاني من عام 2022 **.
عثرت CertiK على إجمالي ** 212 **** الحوادث الأمنية ، وهو ما يُترجم إلى متوسط خسارة 1.48 مليون دولار لكل حادث في الربع الثاني. انخفض هذا الرقم بشكل طفيف عن متوسط الخسارة لكل حادث البالغ 1.56 مليون دولار في الربع الأول.
** 98 عملية احتيال للخروج ** سرقت ** 70.35 مليون دولار ** من المستثمرين ، أي أكثر من ضعف ما خسره 31 مليون دولار للخروج من عمليات الاحتيال في الربع الأول.
** 54 قرض سريع ** هجمات و ** تلاعب أوراكل ** أحبطت الحوادث المهاجمين ** 23.75 مليون دولار **. هذا انخفاض حاد من 222 مليون دولار في إجمالي الخسائر من 52 تلاعب أوراكل في الربع الأول. وبطبيعة الحال ، وبسبب الخسارة الفادحة لـ Euler Finance في الربع الأخير ، شكلت هذه الثغرة وحدها 85٪ من المبلغ الإجمالي في الربع السابق.
بالإضافة إلى ذلك ، تحدث بعض الأحداث الكبيرة "خارج السلسلة" في الصناعة: رفعت لجنة الأوراق المالية والبورصات الأمريكية اتهامات ضد أكبر بورصتين افتراضيتين للعملات ؛ وقدمت أكبر شركة لإدارة الأصول في العالم طلبًا للحصول على Bitcoin ETF .
في غضون ذلك ، اكتشف باحثو الأمن في CertiK أيضًا بعض نقاط الضعف الرئيسية في بروتوكولات وتطبيقات blockchain الرئيسية ، بما في ذلك المخاطر الأمنية في عُقد التحقق من صحة Sui ومحفظة ZenGo MPC.
** عرض البيانات الجزئي **
مقدمة
بلغ إجمالي الخسائر المسجلة في مساحة الويب 3.0 في الربع الثاني من عام 2023 ما قيمته 313،566،528 دولارًا أمريكيًا ، وهو نفس ما كان عليه في الربع السابق تقريبًا وبانخفاض قدره 58٪ مقارنة بالفترة نفسها من العام الماضي. كما انخفض متوسط الخسارة لكل حادث بشكل طفيف.
بالنظر إلى الربع الثاني ، انخفض عدد حوادث التلاعب في أوراكل بشكل كبير ، في حين زادت الخسائر الإجمالية لعمليات الاحتيال عند الخروج ، مما يشير إلى أن التكتيكات المستخدمة من قبل الجهات الخبيثة قد تغيرت.
مع تطور الصناعة ، تُظهر حالات مثل الهجوم على روبوت MEV واكتشاف تهديد أمان "عجلة الهامستر" على blockchain Sui أهمية الغوص العميق المستمر في الأمان والضربات الوقائية واليقظة المستمرة. مع التغلب على كل تحدٍ ، نقترب خطوة واحدة من مساحة ويب 3.0 أكثر أمانًا.
تحقق من ** التقرير ** لمزيد من التفاصيل والبيانات.
** يتم استغلال روبوت MEV بشكل ضار **
في أوائل أبريل ، تم استغلال روبوت MEV من قبل المتسللين في كتلة 16964664 من Ethereum. استبدل المدقق الخبيث العديد من معاملات MEV ، مما أدى إلى خسارة ما يقرب من 25.38 مليون دولار. كان الحادث أكبر هجوم على روبوتات MEV حتى الآن.
وقع الحادث في كتلة Ethereum 16964664 ، حيث تم استغلال 8 معاملات MEV من قبل المدققين الخبيثين. تم إنشاء أداة التحقق هذه في 15 مارس 2023 ، على العنوان الخارجي (EOA) 0x687A9 ، وتمكنت منذ ذلك الحين من التسلل إلى Flashbot الذي يمنع التشغيل الأمامي.
