العقود الآجلة
وصول إلى مئات العقود الدائمة
CFD
الذهب
منصّة واحدة للأصول التقليدية العالمية
الخیارات المتاحة
Hot
تداول خيارات الفانيلا على الطريقة الأوروبية
الحساب الموحد
زيادة كفاءة رأس المال إلى أقصى حد
التداول التجريبي
مقدمة حول تداول العقود الآجلة
استعد لتداول العقود الآجلة
أحداث مستقبلية
"انضم إلى الفعاليات لكسب المكافآت "
التداول التجريبي
استخدم الأموال الافتراضية لتجربة التداول بدون مخاطر
إطلاق
CandyDrop
اجمع الحلوى لتحصل على توزيعات مجانية.
منصة الإطلاق
-التخزين السريع، واربح رموزًا مميزة جديدة محتملة!
HODLer Airdrop
احتفظ بـ GT واحصل على توزيعات مجانية ضخمة مجانًا
IPO Access
افتح الوصول الكامل إلى الاكتتابات العامة للأسهم العالمية
نقاط Alpha
تداول الأصول على السلسلة واكسب التوزيعات المجانية
نقاط العقود الآجلة
اكسب نقاط العقود الآجلة وطالب بمكافآت التوزيع المجاني
عروض ترويجية
AI
Gate AI
شريكك الذكي الشامل في الذكاء الاصطناعي
Gate AI Bot
استخدم Gate AI مباشرة في تطبيقك الاجتماعي
GateClaw
Gate الأزرق، جاهز للاستخدام
Gate for AI Agent
البنية التحتية للذكاء الاصطناعي، Gate MCP، Skills و CLI
Gate Skills Hub
أكثر من 10 آلاف مهارة
من المكتب إلى التداول، مكتبة المهارات الشاملة تجعل الذكاء الاصطناعي أكثر فعالية
GateRouter
ختر بذكاء من أكثر من 40 نموذج ذكاء اصطناعي، بدون أي رسوم إضافية 0%
بيوسين: 36 حادثة أمنية رئيسية في مايو، بإجمالي خسائر تتجاوز 76 مليون دولار أمريكي
كتابة: Beosin
وفقًا لبيانات منصة Beosin Alert للمراقبة، في مايو 2026، بلغت قيمة الخسائر الناتجة عن جميع أنواع الحوادث الأمنية حوالي 76.15 مليون دولار، ووقعت 36 حادثة هجوم إلكتروني كبير، وكان السبب الرئيسي هو ثغرات العقود الذكية وتسريب المفاتيح الخاصة. ومن بين الحوادث الأمنية الناتجة عن ثغرات في العقود / الشبكة، كانت هناك 17 حادثة، و10 حوادث بسبب تسريب المفاتيح الخاصة، مما يبرز التحديات الخطيرة التي تواجه أمن الكود وعمليات نظام DeFi البيئي.
أفضل 10 بروتوكولات من حيث الخسائر في مايو
تمت مهاجمة جسر العبور عبر السلسلة Verus-Ethereum الذي يربط بين سلسلة Verus L1 و Ethereum بسبب ثغرة في العقد الذكي، وكانت أكبر خسارة بقيمة 11.58 مليون دولار. كما تم مهاجمة بروتوكول Echo بسبب تسريب المفتاح الخاص، حيث قام المهاجمون بعمل 1000 عملة eBTC (بقيمة تقريبية 76.700 مليون دولار)، ولكن بسبب محدودية السيولة، كانت الأرباح الفعلية حوالي 5.13 مليون دولار.
أنواع المشاريع المتعرضة للهجمات وخسائر كل سلسلة
شملت الأهداف المتعرضة للهجمات جسور العبور بين السلاسل، البورصات اللامركزية، بروتوكولات الإقراض، أسواق التنبؤ، العملات المستقرة، والمستخدمين العاديين، حيث كانت أكبر الخسائر في جسور العبور بين السلاسل، التي بلغت 27.995 مليون دولار، وكانت مشاريع DeFi الأكثر تعرضًا للهجمات، حيث تم تسجيل 14 حادثة.
كانت أكبر خسائر في مايو على سلسلة Ethereum، حيث تجاوزت 48.76 مليون دولار، وما زالت معظم حوادث الأمان في جسور العبور وبروتوكولات DeFi تعتمد بشكل رئيسي على Ethereum. تليها BNB Chain، Monad، TON، بالإضافة إلى حدوث حوادث أمنية على Monero وBitcoin، مما يعكس وجود هجمات متعددة السلاسل.
تحليل الحوادث الأمنية الرئيسية
طريقة عمل جسر Verus-Ethereum تعتمد على تقديم الطرف المرسل أدلة تثبت وجود عملية إخراج مؤهلة على سلسلة Verus، والتي يتم تأكيدها من قبل الشهود، ثم يتم التحقق من العقد الذكي للجسر على Ethereum لإطلاق الأصول. العيب هنا هو أن العقد على جانب Ethereum يتحقق من الأدلة القادمة من سلسلة Verus، لكنه لا يتحقق مما إذا كانت البيانات تمثل إخراجًا صالحًا، مما يسمح للمهاجمين بإنشاء إخراجات زائفة عبر التحقق، وسحب أموال تفوق ودائعهم بكثير.
