أكبر حدث أمني في تاريخ إثيريوم: تعرضت المحفظة الباردة لمنصة معينة لخسارة قدرها 1.46 مليار دولار
في 21 فبراير 2025 الساعة 02:16:11 بتوقيت UTC، تم سرقة أموال من المحفظة الباردة لإثيريوم الخاصة بمنصة تداول معروفة نتيجة ترقية عقد خبيث. صرح الرئيس التنفيذي للمنصة أن المهاجمين قاموا بخداع الموقع الرسمي لجعل الموقع يوقع على المعاملة الخبيثة. كانت هذه المعاملة مزورة على أنها عملية طبيعية، حيث كانت الواجهة تظهر كمعاملة اعتيادية، لكن البيانات المرسلة إلى جهاز التخزين الصلب تم تعديلها لتصبح محتوى خبيثًا. تمكن المهاجمون من الحصول على ثلاثة توقيعات صالحة واستبدال عقد تنفيذ محفظة Safe متعددة التوقيع بالإصدار الخبيث، مما أدى إلى سرقة الأموال. تسببت هذه الحادثة في خسائر تقدر بحوالي 1.46 مليار دولار، مما يجعلها أكبر حدث أمني في تاريخ Web3.0.
تحليل عملية الهجوم
قام المهاجم بنشر عقدين خبيثين يحتويان على ثغرات لتحويل الأموال وميزات ترقية العقود قبل ثلاثة أيام من وقوع الحدث.
في 21 فبراير 2025، قام المهاجم بإغراء ثلاثة من مالكي المحفظة متعددة التوقيعات بتوقيع معاملات خبيثة، مما أدى إلى ترقية عقد التنفيذ الخاص بـ Safe إلى إصدار خبيث يحتوي على باب خلفي.
قيمة حقل "operation" في المعاملة الهجومية هي "1"، تشير إلى تنفيذ عقد GnosisSafe لـ "deleGatecall".
نفذت المعاملة استدعاء تفويض إلى عقد آخر نشره المهاجم، والذي يحتوي على دالة "transfer()"، حيث يتم تعديل فتحة التخزين الأولى للعقد عند الاستدعاء.
من خلال تعديل الفتحة التخزينية الأولى لعقد Gnosis Safe، غيّر المهاجم عنوان عقد التنفيذ (أي عنوان "masterCopy").
تم تصميم طريقة ترقية العقد التي يستخدمها المهاجم بشكل خاص لتجنب إثارة الشكوك. من وجهة نظر الموقع، تبدو البيانات الموقعة وكأنها مكالمة دالة بسيطة "transfer(address، uint256)"، بدلاً من دالة "ترقية" المريبة.
تحتوي العقود الذكية الخبيثة بعد الترقية على دالة خلفية "sweepETH()" و"sweepERC20()"، حيث قام المهاجمون من خلال استدعاء هذه الدوال بنقل جميع الأصول الموجودة في المحفظة الباردة.
تحليل مصدر الثغرات
السبب الجذري لهذا الحدث هو هجوم تصيد ناجح. قام المهاجم بخداع الموقّعين على المحفظة لتوقيع بيانات معاملات خبيثة، مما أدى إلى ترقية العقد بشكل خبيث، مما سمح للمهاجم بالتحكم في المحفظة الباردة ونقل جميع الأموال.
وفقًا لتصريحات المدير التنفيذي للمنصة، كان الفريق يقوم بعمليات نقل الأصول الروتينية بين المحفظة الباردة والمحفظة الساخنة عند وقوع الحادث. وأشار إلى أن جميع الموقعين رأوا العناوين وبيانات المعاملات صحيحة على الواجهة، وأن عنوان URL قد تم التحقق منه رسميًا. ومع ذلك، عندما تم إرسال بيانات المعاملة إلى المحفظة الصلبة للتوقيع، تم التلاعب بالمحتوى الفعلي. اعترف المدير التنفيذي بأنه لم يتم التحقق مرة أخرى من تفاصيل المعاملة على واجهة الجهاز الصلب.
حاليًا، لا توجد استنتاجات مؤكدة حول كيفية قيام المهاجمين بتعديل الواجهة. تشير الأدلة التي قدمها محللو السلسلة إلى أن هذا الهجوم قد تم التخطيط له وتنفيذه من قبل منظمة قرصنة معروفة.
