أكثر من 1 مليار دولار أمريكي سرق عبر الجسور في عام 2022 وحده
نحن بحاجة إلى حلول أفضل
هذا هو السبب في أن @union_build تطور الجسر الأكثر أمانا لدينا في مجال التشفير
لفهمها ، نحتاج إلى النظر في كيفية حدوث معظم اختراقات الجسور وما يفعله الاتحاد بشكل مختلف
خيط 🧵
هناك 4 ثغرات أمنية شائعة في الجسر تم استغلالها ، دعنا نذهب من خلالها 👇🏻
1. تسوية متعددة التوقيعات
اعتمدت بعض الجسور على مجموعة صغيرة من المفاتيح (غالبا 3 من 5 أو 5 من 9 متعددة التوقيعات) للتحقق من صحة عمليات النقل عبر السلاسل
إذا تم اختراق هذه المفاتيح (عبر التصيد الاحتيالي أو الوظائف الداخلية وما إلى ذلك) ، فيمكن للمهاجم سك الأموال أو استنزافها
يعد اختراق Ronin Bridge بقيمة 625 مليون دولار مثالا ممتازا
سيطر المهاجم على مفاتيح المدقق وسمح بعمليات سحب وهمية إلى حساباته الخاصة
كانت واحدة من أكبر الاختراقات في تاريخ 🚨 التشفير
2. معالجة أوراكل / إعادة الطبقة
عندما تعتمد على جهات خارجية خارج السلسلة (Oracle وRelayers) للتحقق من المعلومات على السلسلة، فأنت عرضة للخطر
إذا أصبح هؤلاء الممثلون مارقين ، فيمكنهم الكذب بشأن حالة السلسلة ، مما يتسبب في سلوك غير صحيح على السلسلة المستهدفة
مرة أخرى في عام 2022 ، واجهت LayerZero انتقادات من باحث أمني @samczsun لأن عقودهم كانت تحتوي على طبقات قابلة للترقية + أوراكل ، يتحكم فيها الفريق
كانت هذه ثغرة أمنية هائلة وإذا تم اختراقها ، يمكن للمهاجمين سرقة جميع الأموال التي تمر عبر البروتوكول
3. أخطاء العقد الذكي
تحتوي معظم الجسور على عقود ذكية معقدة مع الكثير من نقاط الضعف المحتملة
يمكن لأي خطأ صغير أن يسمح للمهاجمين بتجاوز التحقق من الصحة أو استنزاف السيولة
يعد استغلال جسر Nomad البالغ 190 مليون دولار أفضل مثال على ذلك
لقد كان عيبا بسيطا في العقد بشكل صادم
تقوم الترقية الروتينية عن طريق الخطأ بتعيين التحقق من الصحة لإرجاع "صحيح" دائما
يمكن لأي شخص نسخ ولصق معاملة قديمة ونقل أموال الجسر إلى حساباته الخاصة
رأى مجتمع التشفير بأكمله أشخاصا يقومون بنسخ ولصق رمز الهجوم من Twitter ، لقد كان جنونا خالصا
4. مخاطر الرمز المميز المغلف
استخدمت العديد من الجسور أصولا مغلفة ، وهي جيدة فقط مثل الجسر الذي يدعمها
إذا تعرض الجسر للخطر ، فإن الرموز المميزة المغلفة لا قيمة لها ، فلا يوجد ETH حقيقي لاسترداده
في اختراق بقيمة 321 مليون دولار ، استغل المهاجم خطأ في عقد Wormhole الذكي الذي سمح لهم بسك 120,000 WETH على Solana دون إيداع أي ETH على Ethereum
لقد خدعوا النظام للاعتقاد بأن ETH قد تم إيداعه
خسر Wormhole ما قيمته 321 مليون دولار من الأموال الحقيقية واضطر إلى دفع المستخدمين من جيوبهم الخاصة
دون الخوض في التفاصيل الفنية (أنا متحمس جدا لذلك) هذا ما يفعله @union_build بشكل مختلف:
- لا توجد أوراكل متعددة الأصابع أو أوراكل
- ZK-Proofs للتحقق من الصحة
- الأصول الأصلية ، وليس الرموز المميزة المغلفة
هل جسر الاتحاد غير قابل للاختراق على الإطلاق؟ لا ، لا شيء
لكن تقنيتهم تزيل معظم نقاط الفشل المركزية ، وتستبدل الثقة بدليل التشفير ، وتزيل أوراكل / Multisigs وتتجنب مخاطر التغليف
إنه أقرب ما يمكننا الوصول إليه من الأمان الكامل اليوم 🗿
9.29 ألف
355
المحتوى الوارد في هذه الصفحة مُقدَّم من أطراف ثالثة. وما لم يُذكَر خلاف ذلك، فإن OKX ليست مُؤلِّفة المقالة (المقالات) المذكورة ولا تُطالِب بأي حقوق نشر وتأليف للمواد. المحتوى مٌقدَّم لأغراض إعلامية ولا يُمثِّل آراء OKX، وليس الغرض منه أن يكون تأييدًا من أي نوع، ولا يجب اعتباره مشورة استثمارية أو التماسًا لشراء الأصول الرقمية أو بيعها. إلى الحد الذي يُستخدَم فيه الذكاء الاصطناعي التوليدي لتقديم مُلخصَّات أو معلومات أخرى، قد يكون هذا المحتوى الناتج عن الذكاء الاصطناعي غير دقيق أو غير مُتسِق. من فضلك اقرأ المقالة ذات الصِلة بهذا الشأن لمزيدٍ من التفاصيل والمعلومات. OKX ليست مسؤولة عن المحتوى الوارد في مواقع الأطراف الثالثة. والاحتفاظ بالأصول الرقمية، بما في ذلك العملات المستقرة ورموز NFT، فيه درجة عالية من المخاطر وهو عُرضة للتقلُّب الشديد. وعليك التفكير جيِّدًا فيما إذا كان تداوُل الأصول الرقمية أو الاحتفاظ بها مناسبًا لك في ظل ظروفك المالية.