تحليل حوادث الأمان في Web3: تعرض المحفظة الباردة الخاصة بأحد المنصات لهجوم كبير
في 21 فبراير 2025، تعرضت المحفظة الباردة للإيثيريوم التابعة لمنصة تداول معروفة للهجوم، وتم تحويل حوالي 401,346 ETH، 15,000 cmETH، 8,000 mETH، 90,375 stETH و90 USDT إلى عنوان غير معروف، بقيمة إجمالية تقدر بحوالي 1.46 مليار دولار.
المهاجمون يستخدمون أساليب التصيد لإغراء الموقع بتوقيع المحفظة متعددة التوقيع لتوقيع المعاملات الضارة. خطوات الهجوم هي كما يلي:
يقوم المهاجم بنشر عقد ضار يحتوي على باب خلفي لتحويل الأموال مسبقًا.
تعديل واجهة إدارة الأمان، مما يجعل معلومات المعاملات التي يراها الموقّع غير متطابقة مع البيانات المرسلة فعليًا إلى المحفظة الباردة.
من خلال إنشاء واجهة مزيفة للحصول على ثلاثة توقيعات صالحة، استبدل عقد التنفيذ لمحفظة متعددة التوقيعات بنسخة خبيثة، وبالتالي السيطرة على المحفظة الباردة وتحويل الأموال.
الشركة الأمنية المكلفة بإجراء تحقيقات جمع الأدلة اكتشفت حاليا:
تم حقن موارد في تخزين السحابة على المنصة لإدارة الأمان برمز JavaScript خبيث.
تظهر تحليل الشيفرة أن هدفها الرئيسي هو التلاعب بمحتوى المعاملة أثناء عملية التوقيع.
يتم تعيين شروط تنشيط الشيفرة الضارة، وتُفعّل فقط عند عنوان عقد معين.
بعد تنفيذ الصفقة الخبيثة، تم تحميل نسخة جديدة من موارد JavaScript، وتم حذف الشيفرة الخبيثة.
الحكم الأولي على أن الهجوم ينشأ من بنية السحابة التحتية للمنصة لإدارة الأمان.
لم يتم العثور حاليًا على أي علامات تدل على اختراق بنية المنصة الأساسية.
من المعلومات الحالية، يبدو أن الواجهة الأمامية ليست المشكلة الرئيسية، بل تكمن المشكلة الرئيسية في اختراق خدمة التخزين السحابي مما أدى إلى تعديل JavaScript. ولكن إذا كانت منصة إدارة الأمان قد نفذت تحققًا أساسيًا من السلامة في الواجهة الأمامية، فلن يؤدي تعديل JavaScript إلى عواقب خطيرة بهذا القدر. بالطبع، لا يمكن لمنصة التداول أن تتبرأ من اللوم أيضًا، حيث قامت بالتأكيد على المعاملات دون أن تظهر المعلومات المحددة في المحفظة المادية، مما يجعل الثقة في الواجهة الأمامية لمنصة إدارة الأمان نفسها محفوفة بالمخاطر.
تواجه المحفظة الصلبة قيودًا عند معالجة المعاملات المعقدة، حيث لا يمكنها تحليل وعرض بيانات المعاملات التفصيلية لمحافظ التوقيع المتعدد بشكل كامل، مما يؤدي إلى قيام الموقّعين ب"التوقيع الأعمى" دون التحقق الكامل من محتوى المعاملة.
يتميز القراصنة بالقدرة على استغلال عيوب تصميم العملية التفاعلية لخداع أصول المستخدمين، مثل اختطاف واجهة المستخدم، التوقيع المخادع، استغلال التوقيع الأعمى، إساءة استخدام توقيع الإذن، الصيد من خلال تحويل صفر، خدعة الأيردروب برقم نهائي متطابق، وصيد NFT.
مع تطور تقنية Web3، أصبح الحدود بين أمان الواجهة الأمامية وأمان blockchain أكثر ضبابية. تم منح ثغرات الواجهة الأمامية التقليدية أبعادًا جديدة للهجوم في سيناريوهات Web3، مما زاد من المخاطر مثل ثغرات العقود الذكية وعيوب إدارة المفاتيح الخاصة.
تعديل معلمات التداول: عرض الواجهة التحويل، التنفيذ الفعلي للتفويض
يرى المستخدم نافذة المحفظة تعرض "نقل 1 ETH إلى 0xUser..."، لكن ما يتم تنفيذه فعليًا على السلسلة هو "الموافقة(المهاجم، غير محدود)"، مما يسمح بنقل الأصول في أي وقت.