الدروس المستفادة والتوصيات الوقائية
تتشابه هذه الحادثة مع حادثة سرقة بقيمة 50 مليون دولار تعرضت لها منصة DeFi معينة في 16 أكتوبر 2024. تتضمن الحادتان اختراق الأجهزة وتعديل الواجهة. نظرًا لتكرار مثل هذه الهجمات، يجب أن نركز على الجانبين التاليين:
استخدم جهاز توقيع مخصص: قم بتوقيع المعاملات في بيئة معزولة، وتجنب استخدام الأجهزة متعددة الأغراض.
استخدام نظام تشغيل مؤقت: تكوين نظام تشغيل غير دائم للعمليات الحرجة، لضمان بيئة نظيفة.
إجراء تدريبات محاكاة لصيد الأسماك: تنفيذ هجمات محاكاة لصيد الأسماك بانتظام على الأفراد ذوي المخاطر العالية، لزيادة الوعي بالأمان.
إجراء تمرين هجوم ودفاع لفريق أحمر: محاكاة سيناريوهات الهجوم الحقيقي، تقييم وتعزيز تدابير الأمان الحالية.
2. تجنب مخاطر التوقيع الأعمى
اختر المنصة بعناية: تفاعل فقط مع المنصات الموثوقة، واستخدم العلامات المرجعية الرسمية لتجنب روابط التصيد.
التحقق الثاني من المحفظة الصلبة: تأكد بعناية من تفاصيل كل معاملة على شاشة الجهاز.
محاكاة التداول: محاكاة نتائج التداول قبل التوقيع، للتحقق من صحتها.
استخدام أدوات سطر الأوامر: تقليل الاعتماد على واجهة المستخدم الرسومية، والحصول على عرض أكثر شفافية لبيانات المعاملات.
مبدأ إنهاء القضايا الشاذة: عند اكتشاف أي شذوذ، يجب التوقف عن التوقيع على الفور وبدء التحقيق.
تنفيذ التحقق المزدوج من الأجهزة: استخدام جهاز مستقل للتحقق من بيانات المعاملة، وتوليد رمز تحقق قابل للقراءة.
تسلط هذه الحادثة الضوء مرة أخرى على الثغرات الكبيرة في أمان التشغيل والصيانة في صناعة Web3.0. مع استمرار تطور أساليب الهجوم، يجب على منصات التداول ومؤسسات Web3.0 تعزيز مستوى الحماية الأمنية بشكل شامل، والانتباه للتطور المستمر للتهديدات الخارجية.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 13
أعجبني
13
9
إعادة النشر
مشاركة
تعليق
0/400
SignatureAnxiety
· 08-18 22:13
لماذا من الصعب جدًا التوقيع؟
شاهد النسخة الأصليةرد0
AllInDaddy
· 08-18 20:46
يا إلهي، هذه خسارة فادحة
شاهد النسخة الأصليةرد0
ForkThisDAO
· 08-17 20:37
محكوم تبادل
شاهد النسخة الأصليةرد0
RetiredMiner
· 08-17 03:40
عمليات الاحتيال بأسلوب "ذبح الخنزير" تطورت إلى نسخة المحفظة الباردة؟
إثيريوم史上最大安全事件:تبادل المحفظة الباردة被盗14.6亿美元
أكبر حدث أمني في تاريخ إثيريوم: تعرضت المحفظة الباردة لمنصة معينة لخسارة قدرها 1.46 مليار دولار
في 21 فبراير 2025 الساعة 02:16:11 بتوقيت UTC، تم سرقة أموال من المحفظة الباردة لإثيريوم الخاصة بمنصة تداول معروفة نتيجة ترقية عقد خبيث. صرح الرئيس التنفيذي للمنصة أن المهاجمين قاموا بخداع الموقع الرسمي لجعل الموقع يوقع على المعاملة الخبيثة. كانت هذه المعاملة مزورة على أنها عملية طبيعية، حيث كانت الواجهة تظهر كمعاملة اعتيادية، لكن البيانات المرسلة إلى جهاز التخزين الصلب تم تعديلها لتصبح محتوى خبيثًا. تمكن المهاجمون من الحصول على ثلاثة توقيعات صالحة واستبدال عقد تنفيذ محفظة Safe متعددة التوقيع بالإصدار الخبيث، مما أدى إلى سرقة الأموال. تسببت هذه الحادثة في خسائر تقدر بحوالي 1.46 مليار دولار، مما يجعلها أكبر حدث أمني في تاريخ Web3.0.
