تعرضت Orbit Chain لهجوم وخسرت حوالي 80 مليون دولار أمريكي
في 1 يناير 2024، تعرض مشروع Orbit Chain لهجوم، حيث بلغ إجمالي الخسائر حوالي 80 مليون دولار. تُظهر بيانات المنصة المراقبة أن المهاجمين بدأوا الهجمات الصغيرة قبل يوم واحد، واستغلوا ETH المسروق كمصدر لرسوم التحويل للهجمات الكبيرة اللاحقة.
تعتبر Orbit Chain منصة جسر عبر سلسلة تسمح للمستخدمين باستخدام مجموعة متنوعة من الأصول المشفرة عبر سلاسل الكتل المختلفة. في الوقت الحالي، قامت الجهة المسؤولة عن المشروع بتعليق عقود جسر السلسلة، وتحاول التواصل مع المهاجمين.
تحليل الهجوم
الهجوم الحالي تم بشكل رئيسي من خلال استدعاء مباشر لدالة withdraw في عقد Bridge الخاص بـ Orbit Chain لنقل الأصول. تعتمد هذه الدالة على التحقق من التوقيعات لضمان أمان وصلاحية السحب.
في دالة السحب (withdraw)، يعتبر التحقق من التوقيع آلية رئيسية لضمان أنه يمكن فقط للمستخدمين المخولين أو العقود إجراء نقل الأصول. تُرجع دالة التحقق من التوقيع (_validate) عدد توقيعات المالك، وهذه المعلومات ضرورية للتحقق من شرعية الصفقة.
تتكون إدارة العقود من 10 عناوين، وقيمة required هي 7، مما يعني أنه يلزم توقيع 70% من المسؤولين لاستخراج الأصول. وفقًا للأدلة الحالية، من المرجح جدًا أن تكون هذه الحادثة ناتجة عن هجوم احتيالي على الخادم الذي يخزن المفتاح الخاص بالمدير.
خط زمني للهجمات
30 ديسمبر 2023 15:39:35 UTC: بدأ المهاجمون هجومًا صغيرًا على Orbit Chain، وسرقوا كمية صغيرة من ETH ووزعوها على عناوين هجوم أخرى كرسوم.
31 ديسمبر 2023 الساعة 21:00 بتوقيت UTC: تم تنفيذ هجمات واسعة النطاق على DAI و WBTC و ETH و USDC و USDT في Orbit Chain من قبل عدة عناوين هجومية في نفس الوقت.
اتجاه الأموال
سوف يقوم المهاجم بتوزيع الأموال المسروقة على خمسة عناوين مختلفة:
30 مليون دولار من تيثر
10 مليون دولار DAI
١٠٠٠٠٠٠٠٠ دولار أمريكي USDC
231 قطعة من wBTC (حوالي 10 مليون دولار)
9500 قطعة من ETH (حوالي 2150 مليون دولار)
إرشادات الأمان
تؤكد هذه الحادثة مرة أخرى على أهمية أمان نظام blockchain:
أمان الكود: كود العقد هو جوهر نظام البلوكشين، ويجب الالتزام الصارم بمعايير الأمان لتجنب الثغرات الشائعة.
المصادقة والتحقق من الهوية: التأكد من أن الكيانات المصرح لها فقط يمكنها تنفيذ العمليات الأساسية، من خلال اعتماد آليات مصادقة قوية، وتوقيع متعدد، وإدارة الأذونات.
المراقبة المستمرة: مراقبة أنشطة النظام في الوقت الفعلي، واكتشاف السلوكيات غير العادية والاستجابة لها في الوقت المناسب.
تدقيق الأمان: إجراء تدقيق شامل للأمان بشكل دوري، وإصلاح الثغرات المحتملة في الوقت المناسب.
الأمن المتدرج: استخدام استراتيجيات دفاع متعددة الطبقات، بما في ذلك الأمن الشبكي، والأمن التطبيقي، وأمن البيانات، وغيرها من المستويات.