ومع ذلك ، فإن الثغرة الأمنية في MEV-Boost-relay تسمح للمدققين الخبيثين بإعادة إجراء المعاملات المجمعة ، واعتراض بعض استراتيجيات الميزانين لروبوتات MEV ، وخاصة المعاملات العكسية. نظرًا للثغرة الأمنية المذكورة أعلاه ، رأى المدقق معلومات المعاملة التفصيلية. باستخدام تفاصيل المعاملة هذه ، يمكن للمدققين الخبيثين إنشاء الكتل الخاصة بهم وإدراج معاملاتهم المسبقة قبل معاملة MEV bot الأولية.
في المجموع ، تمكنت أداة التحقق الضارة هذه من سرقة حوالي 25 مليون دولار من 5 روبوتات MEV ، مما يجعلها واحدة من أكبر الخسائر التي تكبدتها روبوتات MEV التي شاهدتها CertiK حتى الآن. في الأشهر الـ 12 الماضية ، تم العثور على ستة روبوتات MEV فقط مستغلة ، وشكلت هذه الحادثة وحدها 92٪ من إجمالي الخسائر البالغة 27.5 مليون دولار.
يستغل المدقق الخبيث ثغرة MEV-boost-relay ويبدأ الهجوم عن طريق إرسال كتلة غير صالحة ولكنها موقعة بشكل صحيح. بعد رؤية المعاملات داخل الكتلة ، يمكن للمدققين ردها للمطالبة بالأصول من روبوتات MEV. تم تصحيح هذه الثغرة الأمنية لاحقًا.
لمزيد من المعلومات حول روبوتات MEV وهجمات الساندويتش ، يرجى مراجعة ** تقرير ** لمزيد من المعلومات.
** تم اختراق المحفظة الذرية **
في بداية شهر يونيو من هذا العام ، واجه أكثر من 5000 مستخدم لـ Atomic Wallet أكبر حادثة أمنية في هذا الربع ، مما أدى إلى خسارة أكثر من 100 مليون دولار. في البداية ، ذكرت Atomic Wallet أن أقل من 1٪ من المستخدمين النشطين شهريًا كانوا ضحايا للحادث ، لكنهم غيروها لاحقًا إلى أقل من 0.1٪. يؤكد هجوم بهذا الحجم وخسائر فادحة على خطورة الثغرات الأمنية في تطبيقات المحفظة.
يستهدف المهاجمون مفاتيح المستخدمين الخاصة ، ويكتسبون سيطرة كاملة على أصولهم. بعد الحصول على المفاتيح ، تمكنوا من نقل الأصول إلى عناوين محافظهم الخاصة ، وإفراغ حساب الضحية.
أفاد مستثمرو التجزئة عن خسائر بأحجام مختلفة ، بما في ذلك ما يصل إلى 7.95 مليون دولار. وبلغ إجمالي الخسائر التراكمية لأكبر خمسة ضحايا تجزئة 17 مليون دولار.
لاسترداد الخسائر ، قدمت Atomic Wallet علنًا عرضًا للمهاجمين ، ووعدت بالتخلي عن 10٪ من الأموال المسروقة مقابل 90٪ من الرموز المميزة المسروقة. ومع ذلك ، استنادًا إلى تاريخ مجموعة Lazarus وحقيقة أن الأموال المسروقة بدأت في الغسيل ، فإن فرص استرداد الأموال ضئيلة للغاية.
لمزيد من التحليل حول Atomic Wallet و "وراء الكواليس" ، يرجى مراجعة ** Report ** لمزيد من المعلومات.
** سوي "عجلة الهامستر" استغلال جديد **
في السابق ، اكتشف فريق CertiK سلسلة من الثغرات الأمنية لرفض الخدمة في Sui blockchain. من بين نقاط الضعف هذه ، تبرز ثغرة جديدة وعالية التأثير. يمكن أن تتسبب هذه الثغرة الأمنية في عدم قدرة عقد شبكة Sui على معالجة المعاملات الجديدة ، والتأثير يعادل الإغلاق الكامل للشبكة بأكملها. تلقى CertiK مكافأة خطأ قدرها 500000 دولار من Sui لاكتشافه هذا الخلل الأمني الكبير. قامت CoinDesk ، وهي وسيلة إعلام موثوقة في الصناعة الأمريكية ، بالإبلاغ عن الحدث ، ثم أصدرت وسائل الإعلام الرئيسية أيضًا أخبارًا ذات صلة بعد تقريرها.
