حوادث قرصنة ديفي في 2021

[TL; DR]

كان التمويل اللامركزي (DeFi) في إتجاه تصاعدي مثير في الأعوام الماضية، الأمر الذي جعل القطاع الجديد جذابا للغاية بالنسبة للمستثمرين. تراكمت لدى شركة ديفي أكثر من 100 مليار اعتبارا من الربع الثالث من عام 2021. منذ بدايتها، أدت هذه الطفرة إلى هجمات ضخمة من القراصنة الذين يستغلون ثغرات المشروع.

ولهذا الغرض، أصدرت شركات مثل "CipherTrace" أدوات وحلول امتثال جديدة من شأنها أن تساعد مشاريع "DexS" و"DeFi" على التقيد بقواعد مكتب مراقبة الأصول الأجنبية. ويشكل هذا التطور خطوة كبيرة نحو إضفاء الشرعية على فضاء الإنترنت المتطور فعلا. وسوف يتيح التوافق مع CipherTrace DeFi جميع البيانات ذات الصلة بسهولة وبشكل مباشر على السلسلة من أجل إدماجها بسهولة وسرعة مع أطر DeFi القائمة.

وبالفعل، يساعد ذلك مشاريع "ديفي" على كبح هذا العمل الخبيث إلى حد كبير. وبشكل عام، تتجه جرائم التشفير نحو الانخفاض في السنوات السابقة: 4.5 مليار دولار في عام 2019، و 1.9 مليار دولار في عام 2020، و 681 مليون دولار في الأشهر السبعة الأولى من عام 2021. لكن جرائم الحرب تضاعفت ثلاث مرات.

هذا المقال سيتناول الأسباب، الطفرات الخطيرة التي حدثت في سوق ديفي عام 2021، والخطوات التي اتخذتها الصناعة للحد من التكرار. داوموا على القراءة!

الكلمات الأساسية: لا مركزية التمويل ( ديفي )، ديفي الهجمات، أختراق بلوكشين، أكبر ديفي أختراق، عرقلة سلسلة، هاكر.

لماذا ديفي مشاريع؟

لذلك تنشأ اسئلة كثيرة عن سبب كون كثيرين لا يزالون مهتمين بهذه الذراع المحصنة، رغم الهجمات الكبيرة. قد يثير اهتمامكم معرفة أن DeFi، على عكس الأنظمة المالية التقليدية حيث تحكم العمليات الداخلية العملية وتتحكم في القطاع، لا تعتمد على مثل هذه السلطات.

لقد أدى التمويل غير المركزي، الذي يعمل بتكنولوجيا الحصار، إلى إحداث ثورة في عالم التمويل، حيث أنه غير سند للحراسة وغير مركزي على الإطلاق. يسمح للمستخدمين بالتحكم الكامل في أصولهم الرقمية والتعامل معها: لا سلطة مركزية. وقد أصبحت هذه اللامركزية ممكنة من خلال العقود الذكية على شبكة سلسلة الاتصال، والتي لا تسمح باتخاذ الإجراءات على الشبكة إلا عند استيفاء الشروط المحددة. وعلى هذا فقد أصبح لدينا خدمات مالية تعتمد على الند للند، وتسمح بالإقراض غير المركزي، والتبادل اللامركزي، والمشتقات المالية، وأنظمة الدفع، وزراعة المحاصيل، والتنبؤ بالأسواق، وهي خدمات أسرع وأرخص وقابلة للمراجعة والمحاكاة بسلاسة.

المصدر: DeFi TVL by DeFi pulse

فعلى سبيل المثال ، اكتسبت مشاريع Ethereum DeFi اعتمادا واسعا بسبب ارتفاع سعر الفائدة في السنة السابقة ، مما جعل العديد من المستعملين يحققون أرباحا كبيرة. فالقروض والفوائد المكتسبة من القروض تدر "دخلا سلبيا" للمستعملين. وتتيح زراعة الغلة للمستخدمين الاستفادة من أصولهم المشفرة من أجل تحقيق عوائد وسيمة.

اختراق تصميم العقد الذكي الضعيف

وعلى الرغم من هذا الانخفاض في الهجمات الواسعة النطاق على صناعة البلاكشاين ، فقد تفاقمت ديفي بعامل 2.7 مقارنة بالعام الماضي. وقد جاءت هذه الخسائر من خلال وسائل مختلفة مثل الاختراق ، وسحب البساط ، وفشل النظام ، والسرقات.

في أغلب الحالات، تحدث قرصنة DeFi عندما تكون عقود Smart المنفذة على سلسلة الحظر معيبة، أو سوء إستخدام بروتوكولات الطرف الثالث، أو عجز المطورين، أو الأخطاء في منطق العمل، الأمر الذي قد يجعل المشروع عرضة للقراصنة. إن أخطاء العقود هذه تكاد تكون غير قابلة للإلغاء، وكذلك الأخطاء، وبالتالي تزيد من المخاطر. ولسوء الحظ، لا تزال هذه العيوب سائدة في شبكة دي فاي.

