تم هجوم على الجسور عبر السلسلة Orbit Chain، مما أدى إلى خسارة حوالي 80000000 دولار أمريكي
في 1 يناير 2024، حدثت حادثة أمنية كبيرة في blockchain. وفقًا لمنصة مراقبة المخاطر الأمنية، تعرض مشروع الجسر عبر السلسلة Orbit Chain للهجوم، وبلغ إجمالي الخسائر حوالي 80 مليون دولار. وجد فريق الأمن أن المهاجمين بدأوا هجومًا تجريبيًا صغيرًا قبل يوم واحد، واستغلوا ETH المسروقة كمصدر لرسوم الهجوم الكبير اللاحق.
Orbit Chain هو منصة عبر السلاسل تتيح للمستخدمين استخدام مجموعة متنوعة من الأصول المشفرة بين سلاسل الكتل المختلفة. حالياً، قامت الجهة المسؤولة عن المشروع بتعليق تشغيل عقود الجسور عبر السلسلة، وتحاول التواصل مع المعتدين.
تحليل الهجمات
تكمن جوهر هذه الحادثة في أن المهاجمين قاموا باستدعاء دالة withdraw في عقد الجسر الخاص بـ Orbit Chain مباشرة، مما أدى إلى تحويل الأصول. من خلال تحليل كود دالة withdraw بعمق، يمكن اكتشاف أن هذه الدالة تستخدم آلية التحقق من التوقيع لضمان شرعية القرض.
في معاملات البلوكتشين، يُعتبر التحقق من التوقيع إجراءً أمنيًا شائعًا، يُستخدم لتأكيد صلاحيات مُطلق المعاملة. تعمل دالة السحب على التحقق من التوقيع، مما يضمن أنه يمكن فقط للمستخدمين أو العقود المصرح لهم استدعاؤها بنجاح وإجراء تحويل الأصول.
تقوم دالة التحقق من التوقيع (_validate) بإرجاع عدد التوقيعات من المالك، وهذه البيانات أساسية للتحقق من شرعية المعاملات. سيقوم النظام بمقارنة عدد التوقيعات المعادة مع العتبة المحددة مسبقًا، لتحديد ما إذا كانت شروط تنفيذ المعاملة مستوفاة.
تظهر بيانات السلسلة أن مالك العقد لديه 10 عناوين، وقيمة required هي 7، مما يعني أنه يتطلب توقيع 70% من المدراء لسحب الأصول. تشير التحليلات الشاملة إلى أن هذه الحادثة قد تكون ناتجة عن هجوم احتيالي تعرض له الخادم الذي يخزن مفتاح المدير الخاص.
عملية الهجوم
وفقًا للبيانات على السلسلة، بدأ المهاجمون في 30 ديسمبر 2023 الساعة 15:39:35 (UTC) هجومًا صغيرًا على Orbit Chain، حيث سرقوا كمية صغيرة من ETH وقاموا بتوزيعها على عناوين هجوم أخرى كرسوم معاملات.
بعد ذلك، في 31 ديسمبر 2023 الساعة 21:00 (بتوقيت UTC)، بدأت عدة عناوين هجوم في تنفيذ هجمات واسعة النطاق على أصول مشروع Orbit Chain مثل DAI و WBTC و ETH و USDC و USDT.
اتجاه تدفق الأموال
حتى وقت إعداد التقرير، كانت حالة نقل الأموال المسروقة على النحو التالي: قام المهاجمون بنقل الأموال في خمس معاملات مستقلة إلى خمسة عناوين محفظة جديدة. وتشمل التفاصيل:
50000000 دولار أمريكي من العملات المستقرة (30000000 USDT، 10000000 DAI و10000000 USDC)
231 قطعة wBTC (حوالي 10,000,000 دولار أمريكي)
9500 قطعة من ETH (حوالي 2150 دولار أمريكي)
إشارات الأمان
تسلط هذه الحادثة المتعلقة بالجسور عبر السلسلة الضوء مرة أخرى على أهمية أمان نظم blockchain. عند تصميم وتنفيذ نظم blockchain، يجب أن نولي اهتمامًا خاصًا للنقاط التالية:
أمان الشيفرة: كجوهر نظام blockchain، يجب أن تتبع عملية كتابة ومراجعة الشيفرة العقدية بدقة أفضل الممارسات الأمنية، لتجنب الثغرات الشائعة ومخاطر الهجمات.
