Gate.ioمدونةسلامة الجسر تحت السلسلة Cross-Chinain Bridge تحت المجهر : Norcorke Axie Infinity_s Ronin $620 مليون Hack
سلامة الجسر تحت السلسلة Cross-Chinain Bridge تحت المجهر : Norcorke Axie Infinity_s Ronin $620 مليون Hack
19 April 10:00
1. وفي 29 مارس ، أعلنت رونين ، وهي السلسلة الجانبية الخاصة لأكبر سلسلة ألعاب أكسي لانهائي ، أنها تعرضت للهجوم ، بقيمة خسارة قدرها 616 مليون دولار ، مما يجعلها أكبر سرقة في تاريخ ديفي.
2. قام المتسلل بالتحكم في أربعة من برامج التحقق من العقد وقام طرف ثالث بالتحقق من وحدة التحقق من Ronin Bridge ، وقد تمكن من الوصول الى threshold الخاص بوحدة التحقق من خلال bross-chain Bridge وتنفيذ عملية الهجوم بنجاح.
3. وفي الوقت الحاضر ، أصبحت هذه المشاريع بالغة القيمة والسهولة لمهاجمة مشاريع الجسور عبر سلاسل السلاسل والتي أصبحت الأهداف الجادة للعديد من قراصنة الكمبيوتر.
4. في 5 يناير ، ذكر فيتاليك أن مستقبل blocchain هو "سلسلة متعددة" بدلا من "cross-chain"، وأكد على المشاكل الأمنية للتسلسل المتبادل.
وفي 29 آذار / مارس ، أعلنت رونين ، وهي سلسلة جانبية مكرسة لأكبر سلسلة ألعاب أكسي لانهاية ، أنها تعرضت للهجوم وسرقت منها 173600 ETH ، وأن أكثر من 25 مليون من البلدان النامية قد سرقت. وبلغت قيمة خسارة رونين 616 مليون دولار ، لتتجاوز 611 مليون دولار في قضية سرقة الشبكة القطبية في أغسطس الماضي ، والتي أصبحت أيضا أكبر سرقة في تاريخ ديفي.
وفقًا لأخبار رونين الرسمية في 23 آذار (مارس) ، استخدم المتسللون المفتاح الخاص الذي تم اختراقه للدخول إلى النظام وقاموا بعمليتي سحب زائفين لتحقيق الهجوم. وحتى 29 آذار / مارس ، وبعد خمسة أيام ، اكتشف المسؤولون في المشروع الهجوم لأن أحد المستخدمين أبلغ عن عدم إمكانية سحب 5000 ETH من الجسر عبر سلسلة. وبعد السرقة ، قام رونين بوقف رونين بريدج وكاتانا على الفور ، وهو تبادل مركزي على سلسلة متاجر. وبالاضافة الى ذلك ، قال رونين ايضا ان هذا الهجوم يظهر المشكلات الامنية المحتملة لجسر رونين ، وان امن سد رونين نفسه مازال مضمونا
بمجرد ظهور الأخبار ، انخفضت أسعار مجموعة متنوعة من الأصول ذات الصلة ، بما في ذلك AXS و RON ، بشكل حاد.
تفاصيل هجوم القراصنة
تعد Axie infinity حاليًا أكثر ألعاب blockchain شيوعًا ، مع أكثر من 10 ملايين لاعب حول العالم. قامت اللعبة بتكوين "مسرحية بنمط" . يمكن للاعبين الحصول على أصول NFT أو مجموعة متنوعة من الرموز المميزة أثناء تشغيلهم ، ويمكن تبادلهم لأصول أخرى مثل WETH و stableيكوين بالتبادل.
لتلبية المتطلبات ذات التردد العالي في اللعبة وتقليل تكاليف معالجة المعاملات ، لم تستخدم شركة Axie Infinity شبكة اتصالات رئيسية أكثر سرية ، ولكنها قامت ببناء سلسلة من رونين الخاصة بها عالية الأداء. وبالإضافة إلى ذلك ، ومن أجل ضمان سرعة المعاملات ، يعتمد رونين نموذج توافقي فريد من نوعه للسلطة ، وله عدد قليل من المتحققين ، ودرجة عالية من المركزية. ويتطلب الإثبات الموثوق به لهذه المتحققات أن تكون لها سمعة طيبة. يجب أن تقوم بتحديد "سمعتها" لتصبح وحدات التحقق. إذا أظهر المدقق علامات تدل على سوء السلوك أو كان يهدد أمن الشبكة ، فسوف تتأثر "السمعة" سلبًا.
المصدر: Axie Marketplace
للعب Axie Infinity ، يجب أن يكون لديك ثلاثة حيوانات أليفة NFT. الفأس الثلاثة الأولى هي تذاكر للمباراة وتحتاج إلى أن يتم شراؤها في متجر الألعاب. لهذا السبب ، يجب تحويل ETH on the ECOum blocchالسلسلة الى wETH on the Ronin chain. وتتم هذه العملية من خلال جسر خاص عبر سلسلة. علاوة على ذلك نحن يمكن أن نستعمل wETH لشراء الفأس في متجر الألعاب. هنا حيث أصبح الجسر متعدد السلسلة نقطة ضعف رونين والاختراق لهجوم القراصنة هذا.