الجزء من الكود الذي يحتوي على الثغرة:
هذه الثغرة تتشابه مع الثغرات التي أدت إلى خسائر بقيمة 320 مليون دولار في Wormhole و190 مليون دولار في Nomad في عام 2022، حيث تحقق الجسور من الرسائل نفسها، لكنها لا تتحقق من قيمة الأموال المرتبطة بها.
استخدم المهاجمون في هذا الهجوم عيبًا في تصميم توقيع عملية الاستعلام (RFQ) في TrustedVolumes، حيث قاموا خلال عملية التحويل الفعلي بتخصيص بيانات التوقيع، وجعلوا طرف التحويل هو عقد Resolver الخاص بـ TrustedVolumes، وتمكنوا من تجاوز التحقق، وسحب الأصول من عقد Resolver لتحقيق أرباح.
الجزء من الكود الذي يحتوي على الثغرة:
التحقق من التفويض يعتمد على varg4، بينما يتم تنفيذ تحويل الأموال باستخدام معلمات أخرى، مما يؤدي إلى عدم تطابق بين توقيع التفويض وعنوان الخصم الفعلي.
وبالتالي، يمكن للمهاجم ببساطة توقيع أمر باستخدام عنوان الموقع المسجل (موقع التوقيع)، حيث يكون maker = Exploit (عبر التحقق من التوقيع)، ويمكن أن تكون باقي معلمات التوقيع (الرموز، المبالغ) أي قيمة، مثل أمر مزيف بنسبة 1:1، بحيث يمر بفحص السعر العادل من خلال سعر التنبؤ، ثم يسرق الأصول من عقد البروتوكول:
شهد مايو العديد من حوادث تسريب المفاتيح الخاصة، حيث تجاوزت الخسائر الإجمالية 25 مليون دولار. وكانت شركة StablR، كمصدر لإصدار العملات المستقرة المتوافقة، مثالًا على الدروس المستفادة من قضايا الأمان في سوق العملات المستقرة وDeFi.
أطلقت StablR نوعين من العملات المستقرة المتوافقة: EURR و USDR، حيث أن المحفظة متعددة التوقيعات التي تتحكم في إصدار EURR هي 0x8278D2881dBF8F6Fc01c98d196c4b16F1aade5Bc؛ والمحفظة التي تتحكم في إصدار USDR هي 0xF45392bd2D6e6b8C5Dc26BA6c8a12889419B82F3.
نظرًا لأن المعاملات التي تبدأها هاتان المحفظتان تتطلب توقيعًا واحدًا فقط، تمكن المهاجمون من السيطرة على العنوان مالك 0xC73fD562de86d7860EE636C20813Bcb2cF4D550d، وإضافة العنوان 0xD4677B5A8B1b97EA213Fdb876b0FcBAB3f9F6CD1 إلى هاتين المحفظتين، مما يمنحهم السيطرة على صلاحيات إصدار العملات للمشروع:
هذه الحوادث لا تتعلق بثغرات في الكود، بل بمشاكل أمن التشغيل الخاصة بالمشروع: عدم حفظ مفاتيح العناوين ذات الامتيازات بشكل آمن، وعدم اعتماد آليات توقيع متعددة عالية العتبة للعمليات ذات القيمة العالية / المخاطر العالية، وعدم وجود قفل زمني للعمليات الكبيرة، وغياب آلية استجابة سريعة للطوارئ.
اتجاهات تهديدات أمن Web3
في عام 2026، يظهر أن التهديدات الأمنية في Web3 تتوسع بشكل منهجي، حيث تظهر الثغرات في الكود، والبنية التحتية، والتفاعلات، والعمليات البشرية، مما يتطلب أكثر من مجرد تدقيق أمني أو أدوات لتغطية مجالات أمن التشغيل، وموظفي الشركة، والبنية التحتية السحابية، وسلسلة التوريد البرمجية. هذا يفرض متطلبات أعلى على استدامة أمن عمليات مشاريع Web3.
بالإضافة إلى ذلك، تتكرر الهجمات على العقود القديمة أو المهملة، حيث تكون الثغرات أو صلاحيات التفويض سهلة الاستغلال من قبل المهاجمين. يجب على مطوري العقود أو المشغلين مراجعة أمان العقود السابقة، ومعالجة العقود المهملة أو نقل الأموال المتبقية فيها بشكل مناسب، والتواصل مع المستخدمين لإلغاء التفويضات غير الضرورية. كما ينبغي للمستخدمين فحص العقود غير المستخدمة وإلغاء تفويضاتها بشكل دوري باستخدام متصفحات البلوكشين أو أدوات إلغاء التفويض.