لقد أصبح الربع الأول من عام 2024 بمثابة فصل محوري في سرد أمن Web3، والذي تميز بإنجازات ملحوظة في تخفيف التهديدات والتحديات العميقة.
يجمع هذا التقرير النتائج الرئيسية التي توصلت إليها التحليل الشامل الذي أجرته شركة الأمن AI Web3 Cyvers للحوادث الأمنية في الربع الأول من عام 2024، مع تسليط الضوء على التهديدات الناشئة والتأكيد على أهمية المرونة داخل النظام البيئي.
ملخص تنفيذي
وسط التقدم المستمر في DeFi وDePIN (شبكات البنية التحتية المادية اللامركزية) وRWAs (أصول العالم الحقيقي) والتطبيقات الأخرى المستندة إلى blockchain، لاحظنا تصعيدًا مماثلًا في التهديدات الأمنية المعقدة. لقد تنوعت نواقل الهجوم، حيث أدت الثغرات الأمنية في التعليمات البرمجية إلى تداعيات مالية كبيرة وثبت أن خروقات التحكم في الوصول مكلفة للغاية.
تشير هذه الاتجاهات إلى الحاجة الملحة لتعزيز الإجراءات الأمنية وزيادة اليقظة داخل مجتمع Web3.
سيفرز، بالشراكة مع BeInCryptoوقد أثبتت التزامها بهذه القضية من خلال الريادة في الكشف عن التهديدات في الوقت الفعلي والحلول الأمنية المستندة إلى الذكاء الاصطناعي. الهدف هو توفير تحديد سريع ودقيق للتهديدات، وتوفير التخفيف الاستباقي وحماية الأصول عبر blockchain.
تنشر هذه التهديدات مجموعة من نواقل الهجوم – بدءًا من نقاط الضعف في العقود الذكية وحتى عمليات التصيد الاحتيالي – بهدف استغلال الطبيعة المفتوحة والمترابطة لتقنيات Web3. واستجابة لهذه التحديات، احتشد مجتمع Web3 للتأكيد على أهمية الأمن كعنصر أساسي في البنية التحتية للنظام البيئي.
الاتجاهات والإحصائيات الأمنية الرئيسية
ويبلغ إجمالي القيمة المسروقة (TSV) في الربع الأول من عام 2024 حوالي 739.7 مليون دولار. وشهد شهر يناير أكبر عدد من الهجمات (27)، يليه شهر مارس (21)، وفبراير (18). على الرغم من أنه كان لديه أقل عدد من الهجمات، إلا أن شهر فبراير كان له أثر مالي كبير، حيث خسر حوالي 405.3 مليون دولار بسبب الهجمات.
يبلغ متوسط الخسارة لكل هجوم حوالي 6.7 مليون دولار، مما يشير إلى المخاطر العالية التي ينطوي عليها أمن Web3.
إجمالي القيمة المفقودة. المصدر: سايفرز
وكان ناقل الهجوم الأكثر شيوعًا هو الثغرات الأمنية في التعليمات البرمجية، مع 37 حالة، مما أدى إلى خسارة حوالي 165.9 مليون دولار. وعلى الرغم من أنها أقل انتشارًا، إلا أن هجمات التحكم في الوصول كانت أكثر تكلفة بكثير، مما أدى إلى خسارة حوالي 573.8 مليون دولار.
إجمالي عدد الحوادث. المصدر: سايفرز
كانت هناك 10 حالات تم فيها اكتشاف عمليات الاختراق حصريًا بواسطة Cyvers، مما يؤكد أهمية التدابير الأمنية الاستباقية والخوارزميات المتطورة والتحسين المستمر.
ثلاث من هذه الحالات كانت من بين أفضل 10 عمليات اختراق في الربع الأول من عام 2024.
القيمة المفقودة لكل مشروع. المصدر: سايفرز
تحليل الخرق الأمني في PlayDapp
في فبراير 2024، واجهت منصة PlayDapp الشهيرة للألعاب وNFT تحديًا أمنيًا شديدًا عندما عانت من اثنتين من عمليات الاستغلال المتتالية مما أدى إلى سك غير مسبوق لرموز PLA. في البداية، في 9 فبراير، قام كيان غير مصرح له بسك 200 مليون رمز PLA، بقيمة 36.5 مليون دولار تقريبًا.
