في 1 يناير 2024، بتوقيت بكين، وفقًا لرصد منصة مراقبة المخاطر الأمنية والإنذار المبكر والحظر التابعة لشركة Beosin EagleEye، تعرض مشروع Orbit_Chain لخسارة هجومية على الأقل في الولايات المتحدة تقريبًا 80 مليون دولار، وفقًا لتحليل Beosin Trace، أطلق عنوان المتسلل (0x27e2cc59a64d705a6c3d3d306186c2a55dcd5710) هجومًا صغير النطاق منذ يوم واحد، واستخدم ETH المسروقة كمصدر لرسوم التحويل للعناوين الخمسة المتبقية في هذا الهجوم.
Orbit Chain عبارة عن منصة جسرية عبر السلسلة تتيح للمستخدمين استخدام أصول مشفرة متنوعة من سلاسل كتل مختلفة في سلسلة واحدة. في الوقت الحالي، قام فريق المشروع بتعليق عقد الجسر عبر السلسلة ويتواصل مع المتسللين. فيما يتعلق بهذا الحادث الأمني، أجرى فريق Beosin الأمني على الفور التحليل التالي.
تحليل الحدث
كان سبب هذا الحادث بشكل رئيسي هو المهاجمون استدعاء وظيفة السحب الخاصة بـ Orbit Chain مباشرة: عقد الجسر لنقل الأصول.
من خلال التحليل الإضافي لرمز وظيفة السحب، يمكننا أن نجد أن هذه الوظيفة تستخدم طريقة للتحقق من التوقيعات لضمان أمان وشرعية الإقراض.
في معاملات blockchain، يعد التحقق من التوقيعات آلية أمان شائعة لتأكيد ما إذا كان بادئ المعاملة يتمتع بالسلطة والتحكم الكافيين. في وظيفة السحب، من خلال التحقق من التوقيع، يمكن التأكد من أن المستخدمين أو العقود المصرح لهم فقط هم من يمكنهم استدعاء الوظيفة ونقل الأصول بنجاح.
بعد الدخول إلى وظيفة التحقق من التوقيع (_validate)، يمكننا أن نلاحظ أن الوظيفة تقوم بإرجاع عدد توقيعات المالك. هذه المعلومات ضرورية للتحقق من شرعية وأمن المعاملة.
من خلال إعادة عدد توقيعات المالك، يمكن التحقق من امتثال المعاملة وصحتها إلى حد معين. اعتمادًا على التنفيذ، يمكن مقارنة عدد توقيعات المالك بحد محدد مسبقًا لتحديد ما إذا كانت شروط تنفيذ المعاملة قد استوفيت.
ثم يتم تحديد ما إذا كانت الكمية أكبر من أو تساوي المطلوب، وفي حالة استيفاء الشروط يتم القرض.
يمكن معرفة من البيانات الموجودة في السلسلة أن المالك الذي يدير العقد لديه إجمالي 10 عناوين. القيمة المطلوبة هي 7، مما يعني أنه من أجل سحب الأصول، يحتاج 70% من المسؤولين إلى التوقيع على معاملة السحب.
باختصار، يميل سبب الحادث إلى أن الخادم الذي يحفظ المفتاح الخاص للمسؤول كان خدع وهاجم.
عملية الهجوم
وفقًا للبيانات الموجودة على السلسلة،شن المتسللون هجمات متتالية على مشروع Orbit_Chain في وقت مبكر من 2023-12-30 03:39:35 مساءً + هجوم UTC، كمية ETH التي سرقها المتسلل صغيرة نسبيًا، ويتم إرسال ETH المسروقة إلى عدة عناوين متسللين أخرى كرسوم معاملات.
هاجمت عدة عناوين قراصنة أخرى على التوالي DAI وWBTC وETH وUSDC وUSDT لمشروع Orbit_Chain في 31-12-2023 الساعة 9:00 مساءً +التوقيت العالمي المنسق.
تتبع التمويل
اعتبارًا من وقت كتابة المقالة، يوضح الشكل أدناه حالة تحويل الأموال المسروقة، وبعد أن أطلق المتسلل الهجوم رسميًا، تم تحويل الأموال المسروقة إلى العناوين الخمسة المذكورة أعلاه. في خمس معاملات منفصلة، تم إرسال كل منها إلى محفظة جديدة، أرسلت Orbit Bridge 50 مليون دولار أمريكي على شكل عملات مستقرة (30 مليون Tether، و10 مليون DAI، و10 مليون USDC)، و231 wBTC (حوالي 10 مليون دولار أمريكي) و9500 ETH (حوالي 21.5 مليون دولار أمريكي). دولار أمريكي).
مخطط تدفق صندوق تتبع Beosin Trace
هذا الحادث الأمني للجسر عبر السلسلة إنه يمنحنا مرة أخرى الإلهام الأمني ويذكرنا بأن الأمن يجب أن يكون دائمًا الاعتبار الأساسي عند تصميم أنظمة blockchain وتنفيذها.
أولاً وقبل كل شيء، نحتاج إلى الاهتمام بأمان الكود. يعد رمز العقد مكونًا أساسيًا في نظام blockchain،لذلك عند كتابة ومراجعة رمز العقد، يجب اتباع أفضل الممارسات ومعايير الأمان لتجنب الثغرات الأمنية الشائعة ونواقل الهجوم.
ثانيًا، تعد المصادقة والتحقق من الهوية أمرًا بالغ الأهمية. في نظام blockchain، يعد ضمان أن المستخدمين أو العقود المصرح لهم فقط هم من يمكنهم تنفيذ العمليات الحيوية هو المفتاح لمنع الوصول غير المصرح به وفقدان الأصول. إن اعتماد تدابير مثل آليات المصادقة القوية، والتوقيعات المتعددة، وإدارة الحقوق يمكن أن يحد بشكل فعال من حقوق الوصول ويضمن أن الكيانات المرخص لها فقط هي التي يمكنها تنفيذ العمليات الحساسة.
XingChi