التحقق من الهوية: ضمان أن المستخدمين أو العقود المصرح لهم فقط يمكنهم تنفيذ العمليات الحيوية هو المفتاح لمنع الوصول غير المصرح به وفقدان الأصول. يجب اعتماد آليات تحقق قوية، وتوقيع متعدد، وإدارة صارمة للصلاحيات.
المراقبة المستمرة: إنشاء نظام مراقبة في الوقت الحقيقي لاكتشاف والاستجابة للأنشطة غير العادية في الوقت المناسب، يمكن أن يقلل بشكل كبير من الأضرار المحتملة الناتجة عن الهجمات.
حماية متعددة: تعتمد على هيكل أمان متعدد الطبقات، مثل فصل المحفظة الساخنة والباردة، وآلية التوقيع المتعدد، مما يمكن أن يوفر طبقة حماية إضافية للأصول.
التدقيق الدوري: إجراء تدقيق أمني دوري وتقييم الثغرات للنظام، لاكتشاف وإصلاح المخاطر الأمنية المحتملة في الوقت المناسب.
من خلال تنفيذ هذه التدابير الأمنية، يمكن تحسين الأمان العام لنظام blockchain بشكل كبير وتقليل مخاطر حدوث أحداث هجوم مماثلة.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 7
أعجبني
7
5
إعادة النشر
مشاركة
تعليق
0/400
ShibaMillionairen't
· منذ 6 س
سنة جديدة سعيدة هاكر لم يأخذوا راحة
شاهد النسخة الأصليةرد0
AirdropHunterKing
· منذ 6 س
هل انفجرت الأمور في اليوم الأول من السنة الجديدة؟ الجسر عقد SOP دمر السنة!
تعرض جسر Orbit Chain عبر السلسلة لهجوم، وبلغت الخسائر 80 مليون دولار.
تم هجوم على الجسور عبر السلسلة Orbit Chain، مما أدى إلى خسارة حوالي 80000000 دولار أمريكي
في 1 يناير 2024، حدثت حادثة أمنية كبيرة في blockchain. وفقًا لمنصة مراقبة المخاطر الأمنية، تعرض مشروع الجسر عبر السلسلة Orbit Chain للهجوم، وبلغ إجمالي الخسائر حوالي 80 مليون دولار. وجد فريق الأمن أن المهاجمين بدأوا هجومًا تجريبيًا صغيرًا قبل يوم واحد، واستغلوا ETH المسروقة كمصدر لرسوم الهجوم الكبير اللاحق.
Orbit Chain هو منصة عبر السلاسل تتيح للمستخدمين استخدام مجموعة متنوعة من الأصول المشفرة بين سلاسل الكتل المختلفة. حالياً، قامت الجهة المسؤولة عن المشروع بتعليق تشغيل عقود الجسور عبر السلسلة، وتحاول التواصل مع المعتدين.
تحليل الهجمات
تكمن جوهر هذه الحادثة في أن المهاجمين قاموا باستدعاء دالة withdraw في عقد الجسر الخاص بـ Orbit Chain مباشرة، مما أدى إلى تحويل الأصول. من خلال تحليل كود دالة withdraw بعمق، يمكن اكتشاف أن هذه الدالة تستخدم آلية التحقق من التوقيع لضمان شرعية القرض.