تسمى هذه الثغرة الأمنية بشكل واضح "عجلة الهامستر": أسلوب الهجوم الفريد الخاص بها يختلف عن الهجمات المعروفة حاليًا. يحتاج المهاجم فقط إلى إرسال حمولة تبلغ حوالي 100 بايت لتشغيل حلقة لا نهائية في عقدة التحقق الخاصة بسوي. للمعاملات الجديدة.
بالإضافة إلى ذلك ، يمكن أن يستمر الضرر الناجم عن الهجوم بعد إعادة تشغيل الشبكة ، ويمكن نشره تلقائيًا في شبكة Sui ، مما يجعل جميع العقد غير قادرة على معالجة المعاملات الجديدة مثل الهامستر الذي يعمل بلا نهاية على العجلة. لذلك نشير إلى هذا النوع الفريد من الهجوم على أنه هجوم "عجلة الهامستر".
بعد اكتشاف الخطأ ، قام CertiK بإبلاغه إلى Sui من خلال برنامج مكافأة الأخطاء الخاص بـ Sui. استجابت Sui أيضًا بشكل فعال في المرة الأولى ، وأكدت خطورة الثغرة الأمنية ، واتخذت بنشاط التدابير المقابلة لإصلاح المشكلة قبل إطلاق mainnet. بالإضافة إلى إصلاح هذه الثغرة الأمنية ، قامت Sui أيضًا بتنفيذ إجراءات التخفيف الوقائية لتقليل الضرر المحتمل الذي قد تسببه هذه الثغرة الأمنية.
لشكر فريق CertiK على إفصاحهم المسؤول ، منحت Sui فريق CertiK مكافأة قدرها 500000 دولار.
لمزيد من التفاصيل ، يرجى النقر فوق "أحدث ثغرات أمنية في Sui" Hamster Wheel "والتفاصيل الفنية والتحليل المتعمق"
** ثغرة أمنية على مستوى الخادم تعتمد على محفظة MPC **
يعد الحساب متعدد الأطراف (MPC) طريقة تشفير تسمح لعدة مشاركين بإجراء عمليات حسابية على وظيفة من مدخلاتهم مع الحفاظ على خصوصية تلك المدخلات. هدفها هو ضمان عدم مشاركة هذه المدخلات مع أي أطراف ثالثة. تحتوي هذه التقنية على تطبيقات متنوعة ، بما في ذلك استخراج البيانات للحفاظ على الخصوصية ، والمزادات الآمنة ، والخدمات المالية ، والتعلم الآلي الآمن متعدد الأطراف ، وكلمة المرور الآمنة والمشاركة السرية.
وجد فريق سكايفول من CertiK ثغرة خطيرة في بنية أمان المحفظة أثناء تحليل أمني وقائي لمحفظة ZenGo للحوسبة متعددة الأطراف (MPC) الشائعة حاليًا ، والتي تسمى "هجوم تفرع الجهاز". يمكن للمهاجمين استخدامه لتجاوز إجراءات الحماية الأمنية الحالية لـ ZenGo ، مما يمنحهم الفرصة للتحكم في أموال المستخدمين. يتمثل جوهر الهجوم في استغلال ثغرة أمنية في واجهة برمجة التطبيقات لإنشاء مفتاح جهاز جديد يخدع خوادم ZenGo للتعامل معها كجهاز مستخدم حقيقي.
أبلغ فريق Skyfall على الفور عن هذه الثغرة الأمنية إلى ZenGo وفقًا لمبادئ الكشف المسؤول. بعد إدراك خطورة المشكلة ، تحرك فريق أمان ZenGo بسرعة لإصلاحها. لمنع احتمال وقوع هجوم ، تم إصلاح الثغرة الأمنية على مستوى واجهة برمجة التطبيقات للخادم ، لذلك لا يلزم إجراء تحديثات لرمز العميل.
