تحليل أكبر حادثة هاكر في مجال Web3

في 21 فبراير 2025، تعرضت محفظة الإيثريوم الباردة لمنصة تداول معروفة لهجوم خطير، وتم تحويل حوالي 401,346 ETH، 15,000 cmETH، 8,000 mETH، 90,375 stETH و90 USDT إلى عنوان غير معروف، بقيمة إجمالية تقارب 14.6 مليار دولار.

المهاجمون قاموا باستخدام أساليب تصيد مصممة بعناية لإقناع الموقع بالموافقة على المعاملات الضارة من قبل الموقع متعدد التوقيع. عملية الهجوم كما يلي:

1. المهاجمون يقومون بنشر عقد خبيث يحتوي على باب خلفي لتحويل الأموال.
2. تعديل واجهة Safe الأمامية، مما يجعل معلومات المعاملة التي يراها الموقّع غير متطابقة مع البيانات المرسلة فعليًا إلى المحفظة الصلبة.
3. الحصول على ثلاثة توقيعات صالحة من خلال واجهة مزورة، واستبدال عقد تنفيذ محفظة Safe متعددة التوقيعات بعقد خبيث، وبالتالي السيطرة على المحفظة الباردة وتحويل الأموال.

توكّل المنصة المتضررة Sygnia لإجراء تحقيقات جنائية لتحديد الأسباب الجذرية للهجوم، وتحديد نطاق الهجوم ومصادره، وتطوير استراتيجيات للتخفيف من المخاطر. أظهرت نتائج التحقيق:

• تم حقن موارد دلو AWS S3 الخاص بـ Safe بشيفرة JavaScript ضارة.
• وقت تعديل المورد وسجل الشبكة تشير إلى أن الشيفرة الخبيثة تم حقنها مباشرة في دلو S3 الخاص بـ Safe.
• تم تصميم كود JavaScript المُدخل للتلاعب بالمعاملات، وتغيير محتوى المعاملة خلال عملية التوقيع.
• الشيفرة الخبيثة لها شروط تفعيل محددة، ولا تُنفذ إلا عندما يتطابق مصدر الصفقة مع عنوان العقد المحدد.
• بعد دقيقتين من تنفيذ الصفقة الخبيثة، تم رفع إصدار محدث من موارد JavaScript، وتم حذف الشيفرة الخبيثة.
• الأدلة الأولية تشير إلى أن الهجوم مصدره بنية AWS التحتية لـ Safe.
• لم يتم اكتشاف أي علامات على اختراق بنية تحتية للمنصة الضحية حتى الآن.

كشفت هذه الحادثة عن مشاكل عميقة في إدارة الأمان والهندسة التقنية في صناعة العملات المشفرة. تتمثل المشكلة الرئيسية في اختراق خدمة تخزين AWS، مما أدى إلى تعديل JavaScript، مما أدى إلى تغيير محتوى المعاملات التي أطلقها واجهة Safe. إذا كانت واجهة Safe قد نفذت تحقق SRI الأساسي، فقد يمكن تجنب مثل هذه الحوادث حتى لو تم تعديل JavaScript. في الوقت نفسه، كان المنصة المتضررة تؤكد المعلومات المعاملات دون التحقق الكافي عند استخدام المحفظة الصلبة، وهذه الثقة المفرطة في واجهة Safe تعد مشكلة رئيسية.

تواجه المحفظة الصلبة قيودًا عند معالجة المعاملات المعقدة، حيث لا يمكنها解析 وعرض بيانات المعاملات التفصيلية لمحافظ التوقيع المتعددة بشكل كامل، مما يؤدي إلى توقيع الموقّعين دون التحقق الكامل من محتوى المعاملة، مما يسمى بـ"التوقيع الأعمى".

مع التطور السريع لتقنية Web3، أصبحت الحدود بين أمان الواجهة الأمامية وأمان blockchain تتلاشى بشكل متزايد. تظهر الثغرات التقليدية في الواجهة الأمامية (مثل XSS و CSRF) أبعاد هجوم جديدة في بيئة Web3، بينما تضخم مشكلات مثل ثغرات العقود الذكية وعيوب إدارة المفاتيح الخاصة المخاطر.

لمواجهة هذه التحديات، يحتاج القطاع إلى اتخاذ التدابير التالية:

1. تنفيذ التحقق من التوقيع المهيكل EIP-712، لضمان أن الواجهة الأمامية تولد بيانات قابلة للتحقق، والتحقق من التوقيعات بواسطة العقد الذكي.
2. ترقية البرنامج الثابت لمحفظة الأجهزة لدعم EIP-712 وتنفيذ المطابقة الدلالية على السلسلة.
3. تعزيز أمان الأجهزة، والتحقق من المعاملات، وآليات إدارة المخاطر بشكل شامل.
4. يجب على تطوير الواجهة الأمامية إجراء تحقق صارم من مراحل الوصول إلى DApp، اتصال المحفظة، توقيع الرسائل، توقيع المعاملات ومعالجة المعاملات اللاحقة.
5. إجراء تدقيق أمان منتظم للعقود على السلسلة.

فقط من خلال تدابير أمان متعددة الجوانب وشاملة يمكن حماية قيمة كل معاملة وثقتها بفاعلية في بيئة Web3 المفتوحة، وتحقيق الانتقال من "الإصلاح السلبي" إلى "المناعة النشطة".