تحليل عملية الهجوم
قام المهاجم بنشر عقدين خبيثين يحتويان على ثغرات لتحويل الأموال وميزات ترقية العقود قبل ثلاثة أيام من وقوع الحدث.
في 21 فبراير 2025، قام المهاجم بإغراء ثلاثة من مالكي المحفظة متعددة التوقيعات بتوقيع معاملات خبيثة، مما أدى إلى ترقية عقد التنفيذ الخاص بـ Safe إلى إصدار خبيث يحتوي على باب خلفي.
قيمة حقل "operation" في المعاملة الهجومية هي "1"، تشير إلى تنفيذ عقد GnosisSafe لـ "deleGatecall".
نفذت المعاملة استدعاء تفويض إلى عقد آخر نشره المهاجم، والذي يحتوي على دالة "transfer()"، حيث يتم تعديل فتحة التخزين الأولى للعقد عند الاستدعاء.
من خلال تعديل الفتحة التخزينية الأولى لعقد Gnosis Safe، غيّر المهاجم عنوان عقد التنفيذ (أي عنوان "masterCopy").
تم تصميم طريقة ترقية العقد التي يستخدمها المهاجم بشكل خاص لتجنب إثارة الشكوك. من وجهة نظر الموقع، تبدو البيانات الموقعة وكأنها مكالمة دالة بسيطة "transfer(address، uint256)"، بدلاً من دالة "ترقية" المريبة.
تحتوي العقود الذكية الخبيثة بعد الترقية على دالة خلفية "sweepETH()" و"sweepERC20()"، حيث قام المهاجمون من خلال استدعاء هذه الدوال بنقل جميع الأصول الموجودة في المحفظة الباردة.
تحليل مصدر الثغرات
السبب الجذري لهذا الحدث هو هجوم تصيد ناجح. قام المهاجم بخداع الموقّعين على المحفظة لتوقيع بيانات معاملات خبيثة، مما أدى إلى ترقية العقد بشكل خبيث، مما سمح للمهاجم بالتحكم في المحفظة الباردة ونقل جميع الأموال.
وفقًا لتصريحات المدير التنفيذي للمنصة، كان الفريق يقوم بعمليات نقل الأصول الروتينية بين المحفظة الباردة والمحفظة الساخنة عند وقوع الحادث. وأشار إلى أن جميع الموقعين رأوا العناوين وبيانات المعاملات صحيحة على الواجهة، وأن عنوان URL قد تم التحقق منه رسميًا. ومع ذلك، عندما تم إرسال بيانات المعاملة إلى المحفظة الصلبة للتوقيع، تم التلاعب بالمحتوى الفعلي. اعترف المدير التنفيذي بأنه لم يتم التحقق مرة أخرى من تفاصيل المعاملة على واجهة الجهاز الصلب.
حاليًا، لا توجد استنتاجات مؤكدة حول كيفية قيام المهاجمين بتعديل الواجهة. تشير الأدلة التي قدمها محللو السلسلة إلى أن هذا الهجوم قد تم التخطيط له وتنفيذه من قبل منظمة قرصنة معروفة.
الدروس المستفادة والتوصيات الوقائية
تتشابه هذه الحادثة مع حادثة سرقة بقيمة 50 مليون دولار تعرضت لها منصة DeFi معينة في 16 أكتوبر 2024. تتضمن الحادتان اختراق الأجهزة وتعديل الواجهة. نظرًا لتكرار مثل هذه الهجمات، يجب أن نركز على الجانبين التاليين:
1. حماية من اختراق الأجهزة
2. تجنب مخاطر التوقيع الأعمى
تسلط هذه الحادثة الضوء مرة أخرى على الثغرات الكبيرة في أمان التشغيل والصيانة في صناعة Web3.0. مع استمرار تطور أساليب الهجوم، يجب على منصات التداول ومؤسسات Web3.0 تعزيز مستوى الحماية الأمنية بشكل شامل، والانتباه للتطور المستمر للتهديدات الخارجية.