الحل: التحقق من التوقيع المهيكل EIP-712
توليد بيانات قابلة للتحقق من الواجهة الأمامية
التحقق من توقيع العقد الذكي
بهذه الطريقة، فإن أي تعديل في معلمات الواجهة الأمامية سيؤدي إلى عدم تطابق التوقيع، وستتم إعادة المعاملة تلقائيًا.
اختطاف التوقيع الأعمى: أسباب اختراق المحفظة الباردة
قد يقوم المهاجمون باختراق كود الواجهة الأمامية، وإرسال بيانات مزيفة إلى المحفظة الباردة. تعرض شاشة المحفظة الباردة معلومات معاملة طبيعية، ولكن ما يتم تنفيذه فعليًا هو "approve(attacker, unlimited)".
الحل: تحليل دلالي للمحفظة الصلبة + تحقق ثانٍ على السلسلة
ترقية برنامج تشغيل المحفظة硬件支持EIP-712
مطابقة دلالية إلزامية على السلسلة
الخاتمة
إن دمج أمان الواجهة الأمامية مع أمان Web3 يمثل تحديًا ولكنه أيضًا فرصة. لقد كشفت هذه الحادثة عن مشكلات عميقة في إدارة الأمان والهندسة التقنية في صناعة العملات المشفرة. يحتاج القطاع إلى تعزيز قدرات الحماية بشكل شامل من جوانب متعددة مثل أمان الأجهزة، والتحقق من المعاملات، وآليات إدارة المخاطر لمواجهة التهديدات المتزايدة التعقيد. يجب على تطوير الواجهة الأمامية إجراء تحقق متكرر في مراحل الوصول إلى DApp، وتوصيل المحفظة، وتوقيع الرسائل، وتوقيع المعاملات، ومعالجة ما بعد المعاملات، لتحقيق الانتقال من "الإصلاح السلبي" إلى "المناعة النشطة". فقط من خلال ذلك، يمكن حماية قيمة وثقة كل معاملة في عالم Web3 المفتوح.
بالطبع، فإن تدقيق أمان العقود على السلسلة لا غنى عنه لكل Dapp. يمكن لأدوات المسح الأمني المدعومة بالذكاء الاصطناعي أن تضمن صحة الشفرة من خلال التحقق الشكلية وتوليد المعايير الأمنية المدعومة بالذكاء الاصطناعي، وتقديم تحليل لتشابه الشفرة ومخاطر الملكية الفكرية لعقود النشر الكبيرة، ومراقبة مستمرة وإخطار فوري بأية ثغرات صفرية وأحداث أمان قد تؤثر على المشروع. تحتوي بعض الأدوات أيضًا على نماذج ذكاء اصطناعي محسّنة بناءً على قاعدة بيانات الثغرات الكبيرة، للكشف عن أنواع مختلفة من الثغرات الفعلية في العقود الذكية.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 13
أعجبني
13
6
مشاركة
تعليق
0/400
GameFiCritic
· منذ 17 س
مرة أخرى هجوم أمامي، لم يتم تحسين التحقق من رؤية البيانات بعد.
تعرضت منصة Web3 لهجوم على المحفظة الباردة بقيمة 1.46 مليار دولار، وأصبحت أمان الواجهة الأمامية محور التركيز.
تحليل حوادث الأمان في Web3: تعرض المحفظة الباردة الخاصة بأحد المنصات لهجوم كبير
في 21 فبراير 2025، تعرضت المحفظة الباردة للإيثيريوم التابعة لمنصة تداول معروفة للهجوم، وتم تحويل حوالي 401,346 ETH، 15,000 cmETH، 8,000 mETH، 90,375 stETH و90 USDT إلى عنوان غير معروف، بقيمة إجمالية تقدر بحوالي 1.46 مليار دولار.
المهاجمون يستخدمون أساليب التصيد لإغراء الموقع بتوقيع المحفظة متعددة التوقيع لتوقيع المعاملات الضارة. خطوات الهجوم هي كما يلي:
الشركة الأمنية المكلفة بإجراء تحقيقات جمع الأدلة اكتشفت حاليا:
من المعلومات الحالية، يبدو أن الواجهة الأمامية ليست المشكلة الرئيسية، بل تكمن المشكلة الرئيسية في اختراق خدمة التخزين السحابي مما أدى إلى تعديل JavaScript. ولكن إذا كانت منصة إدارة الأمان قد نفذت تحققًا أساسيًا من السلامة في الواجهة الأمامية، فلن يؤدي تعديل JavaScript إلى عواقب خطيرة بهذا القدر. بالطبع، لا يمكن لمنصة التداول أن تتبرأ من اللوم أيضًا، حيث قامت بالتأكيد على المعاملات دون أن تظهر المعلومات المحددة في المحفظة المادية، مما يجعل الثقة في الواجهة الأمامية لمنصة إدارة الأمان نفسها محفوفة بالمخاطر.