ويقول الخبراء إن قراصنة الكمبيوتر يستغلون الضعف في التشفير أو في ترميز مشاريع دي في للسماح بحركة الأموال.


ب.س: وبإجمالي 906 ملايين دولار، نجحت شبكة Poly Network، وشركة Compound، وشركة Cream Finance في الوصول إلى أكثر مشاريع DeFi تضررا في عام 2021.

1. أكبر عمليات أختراق DeFi في عام 2021: أختراق شبكة بولي

وفي 10 أغسطس/آب، سجلت شركة بولي نتورك أكبر خسارة في تاريخ التشفير، حيث بلغت 612 مليون دولار، لتتصدر بذلك خسائر شركة ماتجوكس وكونشتك. عادة، يستهدف مخترقو DeFi أدوات DeFi معينة، لكن في هذه الحالة، البنية التحتية لشبكة Poly هي التركيز.

وكان هدف المخترق اكتساب السيطرة الكاملة على عقود تبادل الأوراق المالية الذكية غير المركزية، الأمر الذي سمح له بالوصول إلى الرموز الإلكترونية المقفلة في إطار العقد.

وسرق ما مجموعه 273 مليون دولار من أجهزة الربط الشبكية من الأيتيريوم؛ 85 مليون دولار أمريكي من العملة الصينية الموحدة (USDC) من شبكة المضلعات، و 253 دولار أمريكي من سلسلة Binance Smart، وكمية كبيرة من مادة RenBTC، ومادة Bitcoin (wBTC)، والأثير الملفف (wETH).

تعمل Poly Network بعقد ذكي يربط بين سلاسل مستقلة لتسهيل نقل الرموز المميزة. قام هذا المخترق، والمعروف باسم White Hat، باستغلال العقد الذكي CrossChainManager وتبديل مفتاح تخزين العقد على شبكة Poly. وقد منحه هذا التلاعب سيطرة كاملة، مما سمح له بفك القفل ونقل الرموز إلى عناوين إختياره.

والمدهش ان القرصان رفض العروض التي قدمتها شبكة بولي، ولكن في 11 آب ابتدأ المهاجم يعيد بعض الاموال المسروقة إلى شبكة بولي.

في محاولة قراصنة الحاسوب، يبدو أنه أعاد إستخدام محفظة مع تبادلات بارزة التي لديها بعض المعلومات عنه من خلال بروتوكول معرفة زبائنك.
ووفقا لشركة CipherTrace، تمت إعادة معظم الأموال المسروقة إلى عناوين مختارة تابعة لشبكة Poly.
هذه العناوين هي:

· 0x71Fb9dB587F6d47Ac8192Cd76110E05B8fd2142f
· 0xA4b291Ed1220310d3120f515B5B7AccaecD66F17
· 0xEEBb0c4a5017bEd8079B88F35528eF2c722b31fc

2 - إختراق التمويل المركب

في 19 أبريل 2021، خسرت EasyFi حوالي 75 مليون دولار وهانيت سيولة المستخدمين 6 مليون دولار. EasyFi هي مجموعة تمويل مركبة تعمل على شبكة Polygon من المستوى الثاني. قام المخترق بالوصول إلى مفتاح إدارة المشروع، الذي يسمح للمطورين بتحديث البروتوكول الخاص بهم. ولذلك، قام الفريق بتغيير بروتوكول شبكة الحصار للتعويض عن خسائرهم وتجنب الهجمات في المستقبل.

3 - شن هجوم على القروض العاجلة لتمويل التمويل

في فبراير/شباط 2021، تعرضت شركة "يوين فاينانشال" (YFI) لهجوم من أحد القراصنة، ففرت منها بمبلغ 2. 8 مليون دولار. فقد حول القراصنة 11 مليون دولار أميركي من صندوق DIA Vault عن طريق قروض خاطفة لتقديم قرض مضمون. وقد استغل هذا المخترق الغامض الخلل في التصميم للشروع في "هجوم قرض عاجل" بإشراك خمسة بروتوكولات مختلفة من DeFi؛ التمويل المركب (COMP) وبروتوكول AAVE وبروتوكول المنحنى (CRV) و dYdX و Yearn. التمويل (YFI).

4. أختراق شبكة مدفوعة الأجر 2021

تلاعب المخترق بوظيفة ترقية عقد Smart باستخدام مفتاح آخر في نشر عقد الشبكة المدفوعة. وسمح له هذا الوصول بنعث أكثر من 100 مليون شخص والتخلص منها، مما أدى إلى توقف تضخمي أدى إلى خسارة الرمز المميز بنسبة 85٪ تقريبا من قيمة السوق.

