تحليل حادثة سرقة الأموال الكبيرة من المحفظة الباردة Bybit
في 21 فبراير 2025، تعرضت المحفظة الباردة للإيثريوم التابعة لمنصة تداول معروفة لحدث أمني خطير، مما أدى إلى خسارة حوالي 1.46 مليار دولار من الأصول، ليصبح أحد أكبر الحوادث الأمنية في تاريخ Web3.0.
ملخص الحدث
في الساعة 14:16:11 بتوقيت UTC في نفس اليوم، تمكن المهاجم من خلال هجوم تصيد مصمم بعناية من إقناع موقع توقيع المحفظة الباردة بالتوقيع على معاملة خبيثة. كانت هذه المعاملة مموهة كعملية عادية، لكنها في الواقع استبدلت عقد تنفيذ المحفظة متعددة التوقيع من Safe بعقد خبيث يحتوي على باب خلفي. ثم استخدم المهاجم هذا الباب الخلفي لتحويل كميات كبيرة من الأصول داخل المحفظة.
تفاصيل الهجوم
استعداد الهجوم: قام المهاجمون بنشر عقدين خبيثين قبل ثلاثة أيام، يحتويان على بوابة تحويل الأموال ووظيفة تعديل فتحة التخزين.
خداع التوقيع: نجح المهاجم في إقناع مالكي ثلاثة محافظ متعددة التوقيعات بتوقيع معاملة تبدو طبيعية ولكنها في الحقيقة خبيثة.
ترقية العقد: من خلال تنفيذ عملية deleGatecall، يقوم المهاجم بتعديل عنوان عقد التنفيذ الخاص بـ Safe (masterCopy) إلى عنوان عقد خبيث.
سرقة الأموال: استخدم المهاجمون الوظائف sweepETH() و sweepERC20() في العقد الخبيث المحدث لنقل جميع الأصول من المحفظة الباردة.
تحليل الثغرات
تتمثل الثغرة الأساسية في هذا الحدث في نجاح هجوم الهندسة الاجتماعية. تمكّن المهاجمون من خلال واجهة مصممة بعناية من جعل المعاملات تبدو كعمليات طبيعية على Safe{Wallet}، بينما تم التلاعب بالبيانات المرسلة إلى المحفظة الباردة. لم يقم الموقعون بالتحقق مرة أخرى من تفاصيل المعاملة على الجهاز الصلب، مما أدى في النهاية إلى نجاح الهجوم.
تشير التحليلات إلى أن الهجوم قد تم التخطيط له وتنفيذه من قبل منظمة هاكرز معروفة، وأن أسلوبهم مشابه لحوادث سرقة الأصول الكبيرة الأخرى التي حدثت مؤخراً.
الدروس المستفادة
تعزيز أمان الأجهزة: اعتماد سياسات أمان صارمة للنقاط النهائية، واستخدام أجهزة توقيع مخصصة ونظام تشغيل مؤقت.
تعزيز الوعي الأمني: إجراء محاكاة لهجمات التصيد بانتظام وتمارين الهجوم والدفاع لفريق الأحمر.
تجنب التوقيع الأعمى: تحقق بعناية من تفاصيل كل معاملة على المحفظة الصلبة.
التحقق المتعدد: استخدام محاكاة المعاملات وآلية التحقق المزدوج.
احذر من الشذوذ: عند اكتشاف أي شذوذ، يجب إنهاء المعاملة على الفور وبدء التحقيق.
تُبرز هذه الحادثة مرة أخرى التحديات الأمنية التي تواجهها مجال Web3.0، وخاصة الهجمات المنهجية المستهدفة للأهداف ذات القيمة العالية. مع التطور المستمر لأساليب الهجوم، تحتاج منصات التداول ومؤسسات Web3.0 إلى تعزيز مستوى الحماية الأمنية بشكل شامل لمواجهة التهديدات الخارجية المتزايدة التعقيد.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 18
أعجبني
18
8
مشاركة
تعليق
0/400
SerumSurfer
· منذ 17 س
التوقيع الأعمى هو ضريبة الذكاء.
شاهد النسخة الأصليةرد0
SleepTrader
· 07-20 22:08
وصلت الأخبار الكبيرة على السلسلة
شاهد النسخة الأصليةرد0
GateUser-c802f0e8
· 07-20 22:04
إنها حقًا مسؤولية التوقيع الأعمى مرة أخرى!
شاهد النسخة الأصليةرد0
MrRightClick
· 07-20 22:02
ثغرة خطيرة مرة أخرى، لقد أذهلتني حقًا
شاهد النسخة الأصليةرد0
WhaleMinion
· 07-20 22:02
لم يكن من الأفضل الذهاب لسرقة البنك مباشرة.