من خلال تدابير الأمان الشاملة، يمكن تقليل مخاطر الهجمات المماثلة بشكل كبير، وحماية أصول المستخدمين وسلامة النظام.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 9
أعجبني
9
6
إعادة النشر
مشاركة
تعليق
0/400
SelfCustodyIssues
· منذ 21 س
حدث شيء آخر في جسر الك千年
شاهد النسخة الأصليةرد0
ValidatorVibes
· منذ 21 س
الجسر سوف يكون جسر smh... يوم آخر، استغلال آخر
شاهد النسخة الأصليةرد0
ReverseTradingGuru
· منذ 21 س
إنها الجنة مرة أخرى ، اجلس وانتظر الجري
شاهد النسخة الأصليةرد0
BearMarketBard
· منذ 21 س
آه، جسر آخر قد سقط.
شاهد النسخة الأصليةرد0
WalletWhisperer
· منذ 21 س
لقد فقدت 8000w مرة أخرى
شاهد النسخة الأصليةرد0
OnchainFortuneTeller
· منذ 21 س
عام جديد وحادث جديد، يبدو أن هذه الوجبة ليست لذيذة هذا العام.
تعرضت Orbit Chain لاعتداء بقيمة 80 مليون دولار وتأثرت الأصول المتعددة السلاسل
تعرضت Orbit Chain لهجوم وخسرت حوالي 80 مليون دولار أمريكي
في 1 يناير 2024، تعرض مشروع Orbit Chain لهجوم، حيث بلغ إجمالي الخسائر حوالي 80 مليون دولار. تُظهر بيانات المنصة المراقبة أن المهاجمين بدأوا الهجمات الصغيرة قبل يوم واحد، واستغلوا ETH المسروق كمصدر لرسوم التحويل للهجمات الكبيرة اللاحقة.
تعتبر Orbit Chain منصة جسر عبر سلسلة تسمح للمستخدمين باستخدام مجموعة متنوعة من الأصول المشفرة عبر سلاسل الكتل المختلفة. في الوقت الحالي، قامت الجهة المسؤولة عن المشروع بتعليق عقود جسر السلسلة، وتحاول التواصل مع المهاجمين.
تحليل الهجوم
الهجوم الحالي تم بشكل رئيسي من خلال استدعاء مباشر لدالة withdraw في عقد Bridge الخاص بـ Orbit Chain لنقل الأصول. تعتمد هذه الدالة على التحقق من التوقيعات لضمان أمان وصلاحية السحب.
في دالة السحب (withdraw)، يعتبر التحقق من التوقيع آلية رئيسية لضمان أنه يمكن فقط للمستخدمين المخولين أو العقود إجراء نقل الأصول. تُرجع دالة التحقق من التوقيع (_validate) عدد توقيعات المالك، وهذه المعلومات ضرورية للتحقق من شرعية الصفقة.
تتكون إدارة العقود من 10 عناوين، وقيمة required هي 7، مما يعني أنه يلزم توقيع 70% من المسؤولين لاستخراج الأصول. وفقًا للأدلة الحالية، من المرجح جدًا أن تكون هذه الحادثة ناتجة عن هجوم احتيالي على الخادم الذي يخزن المفتاح الخاص بالمدير.
خط زمني للهجمات
اتجاه الأموال
سوف يقوم المهاجم بتوزيع الأموال المسروقة على خمسة عناوين مختلفة:
إرشادات الأمان
تؤكد هذه الحادثة مرة أخرى على أهمية أمان نظام blockchain:
أمان الكود: كود العقد هو جوهر نظام البلوكشين، ويجب الالتزام الصارم بمعايير الأمان لتجنب الثغرات الشائعة.
المصادقة والتحقق من الهوية: التأكد من أن الكيانات المصرح لها فقط يمكنها تنفيذ العمليات الأساسية، من خلال اعتماد آليات مصادقة قوية، وتوقيع متعدد، وإدارة الأذونات.
المراقبة المستمرة: مراقبة أنشطة النظام في الوقت الفعلي، واكتشاف السلوكيات غير العادية والاستجابة لها في الوقت المناسب.
تدقيق الأمان: إجراء تدقيق شامل للأمان بشكل دوري، وإصلاح الثغرات المحتملة في الوقت المناسب.
الأمن المتدرج: استخدام استراتيجيات دفاع متعددة الطبقات، بما في ذلك الأمن الشبكي، والأمن التطبيقي، وأمن البيانات، وغيرها من المستويات.
من خلال تدابير الأمان الشاملة، يمكن تقليل مخاطر الهجمات المماثلة بشكل كبير، وحماية أصول المستخدمين وسلامة النظام.