تواجه المحفظة الصلبة قيودًا عند معالجة المعاملات المعقدة، حيث لا يمكنها تحليل وعرض بيانات المعاملات التفصيلية لمحافظ التوقيع المتعدد بشكل كامل، مما يؤدي إلى قيام الموقّعين ب"التوقيع الأعمى" دون التحقق الكامل من محتوى المعاملة.
يتميز القراصنة بالقدرة على استغلال عيوب تصميم العملية التفاعلية لخداع أصول المستخدمين، مثل اختطاف واجهة المستخدم، التوقيع المخادع، استغلال التوقيع الأعمى، إساءة استخدام توقيع الإذن، الصيد من خلال تحويل صفر، خدعة الأيردروب برقم نهائي متطابق، وصيد NFT.
مع تطور تقنية Web3، أصبح الحدود بين أمان الواجهة الأمامية وأمان blockchain أكثر ضبابية. تم منح ثغرات الواجهة الأمامية التقليدية أبعادًا جديدة للهجوم في سيناريوهات Web3، مما زاد من المخاطر مثل ثغرات العقود الذكية وعيوب إدارة المفاتيح الخاصة.
تعديل معلمات التداول: عرض الواجهة التحويل، التنفيذ الفعلي للتفويض
يرى المستخدم نافذة المحفظة تعرض "نقل 1 ETH إلى 0xUser..."، لكن ما يتم تنفيذه فعليًا على السلسلة هو "الموافقة(المهاجم، غير محدود)"، مما يسمح بنقل الأصول في أي وقت.
الحل: التحقق من التوقيع المهيكل EIP-712
بهذه الطريقة، فإن أي تعديل في معلمات الواجهة الأمامية سيؤدي إلى عدم تطابق التوقيع، وستتم إعادة المعاملة تلقائيًا.
اختطاف التوقيع الأعمى: أسباب اختراق المحفظة الباردة
قد يقوم المهاجمون باختراق كود الواجهة الأمامية، وإرسال بيانات مزيفة إلى المحفظة الباردة. تعرض شاشة المحفظة الباردة معلومات معاملة طبيعية، ولكن ما يتم تنفيذه فعليًا هو "approve(attacker, unlimited)".
الحل: تحليل دلالي للمحفظة الصلبة + تحقق ثانٍ على السلسلة
الخاتمة
إن دمج أمان الواجهة الأمامية مع أمان Web3 يمثل تحديًا ولكنه أيضًا فرصة. لقد كشفت هذه الحادثة عن مشكلات عميقة في إدارة الأمان والهندسة التقنية في صناعة العملات المشفرة. يحتاج القطاع إلى تعزيز قدرات الحماية بشكل شامل من جوانب متعددة مثل أمان الأجهزة، والتحقق من المعاملات، وآليات إدارة المخاطر لمواجهة التهديدات المتزايدة التعقيد. يجب على تطوير الواجهة الأمامية إجراء تحقق متكرر في مراحل الوصول إلى DApp، وتوصيل المحفظة، وتوقيع الرسائل، وتوقيع المعاملات، ومعالجة ما بعد المعاملات، لتحقيق الانتقال من "الإصلاح السلبي" إلى "المناعة النشطة". فقط من خلال ذلك، يمكن حماية قيمة وثقة كل معاملة في عالم Web3 المفتوح.
بالطبع، فإن تدقيق أمان العقود على السلسلة لا غنى عنه لكل Dapp. يمكن لأدوات المسح الأمني المدعومة بالذكاء الاصطناعي أن تضمن صحة الشفرة من خلال التحقق الشكلية وتوليد المعايير الأمنية المدعومة بالذكاء الاصطناعي، وتقديم تحليل لتشابه الشفرة ومخاطر الملكية الفكرية لعقود النشر الكبيرة، ومراقبة مستمرة وإخطار فوري بأية ثغرات صفرية وأحداث أمان قد تؤثر على المشروع. تحتوي بعض الأدوات أيضًا على نماذج ذكاء اصطناعي محسّنة بناءً على قاعدة بيانات الثغرات الكبيرة، للكشف عن أنواع مختلفة من الثغرات الفعلية في العقود الذكية.