أقر ZenGo علنًا بالنتائج بعد الانتهاء من إصلاح الأخطاء ، وشكر CertiK على دورها المهم في تعزيز أمان وموثوقية محفظتها المستندة إلى MPC.
"الحوسبة متعددة الأطراف لها آفاق كبيرة ولديها العديد من التطبيقات المهمة في مجال Web3.0. على الرغم من أن تقنية MPC تقلل من مخاطر نقطة واحدة للفشل ، فإن تنفيذ حلول MPC سيجلب تعقيدات جديدة لتصميم محافظ العملات المشفرة. يمكن أن يؤدي التعقيد إلى مخاطر أمنية جديدة ، مما يوضح أن اتباع نهج تدقيق ومراقبة شامل أمر ضروري. "- البروفيسور كانغ لي ، كبير مسؤولي الأمن ، CertiK
انقر للحصول على التقرير الكامل
شاهد النسخة الأصلية
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
تم إصدار تقرير أمان الصناعة Web3.0 للربع الثاني من عام 2023
لخص
** عرض البيانات الجزئي **
مقدمة
بلغ إجمالي الخسائر المسجلة في مساحة الويب 3.0 في الربع الثاني من عام 2023 ما قيمته 313،566،528 دولارًا أمريكيًا ، وهو نفس ما كان عليه في الربع السابق تقريبًا وبانخفاض قدره 58٪ مقارنة بالفترة نفسها من العام الماضي. كما انخفض متوسط الخسارة لكل حادث بشكل طفيف.
بالنظر إلى الربع الثاني ، انخفض عدد حوادث التلاعب في أوراكل بشكل كبير ، في حين زادت الخسائر الإجمالية لعمليات الاحتيال عند الخروج ، مما يشير إلى أن التكتيكات المستخدمة من قبل الجهات الخبيثة قد تغيرت.
مع تطور الصناعة ، تُظهر حالات مثل الهجوم على روبوت MEV واكتشاف تهديد أمان "عجلة الهامستر" على blockchain Sui أهمية الغوص العميق المستمر في الأمان والضربات الوقائية واليقظة المستمرة. مع التغلب على كل تحدٍ ، نقترب خطوة واحدة من مساحة ويب 3.0 أكثر أمانًا.
تحقق من ** التقرير ** لمزيد من التفاصيل والبيانات.
** يتم استغلال روبوت MEV بشكل ضار **
في أوائل أبريل ، تم استغلال روبوت MEV من قبل المتسللين في كتلة 16964664 من Ethereum. استبدل المدقق الخبيث العديد من معاملات MEV ، مما أدى إلى خسارة ما يقرب من 25.38 مليون دولار. كان الحادث أكبر هجوم على روبوتات MEV حتى الآن.
وقع الحادث في كتلة Ethereum 16964664 ، حيث تم استغلال 8 معاملات MEV من قبل المدققين الخبيثين. تم إنشاء أداة التحقق هذه في 15 مارس 2023 ، على العنوان الخارجي (EOA) 0x687A9 ، وتمكنت منذ ذلك الحين من التسلل إلى Flashbot الذي يمنع التشغيل الأمامي.
ومع ذلك ، فإن الثغرة الأمنية في MEV-Boost-relay تسمح للمدققين الخبيثين بإعادة إجراء المعاملات المجمعة ، واعتراض بعض استراتيجيات الميزانين لروبوتات MEV ، وخاصة المعاملات العكسية. نظرًا للثغرة الأمنية المذكورة أعلاه ، رأى المدقق معلومات المعاملة التفصيلية. باستخدام تفاصيل المعاملة هذه ، يمكن للمدققين الخبيثين إنشاء الكتل الخاصة بهم وإدراج معاملاتهم المسبقة قبل معاملة MEV bot الأولية.
في المجموع ، تمكنت أداة التحقق الضارة هذه من سرقة حوالي 25 مليون دولار من 5 روبوتات MEV ، مما يجعلها واحدة من أكبر الخسائر التي تكبدتها روبوتات MEV التي شاهدتها CertiK حتى الآن. في الأشهر الـ 12 الماضية ، تم العثور على ستة روبوتات MEV فقط مستغلة ، وشكلت هذه الحادثة وحدها 92٪ من إجمالي الخسائر البالغة 27.5 مليون دولار.