وبعد بضعة أيام، في 12 فبراير، ورد أن نفس الكيان قام بسك 1.79 مليار رمز إضافي لجيش التحرير الشعبي، أي ما يعادل 253.9 مليون دولار. أدت هذه الثغرات مجتمعة إلى خسارة إجمالية تبلغ حوالي 290 مليون دولار.
تم تحديد السبب الرئيسي للانتهاك على أنه ثغرة أمنية في العقد الذكي، مما سمح للمهاجم بصك الرموز المميزة دون السلطة اللازمة. وكانت التداعيات فورية وشديدة، حيث انخفض سعر السوق لرموز جيش التحرير الشعبي بسبب التدفق المفاجئ للرموز غير المصرح بها. حاول فريق PlayDapp التفاوض مع المهاجم، وعرض مكافأة قدرها مليون دولار مقابل إعادة الأموال المسروقة، ولكن دون جدوى.
وتضمنت الإجراءات الأمنية التي تم اتخاذها بعد الحادث الإيقاف المؤقت للعقد الذكي لجيش التحرير الشعبي وبدء ترحيل العقد بناءً على لقطات ما قبل الاستغلال لأرصدة المالك. أظهرت استجابة PlayDapp السريعة بإيقاف العقد مؤقتًا والتعامل مع شركات إنفاذ القانون وشركات الطب الشرعي في مجال blockchain التزامًا بالأمن والشفافية. وكانت الجهود المبذولة للاتصال بالبورصات وتتبع الأموال المسروقة مستمرة، مع مناقشة استراتيجيات التخفيف من التأثير ومنع مثل هذه الحوادث في المستقبل.
تعد حادثة PlayDapp بمثابة قصة تحذيرية حول نقاط الضعف الكامنة في العقود الذكية، خاصة فيما يتعلق بسك العملات الرقمية وإدارتها. في الواقع، فإن الدروس المستفادة من حادثة PlayDapp متعددة: الضرورة المطلقة لليقظة الأمنية المستمرة، وأهمية التدابير الأمنية الاستباقية والتفاعلية، والحاجة الدائمة إلى تثقيف المجتمع حول أفضل الممارسات الأمنية.
التغييرات التنظيمية على أمان Web3
في الربع الأول من عام 2024، شهد مشهد الأصول الرقمية العالمية تطورات تنظيمية ملحوظة كان لها تأثير كبير على أمان Web3.
يؤكد التقرير التنظيمي العالمي للعملات المشفرة الصادر عن شركة برايس ووترهاوس كوبرز على التطور المستمر في تنظيم الأصول الرقمية، مما يشير إلى أنه على الرغم من إحراز تقدم كبير في عام 2023، إلا أن الصناعة لا تزال تواجه عبء عمل تنظيمي كبير. وتشكل مثل هذه التطورات أهمية بالغة لأنها توفر إطارًا منظمًا للعمليات، وتعزز السياسات التنظيمية العالمية، وتساعد في إنشاء معايير احترازية عالمية، مما قد يؤثر على أسواق الاتحاد الأوروبي في تنظيم الأصول المشفرة والسياسات الدولية الأخرى.
علاوة على ذلك، بعد الانهيار البارز لشركة FTX، طُلب من الهيئات التنظيمية اتباع نهج أكثر صرامة تجاه قواعد الأصول الرقمية لحماية الجمهور المستثمر بشكل أفضل. على سبيل المثال، خططت هيئة الأوراق المالية والبورصة الأمريكية (SEC) لإصدار قواعد جديدة تحكم عمليات تبادل الأصول الرقمية وعروضها. وكان من المتوقع أن توفر هذه القواعد لوائح شاملة لعروض الأصول الرقمية، إلى جانب المبادئ التوجيهية لتبادل الأصول الرقمية.
تُظهر هذه الاستجابة للأحداث الماضية نية واضحة من جانب الهيئات التنظيمية لتحسين الرقابة ومنع وقوع حوادث مماثلة في المستقبل.
لا تهدف هذه اللوائح إلى حماية المستثمرين فحسب، بل تهدف أيضًا إلى ضمان حسن سير أسواق الأصول الرقمية بشكل منظم. بالنسبة لشركة Cyvers، يمكن أن تكون هذه التطورات بمثابة فرصة للمساهمة في المناقشات التنظيمية، والاستفادة من خبرتها لتوجيه صياغة السياسات التي توازن بين الحاجة إلى الأمن وإمكانية الابتكار في مجال Web3.