شاهد النسخة الأصليةرد0
JustHereForAirdrops
· 07-20 22:00
حمقى遭殃又一年
شاهد النسخة الأصليةرد0
Layer2Arbitrageur
· 07-20 21:51
لن تنجح مع تلك التحقق من التوقيع الرديء. حرفياً تحرق المال بدون توقيع متعدد، ياله من أمر مخزي.
سرقة قياسية بقيمة 14.6 مليار دولار: تحليل ودروس من حادثة أمنية كبيرة للمحفظة الباردة
تحليل حادثة سرقة الأموال الكبيرة من المحفظة الباردة Bybit
في 21 فبراير 2025، تعرضت المحفظة الباردة للإيثريوم التابعة لمنصة تداول معروفة لحدث أمني خطير، مما أدى إلى خسارة حوالي 1.46 مليار دولار من الأصول، ليصبح أحد أكبر الحوادث الأمنية في تاريخ Web3.0.
ملخص الحدث
في الساعة 14:16:11 بتوقيت UTC في نفس اليوم، تمكن المهاجم من خلال هجوم تصيد مصمم بعناية من إقناع موقع توقيع المحفظة الباردة بالتوقيع على معاملة خبيثة. كانت هذه المعاملة مموهة كعملية عادية، لكنها في الواقع استبدلت عقد تنفيذ المحفظة متعددة التوقيع من Safe بعقد خبيث يحتوي على باب خلفي. ثم استخدم المهاجم هذا الباب الخلفي لتحويل كميات كبيرة من الأصول داخل المحفظة.
تفاصيل الهجوم
استعداد الهجوم: قام المهاجمون بنشر عقدين خبيثين قبل ثلاثة أيام، يحتويان على بوابة تحويل الأموال ووظيفة تعديل فتحة التخزين.
خداع التوقيع: نجح المهاجم في إقناع مالكي ثلاثة محافظ متعددة التوقيعات بتوقيع معاملة تبدو طبيعية ولكنها في الحقيقة خبيثة.
ترقية العقد: من خلال تنفيذ عملية deleGatecall، يقوم المهاجم بتعديل عنوان عقد التنفيذ الخاص بـ Safe (masterCopy) إلى عنوان عقد خبيث.
سرقة الأموال: استخدم المهاجمون الوظائف sweepETH() و sweepERC20() في العقد الخبيث المحدث لنقل جميع الأصول من المحفظة الباردة.
تحليل الثغرات
تتمثل الثغرة الأساسية في هذا الحدث في نجاح هجوم الهندسة الاجتماعية. تمكّن المهاجمون من خلال واجهة مصممة بعناية من جعل المعاملات تبدو كعمليات طبيعية على Safe{Wallet}، بينما تم التلاعب بالبيانات المرسلة إلى المحفظة الباردة. لم يقم الموقعون بالتحقق مرة أخرى من تفاصيل المعاملة على الجهاز الصلب، مما أدى في النهاية إلى نجاح الهجوم.
تشير التحليلات إلى أن الهجوم قد تم التخطيط له وتنفيذه من قبل منظمة هاكرز معروفة، وأن أسلوبهم مشابه لحوادث سرقة الأصول الكبيرة الأخرى التي حدثت مؤخراً.
الدروس المستفادة
تعزيز أمان الأجهزة: اعتماد سياسات أمان صارمة للنقاط النهائية، واستخدام أجهزة توقيع مخصصة ونظام تشغيل مؤقت.
تعزيز الوعي الأمني: إجراء محاكاة لهجمات التصيد بانتظام وتمارين الهجوم والدفاع لفريق الأحمر.
تجنب التوقيع الأعمى: تحقق بعناية من تفاصيل كل معاملة على المحفظة الصلبة.
التحقق المتعدد: استخدام محاكاة المعاملات وآلية التحقق المزدوج.
احذر من الشذوذ: عند اكتشاف أي شذوذ، يجب إنهاء المعاملة على الفور وبدء التحقيق.
تُبرز هذه الحادثة مرة أخرى التحديات الأمنية التي تواجهها مجال Web3.0، وخاصة الهجمات المنهجية المستهدفة للأهداف ذات القيمة العالية. مع التطور المستمر لأساليب الهجوم، تحتاج منصات التداول ومؤسسات Web3.0 إلى تعزيز مستوى الحماية الأمنية بشكل شامل لمواجهة التهديدات الخارجية المتزايدة التعقيد.