يستغل المدقق الخبيث ثغرة MEV-boost-relay ويبدأ الهجوم عن طريق إرسال كتلة غير صالحة ولكنها موقعة بشكل صحيح. بعد رؤية المعاملات داخل الكتلة ، يمكن للمدققين ردها للمطالبة بالأصول من روبوتات MEV. تم تصحيح هذه الثغرة الأمنية لاحقًا.
لمزيد من المعلومات حول روبوتات MEV وهجمات الساندويتش ، يرجى مراجعة ** تقرير ** لمزيد من المعلومات.
** تم اختراق المحفظة الذرية **
في بداية شهر يونيو من هذا العام ، واجه أكثر من 5000 مستخدم لـ Atomic Wallet أكبر حادثة أمنية في هذا الربع ، مما أدى إلى خسارة أكثر من 100 مليون دولار. في البداية ، ذكرت Atomic Wallet أن أقل من 1٪ من المستخدمين النشطين شهريًا كانوا ضحايا للحادث ، لكنهم غيروها لاحقًا إلى أقل من 0.1٪. يؤكد هجوم بهذا الحجم وخسائر فادحة على خطورة الثغرات الأمنية في تطبيقات المحفظة.
يستهدف المهاجمون مفاتيح المستخدمين الخاصة ، ويكتسبون سيطرة كاملة على أصولهم. بعد الحصول على المفاتيح ، تمكنوا من نقل الأصول إلى عناوين محافظهم الخاصة ، وإفراغ حساب الضحية.
أفاد مستثمرو التجزئة عن خسائر بأحجام مختلفة ، بما في ذلك ما يصل إلى 7.95 مليون دولار. وبلغ إجمالي الخسائر التراكمية لأكبر خمسة ضحايا تجزئة 17 مليون دولار.
لاسترداد الخسائر ، قدمت Atomic Wallet علنًا عرضًا للمهاجمين ، ووعدت بالتخلي عن 10٪ من الأموال المسروقة مقابل 90٪ من الرموز المميزة المسروقة. ومع ذلك ، استنادًا إلى تاريخ مجموعة Lazarus وحقيقة أن الأموال المسروقة بدأت في الغسيل ، فإن فرص استرداد الأموال ضئيلة للغاية.
لمزيد من التحليل حول Atomic Wallet و "وراء الكواليس" ، يرجى مراجعة ** Report ** لمزيد من المعلومات.
** سوي "عجلة الهامستر" استغلال جديد **
في السابق ، اكتشف فريق CertiK سلسلة من الثغرات الأمنية لرفض الخدمة في Sui blockchain. من بين نقاط الضعف هذه ، تبرز ثغرة جديدة وعالية التأثير. يمكن أن تتسبب هذه الثغرة الأمنية في عدم قدرة عقد شبكة Sui على معالجة المعاملات الجديدة ، والتأثير يعادل الإغلاق الكامل للشبكة بأكملها. تلقى CertiK مكافأة خطأ قدرها 500000 دولار من Sui لاكتشافه هذا الخلل الأمني الكبير. قامت CoinDesk ، وهي وسيلة إعلام موثوقة في الصناعة الأمريكية ، بالإبلاغ عن الحدث ، ثم أصدرت وسائل الإعلام الرئيسية أيضًا أخبارًا ذات صلة بعد تقريرها.
تسمى هذه الثغرة الأمنية بشكل واضح "عجلة الهامستر": أسلوب الهجوم الفريد الخاص بها يختلف عن الهجمات المعروفة حاليًا. يحتاج المهاجم فقط إلى إرسال حمولة تبلغ حوالي 100 بايت لتشغيل حلقة لا نهائية في عقدة التحقق الخاصة بسوي. للمعاملات الجديدة.