5. كريم تمول قرصنة بقيمة 130 مليون دولار

ففي عام 2021 وحده، عانت مؤسسة كريم للتمويل من ثلاث هجمات مختلفة بلغت في مجموعها 186. 6 مليون دولار. - في شباط/فبراير الماضي، قام قراصنة بسحق العقد الذكي لبروتوكول ألفا هومورا. حوالي 37.5 مليون دولار في ETH و الطعنات وجدت مفقودة.

- في نهاية آب/أغسطس، تعرضت مؤسسة "كريم فاينانس" لهجوم مماثل عندما سرق قراصنة 18،8 مليون دولار من أجهزة "ايثر" و"أي ام بي".

-تعرضت مؤسسة كريم المالية لهجوم جديد في 27 أكتوبر 2021. وتقدر قيمة الخسارة هذه المرة بحوالي 130 مليون دولار. مما يجعله يحتل المرتبة الثالثة في أعلى هجوم في عام 2021
ولقد استغل المهاجم نقطة ضعف في العقد الذكي للقروض العاجلة (القروض الفورية) من مؤسسة "كريم" للتمويل على شبكة الأثير.

6 - سرقة الرمز الرمزي من BadgerDAO بمبلغ 120 مليون دولار.

يستطيع حاملو العملة البتكوين في البروتوكول الخاص به "توصيل" عملة التشفير الخاصة بهم إلى منصة Ethereum من خلال الرمز المميز، مما يمكنهم من الاستفادة من فرص DeFi التي قد لا يمكنهم الوصول إليها.

ووفقا لمصدر أمني، أكد بيكشيلد، الذي كان يعمل مع بادجر داو للتحقيق في الشفرات المسروقة، أن ممثلا خبيثا حصل على حوالي 120 مليون دولار في 1 ديسمبر 2020. وادعوا أن الشخص السيئ قام بإدخال __script__s على موقعهم الإلكتروني لمقاطعة معاملات Web3، طالبا نقل الرموز المميزة للضحية إلى العنوان الذي اختاره المهاجم. وقد زعم فريق بادجر أنهم لاحظوا بعض الآثار منذ 10 نوفمبر/تشرين الثاني، ولكنها كانت نادرة لأن المخترق أدارها بشدة على فترات مختلفة.

و بالرغم من أنه لم يكن هناك أي خطأ في تكنولوجيا بلوك سيل نفسها، إلا أن القرصان قام باستغلال المستخدمين على موقع بادجر وب 2. 0 أثناء قيامه بمعاملاتهم. وقد دفع هذا الغرير إلى تجميد برنامجه بسبب عمليات النقل غير المأذون بها التي اكتشفها فريقه. فقد أوقفت الشركة كل العقود الذكية وطلبت من المستخدمين رفض كل المعاملات بعناوين المهاجم.
ومنذ ذلك الحين، إحتفظت الشركة بخبراء تحليل البيانات الجنائية للتحقيق في النطاق الكامل مع التعاون الكامل مع الهيئات الخارجية للتحقيق.

إستنتاج

-حسب كوين تلغراف، فمن بين مخترقي التشفير 2021، تم تدقيق 37٪ فقط.
-تأثير الهجمات أقل بنسبة 60٪ تقريبا مقارنة بالمشاريع غير المراجعة.
-وتزعم هذه النتيجة أيضا أن ما يصل إلى 1.3 بليون دولار كان من أموال غير مدققة.

وبوسعنا عندئذ أن نستنتج أن التدقيق ضروري لتوفير بروتوكول DeFi مضمون لمستعملي سلسلة المنع. وفي الآونة الأخيرة، أزداد الطلب على عمليات تدقيق أمنية ذكية بموجب عقود وإجراءات مراجعة حسابات من طرف ثالث لضمان إستمرارية هذه المشاريع قبل أن تنشر على الملأ. وفي الختام، يتعين على المستثمرين إجراء بحث شامل قبل تخصيص الأموال لمشاريع DeFi. ومع ذلك، شددت هذه الاختراقات والسرقات على ضرورة توخي الحذر في المجتمع المحاصر، مما دفع القطاع إلى التقدم والمصداقية.



الكاتب: مراقب Gate.io: أولاتونجي. إم
إخلاء المسؤولية:
* لا تمثل هذه المادة سوى آراء المراقبين ولا تشكل أي اقتراحات إستثمارية.
*يحتفظ Gate.io بكافة الحقوق في هذه المادة. سيتم السماح بإعادة نشر المادة بشرط الإشارة إلى Gate.io. وفي جميع الحالات الأخرى، ستتخذ الإجراءات القانونية بسبب انتهاك حقوق التأليف.