وفي السابق ، كان ما مجموعه تسعة عقد للتحقق مسؤولا مسؤولية مشتركة عن صيانة الجسر عبر سلسلة من السلاسل. وكان مطلوبا خمسة توقيعات على الأقل من العقد التسعة للنجاح في تحديد أحداث الإيداع والانسحاب على الجسر عبر سلسلة من السلاسل. وفي هذا الهجوم ، تمكن المتسلل من السيطرة على المفاتيح الخاصة لأربعة من أجهزة التحقق من العقد وقام طرف ثالث للتحقق من صحة الطرف الثالث ، بالوصول إلى عتبة التحقق من الجسر عبر سلسلة من السلاسل ، وقام بتنفيذ الهجوم وسحب المال بنجاح. وقد تم تسجيل أنه يتم ادارة برنامج التحقق من الطرف الثالث الاضافي بواسطة Axie DAO ، ولكن لم يتم الغاء تصريح القائمة البيضاء الذي تم اصداره بواسطة العقدة في مرحلة مبكرة. يمكن للمهاجم الحصول على توقيع برنامج التحقق من خلال عقدة RPC غير الخاصة بالغاز.
وفي الوقت الحاضر ، قام رونين مؤقتا بزيادة عتبة التحقق من الجسر عبر السلاسل من 5 إلى 8 للقضاء مؤقتا على خطر التعرض لمزيد من الهجمات. واعتبارا من 6 ابريل ، تم اعادة فتح كاتانا ديكس على سلسلة رونين.
Cross-chain bridge : اخيل كعب
ويمكن للجسر الشامل للتسلسل أن ينقل الأصول الموجودة في سلسلة واحدة من سلسلة محاصرة إلى أخرى. اذا كانت blockchain نفسها يتم مقارنتها بلبنة صلبة ، فان bridge-chain bridge هو "وصلة مرنة" بين blockchain و blockchain. ومع تطور صناعة السلسة الكاملة ، فإن مجموعة متنوعة من السلاسل العامة المختلفة تظهر بشكل لا نهاية له. ولأن هذه السلاسل العامة غير قابلة للتشغيل المشترك ، فإن bridge-chain bridge التي يمكن أن تتواصل مع بعضها البعض قد أصبحت أكثر أهمية.
وفي هذا الهجوم ، لم يستخدم المتسللون الثغرات الموجودة في العقد الذكي للهجوم ، ولكنهم هاجموا الجسر متعدد السلاسل بين رونين وإيم. كما أن طريقة الهجوم بدائية نسبيا ، وهي سرقة بشكل مباشر للمفاتيح الخاصة للعديد من عقد التحقق من Bridge Bridge. وفي الوقت الحاضر ، يستخدم عدد كبير من مشاريع الجسور عبر سلسلة من السلاسل التقنية المتعددة التوقيعات المشابهة لجسر رونين ، وتواجه هذه المشاريع أيضا مخاطر مماثلة لاختراقها. بعد مراجعة دقيقة نسبيا للكود ، تم ضمان سرية blockchain نفسها ، وأصبح الجسر متعدد السلاسل مع TVL شديد الارتفاع هو "كعب أخيل" يهدد أمن سلسلة الحصار.
ووفقا لتحليلات (Dune Analytics) ، فقد وصل الجسر عبر الجسر عبر سلسلة "إيم" TVL وحده إلى 21.06 مليار دولار. ومن بين هذه الجسور ، تجاوز عدد الجسور التي تجاوزت قيمتها بليون دولار من دولارات الولايات للبوليغون ، والإنهيار الجليدي ، والمحكم ، والكباري ، والجسور شبه الشاملة. وقد أصبحت هذه المشاريع ذات القيمة العالية والسهلة للهجوم أهدافا خطيرة للعديد من قراصنة الانترنت.
في الواقع ، في الأشهر الأخيرة ، كان هناك العديد من القراصنة الهجمات ضد الجسور عبر السلاسل. وفي الثاني والعشرين من يناير عام 2022 ، تم اختراق جسر كوبت ، وتم تحويل مبلغ معين من دولارات الولايات المتحدة في نهاية المطاف ؛ وفي الثاني من فبراير ، تم اختراق جسر وفقد 320 مليون دولار ؛ وفي الخامس من شباط / فبراير ، خسر كوبري ميتران 4.2 مليون دولار في أيدي المخترقين.
في الخامس من يناير 2022 ، فيتاليك ، مؤسس Esium ، ذكر على ريديت أن مستقبل سلسلة الحواجز هو "سلسلة متعددة" بدلا من "عبر سلسلة"، وأكد على المشاكل الأمنية للتسلسل عبر السلسلة. وفي سلسلة محاصرة واحدة ، حتى في أسوأ الحالات ، لا يزال من الممكن استعادة هذه السلسلة من الحصار إلى حالتها الأصلية. وبمجرد وجود سلاسل مشتركة ، فمن الصعب حل المشكلة.
استنتاج
يعد أمن
DeFi دائما من الصعوبة الرئيسية في التطبيق الواسع لنظام blocchain. وفي عالم "القانون هو القانون" ، إذا كانت هناك ثغرات في القواعد ، فإن ذلك سيكون سيئا للغاية. ومع تحسن التكنولوجيات ذات الصلة ، يحدونا أمل صادق أن يتسنى لعالم لا مركزي أكثر أمنا أن يأتي في أقرب وقت ممكن.
المؤلف : Gate.io Researcher : Edward H. Translator : جوي Z.
* هذه المقالة تمثل فقط مشاهدات الباحث ولا تمثل أي اقتراحات استثمارية.
يحتفظ *Gate.io بكل الحقوق لهذه المادة. وسيسمح بإعادة نشر المقال بشرط أن يتم الرجوع إلى Gate.io. في جميع الحالات الأخرى ، سيتم اتخاذ الإجراءات القانونية بسبب انتهاك حقوق النشر.
This page is not intended for residents and citizens of Spain, Cuba, Bolivia, Venezuela and other Spanish-speaking jurisdictions listed in the Restricted Locations related terms of Gate.io's User Agreement.Español
This page is not intended for residents and citizens of France, Canada and other French-speaking jurisdictions listed in the Restricted Locations related terms of Gate.io's User Agreement.Français (Afrique)