بالإضافة إلى ذلك ، يمكن أن يستمر الضرر الناجم عن الهجوم بعد إعادة تشغيل الشبكة ، ويمكن نشره تلقائيًا في شبكة Sui ، مما يجعل جميع العقد غير قادرة على معالجة المعاملات الجديدة مثل الهامستر الذي يعمل بلا نهاية على العجلة. لذلك نشير إلى هذا النوع الفريد من الهجوم على أنه هجوم "عجلة الهامستر".
بعد اكتشاف الخطأ ، قام CertiK بإبلاغه إلى Sui من خلال برنامج مكافأة الأخطاء الخاص بـ Sui. استجابت Sui أيضًا بشكل فعال في المرة الأولى ، وأكدت خطورة الثغرة الأمنية ، واتخذت بنشاط التدابير المقابلة لإصلاح المشكلة قبل إطلاق mainnet. بالإضافة إلى إصلاح هذه الثغرة الأمنية ، قامت Sui أيضًا بتنفيذ إجراءات التخفيف الوقائية لتقليل الضرر المحتمل الذي قد تسببه هذه الثغرة الأمنية.
لشكر فريق CertiK على إفصاحهم المسؤول ، منحت Sui فريق CertiK مكافأة قدرها 500000 دولار.
لمزيد من التفاصيل ، يرجى النقر فوق "أحدث ثغرات أمنية في Sui" Hamster Wheel "والتفاصيل الفنية والتحليل المتعمق"
** ثغرة أمنية على مستوى الخادم تعتمد على محفظة MPC **
يعد الحساب متعدد الأطراف (MPC) طريقة تشفير تسمح لعدة مشاركين بإجراء عمليات حسابية على وظيفة من مدخلاتهم مع الحفاظ على خصوصية تلك المدخلات. هدفها هو ضمان عدم مشاركة هذه المدخلات مع أي أطراف ثالثة. تحتوي هذه التقنية على تطبيقات متنوعة ، بما في ذلك استخراج البيانات للحفاظ على الخصوصية ، والمزادات الآمنة ، والخدمات المالية ، والتعلم الآلي الآمن متعدد الأطراف ، وكلمة المرور الآمنة والمشاركة السرية.
وجد فريق سكايفول من CertiK ثغرة خطيرة في بنية أمان المحفظة أثناء تحليل أمني وقائي لمحفظة ZenGo للحوسبة متعددة الأطراف (MPC) الشائعة حاليًا ، والتي تسمى "هجوم تفرع الجهاز". يمكن للمهاجمين استخدامه لتجاوز إجراءات الحماية الأمنية الحالية لـ ZenGo ، مما يمنحهم الفرصة للتحكم في أموال المستخدمين. يتمثل جوهر الهجوم في استغلال ثغرة أمنية في واجهة برمجة التطبيقات لإنشاء مفتاح جهاز جديد يخدع خوادم ZenGo للتعامل معها كجهاز مستخدم حقيقي.
أبلغ فريق Skyfall على الفور عن هذه الثغرة الأمنية إلى ZenGo وفقًا لمبادئ الكشف المسؤول. بعد إدراك خطورة المشكلة ، تحرك فريق أمان ZenGo بسرعة لإصلاحها. لمنع احتمال وقوع هجوم ، تم إصلاح الثغرة الأمنية على مستوى واجهة برمجة التطبيقات للخادم ، لذلك لا يلزم إجراء تحديثات لرمز العميل.
أقر ZenGo علنًا بالنتائج بعد الانتهاء من إصلاح الأخطاء ، وشكر CertiK على دورها المهم في تعزيز أمان وموثوقية محفظتها المستندة إلى MPC.
"الحوسبة متعددة الأطراف لها آفاق كبيرة ولديها العديد من التطبيقات المهمة في مجال Web3.0. على الرغم من أن تقنية MPC تقلل من مخاطر نقطة واحدة للفشل ، فإن تنفيذ حلول MPC سيجلب تعقيدات جديدة لتصميم محافظ العملات المشفرة. يمكن أن يؤدي التعقيد إلى مخاطر أمنية جديدة ، مما يوضح أن اتباع نهج تدقيق ومراقبة شامل أمر ضروري. "- البروفيسور كانغ لي ، كبير مسؤولي الأمن ، CertiK
انقر للحصول على التقرير الكامل