في معاملات البلوكتشين، يُعتبر التحقق من التوقيع إجراءً أمنيًا شائعًا، يُستخدم لتأكيد صلاحيات مُطلق المعاملة. تعمل دالة السحب على التحقق من التوقيع، مما يضمن أنه يمكن فقط للمستخدمين أو العقود المصرح لهم استدعاؤها بنجاح وإجراء تحويل الأصول.
تقوم دالة التحقق من التوقيع (_validate) بإرجاع عدد التوقيعات من المالك، وهذه البيانات أساسية للتحقق من شرعية المعاملات. سيقوم النظام بمقارنة عدد التوقيعات المعادة مع العتبة المحددة مسبقًا، لتحديد ما إذا كانت شروط تنفيذ المعاملة مستوفاة.
تظهر بيانات السلسلة أن مالك العقد لديه 10 عناوين، وقيمة required هي 7، مما يعني أنه يتطلب توقيع 70% من المدراء لسحب الأصول. تشير التحليلات الشاملة إلى أن هذه الحادثة قد تكون ناتجة عن هجوم احتيالي تعرض له الخادم الذي يخزن مفتاح المدير الخاص.
عملية الهجوم
وفقًا للبيانات على السلسلة، بدأ المهاجمون في 30 ديسمبر 2023 الساعة 15:39:35 (UTC) هجومًا صغيرًا على Orbit Chain، حيث سرقوا كمية صغيرة من ETH وقاموا بتوزيعها على عناوين هجوم أخرى كرسوم معاملات.
بعد ذلك، في 31 ديسمبر 2023 الساعة 21:00 (بتوقيت UTC)، بدأت عدة عناوين هجوم في تنفيذ هجمات واسعة النطاق على أصول مشروع Orbit Chain مثل DAI و WBTC و ETH و USDC و USDT.
اتجاه تدفق الأموال
حتى وقت إعداد التقرير، كانت حالة نقل الأموال المسروقة على النحو التالي: قام المهاجمون بنقل الأموال في خمس معاملات مستقلة إلى خمسة عناوين محفظة جديدة. وتشمل التفاصيل:
إشارات الأمان
تسلط هذه الحادثة المتعلقة بالجسور عبر السلسلة الضوء مرة أخرى على أهمية أمان نظم blockchain. عند تصميم وتنفيذ نظم blockchain، يجب أن نولي اهتمامًا خاصًا للنقاط التالية:
أمان الشيفرة: كجوهر نظام blockchain، يجب أن تتبع عملية كتابة ومراجعة الشيفرة العقدية بدقة أفضل الممارسات الأمنية، لتجنب الثغرات الشائعة ومخاطر الهجمات.
التحقق من الهوية: ضمان أن المستخدمين أو العقود المصرح لهم فقط يمكنهم تنفيذ العمليات الحيوية هو المفتاح لمنع الوصول غير المصرح به وفقدان الأصول. يجب اعتماد آليات تحقق قوية، وتوقيع متعدد، وإدارة صارمة للصلاحيات.
المراقبة المستمرة: إنشاء نظام مراقبة في الوقت الحقيقي لاكتشاف والاستجابة للأنشطة غير العادية في الوقت المناسب، يمكن أن يقلل بشكل كبير من الأضرار المحتملة الناتجة عن الهجمات.
حماية متعددة: تعتمد على هيكل أمان متعدد الطبقات، مثل فصل المحفظة الساخنة والباردة، وآلية التوقيع المتعدد، مما يمكن أن يوفر طبقة حماية إضافية للأصول.
التدقيق الدوري: إجراء تدقيق أمني دوري وتقييم الثغرات للنظام، لاكتشاف وإصلاح المخاطر الأمنية المحتملة في الوقت المناسب.
من خلال تنفيذ هذه التدابير الأمنية، يمكن تحسين الأمان العام لنظام blockchain بشكل كبير وتقليل مخاطر حدوث أحداث هجوم مماثلة.