ومع تطور اللوائح، أصبحت قدرة Cyvers وBeInCrypto على توفير خدمات أمنية متوافقة مع الامتثال أكثر أهمية من أي وقت مضى. لذلك كان الربع الأول من عام 2024 وقتًا محوريًا لأمن Web3، حيث تميزت الهيئات التنظيمية في جميع أنحاء العالم باستخلاص الدروس من الأحداث الماضية لتعزيز دفاعات الصناعة وإنشاء أساس آمن للاقتصاد الرقمي المزدهر.
توصيات لتعزيز أمن Web3
سعيًا وراء مشهد Web3 المحصن، أوضح سايفرز لـ BeInCrypto الطرق الإستراتيجية لتعزيز المواقف الأمنية لمختلف أصحاب المصلحة داخل النظام البيئي:
للمشاريع:
- تدقيق العقود الذكية: التأكد من أن العقود الذكية تخضع لعمليات تدقيق أمنية شاملة من قبل الشركات ذات السمعة الطيبة. إعادة التدقيق بانتظام بعد التحديثات أو التغييرات الرئيسية في منطق العقد. تحقق من مراجعي الحسابات الموصى بهم هنا.
- تخطيط الاستجابة للحوادث: قم بتطوير خطة استجابة للحوادث مصممة خصيصًا للانتهاكات المحتملة الخاصة بـ Web3، مع تقديم تفاصيل الإجراءات الفورية وبروتوكولات الاتصال وإجراءات الطوارئ.
- تكامل وحدات الأمان: تنفيذ وحدات الكشف عن التهديدات والأمان في الوقت الفعلي، مثل تلك التي توفرها Cyvers، للمراقبة المستمرة والحماية من الأنشطة الضارة.
للمطورين:
- الأمن-التصميم الأول: تبني نهج الأمن أولاً عند تصميم الأنظمة، مع إعطاء الأولوية للأمن في كل مرحلة من مراحل التطوير.
- التعليم المستمر: ابق على اطلاع بأحدث الأبحاث الأمنية ونقاط الضعف واستراتيجيات الحماية. الانخراط مع المجتمع لتبادل المعرفة وأفضل الممارسات.
- لامركزية السيطرة: تجنب نقاط الفشل الفردية في أنظمتك. استخدم محافظ متعددة التوقيعات وصنع القرار الموزع للعمليات الهامة.
للمستثمرين:
- العناية الواجبة: ممارسة العناية الواجبة من خلال مراجعة الممارسات الأمنية للمشاريع قبل الاستثمار. التحقق من تقارير التدقيق والانتماءات الأمنية وتاريخ الحوادث.
- تنويع المقتنيات: قم بحماية محفظتك من الانتهاكات المستهدفة من خلال تنويع مقتنياتك عبر مختلف المنصات والمحافظ.
- استخدم المنصات الموثوقة: تعامل مع الأنظمة الأساسية التي تتمتع بسجل حافل من الأمان والتي تنفذ أحدث الإجراءات الأمنية.
للمستخدمين:
- ممارسات المحفظة الآمنة: استخدام محافظ الأجهزة للممتلكات الكبيرة، وممارسة التخزين الآمن للمفاتيح الخاصة، واستخدام المصادقة متعددة العوامل.
- احذر من التصيد الاحتيالي: تثقيف نفسك حول أساليب التصيد الاحتيالي الشائعة في مساحة Web3. تحقق من عناوين URL، وتحقق جيدًا من تفاعلات العقود الذكية، وكن حذرًا بشأن الطلبات غير المرغوب فيها.
- ابق على اطلاع: قم بتحديث برامجك بانتظام إلى أحدث الإصدارات، مع ضمان تطبيق تصحيحات الأمان.
من خلال الالتزام بهذه التوصيات، يمكن لأصحاب المصلحة عبر نظام Web3 البيئي تقليل المخاطر بشكل كبير والمساهمة في إنشاء بيئة رقمية آمنة ومرنة. ومن خلال اليقظة الجماعية والتدابير الاستباقية، يمكننا التنقل في نظام Web3 البيئي بأمان وثقة.