لا مجال لتكرار أخطاء اختراق WazirX – تعرف على التفاصيل الآن!
لا يرغب الكثيرون في الاعتراف بأن ويب3 يعتمد بشدة على أنظمة أمان هجينة تكون أكثر عرضة للهجمات المعقدة. تُذكّرنا الخروقات الأخيرة في WazirX بهذه الثغرات بوضوح. استغل المهاجمون ضعفًا في عمليات التحقق من المعاملات، مكشفين عن ثغرات كبيرة في كيفية تعامل هذه الأنظمة مع الأمان.
الآن، علينا إعادة تخيل وتعزيز بنيتنا التحتية الأمنية باستخدام التحقق الأصيل من مصداقية المعاملات وخوارزميات الحسابات المتعددة الأطراف (MPC) في المقدمة. وإلا، فإننا نخاطر بالتعرض المستمر لهجمات قد تؤدي يومًا ما إلى تآكل الثقة في الأصول الرقمية.
فهم الهجوم
في 18 يوليو 2024، تعرضت بورصة العملات الرقمية الهندية WazirX لاختراق أمني كبير أسفر عن سرقة أصول بقيمة 230 مليون دولار. نسب هذا الهجوم المتطور إلى قراصنة كوريين شماليين من قبل شركة التحقيق في blockchain Elliptic وباحثين أمنيين مستقلين، مما أثار قلق مجتمع العملات الرقمية من خلال كشف نقاط الضعف الخطيرة في المحافظ متعددة التوقيع، حتى في الأنظمة الأمنية المتقدمة. ولكن يمكن أن تكون مثل هذه الحوادث لحظات تعليمية عظيمة لمساعدة المنظمات على تعزيز دفاعاتها ضد تهديدات مماثلة.
تم اختراق محفظة Gnosis Safe، التي أُدرجت في نظام إدارة المحافظ في Liminal، والتي كانت معدة بعتبة توقيع 4/6. كان التوقيع القياسي للمعاملات يتطلب موافقة من ثلاثة موقّعين في WazirX باستخدام محافظ الأجهزة Ledger، يتبعها موافقة نهائية من موقّع Liminal. ومع ذلك، من المرجح أن المهاجمين تمكنوا من اختراق الأجهزة الثلاثة للموقعين في WazirX. لو كانت Liminal قد تم اختراقها، لكانت هناك هجمات أخرى، لكن هذا كان الحادث الوحيد المتعلق بـ Liminal. من خلال استغلال فجوة بين التوقيع الأعمى على أجهزة Ledger وتطبيق الويب الخاص بـ Liminal، تمكن الفاعل المهدِّد من التلاعب ببيانات المعاملة قبل التوقيع، مما خلق تناقضًا بين البيانات المعروضة على واجهة الويب وما تم توقيعه بالفعل بواسطة الأجهزة.
استراتيجيات المهاجمين كانت تتضمن تبديل بيانات المعاملة إلى بيانات خبيثة في كل مرة تم فيها محاولة إجراء معاملة. وعلى الرغم من رفض نظام Liminal للمعاملات الخبيثة المشوهة، تمكن المهاجمون من جمع التوقيعات الثلاثة الصحيحة من الموقعين المشاركين. بهذه التوقيعات، حصلوا على التوقيع الرابع من الموقع المشارك في Liminal، مما جعل المعاملة صحيحة وسهل لهم تغيير العقد التنفيذي لمحفظة Safe إلى واحد خبيث. كانت النتيجة هي تحكمهم الكامل ونقل الأموال إلى محفظتهم الخاصة.
العمل معًا للقضاء على التهديد
كشف الهجوم على WazirX عن عدد من الثغرات الحرجة. الإعداد الهجين بين WazirX وLiminal وLedger وSafe افتقر إلى التحقق الأصيل القوي من المعاملات، مما جعله عرضة لهجمات الوسيط. وكان الاعتماد على التوقيع الأعمى يزيد من هذه الضعف.
- كان من الممكن الحد من هذا الهجوم من خلال تنفيذ عملية تحقق ثقة شاملة من النهاية إلى النهاية.
- في حين أن الاعتماد على إعداد متعدد الأجهزة يكون مفضلًا دائمًا، يجب أن يظهر تفسير المعاملات على جهاز التوقيع ويكون متاحًا للموقع لتجنب التوقيع الأعمى.
- علاوة على ذلك، يمكن أن تقلل خوارزمية MPC من هذا الخطر. يضمن MPC الحقيقي أنه حتى إذا تمكن المهاجمون من السيطرة على جميع أجهزة التوقيع للعملاء، لا يمكن للمعاملات أن تتم بدون موافقة جميع المشاركين، مما يجعل هجوم “جمع التوقيعات المتتابعة” مستحيلًا. يقدم هذا الضمان الهيكلي دفاعًا ضد التلاعب السريع بالمعاملات.
- يمكن أيضًا لنظم التقييم الفوري للمخاطر والكشف عن التغيرات غير الطبيعية تحديد أنماط المعاملات غير المعتادة، مما يسمح بالتدخل السريع قبل تنفيذ المعاملات. هذه الاستراتيجيات الوقائية أساسية لتحديد ومعالجة التهديدات بشكل استباقي.
كذلك يعلمنا هذا الحدث أهمية التعاون ومشاركة المعلومات داخل الصناعة. يجب على بورصات العملات الرقمية والأوصياء العمل معًا لمشاركة المعلومات والرؤى المتعلقة بالتهديدات لتعزيز دفاعاتهم. يمكن أن يخلق تبني بروتوكولات وأفضل الممارسات على مستوى الصناعة جبهة موحدة ضد الهجمات.
بناء مستقبل متين
يشكل اختراق WazirX نداءً للصناعة بأكملها لتحسين إعدادات المحافظ والبروتوكولات الأمنية الشاملة. يمكن لعمليات التدقيق الأمني المنتظمة واختبارات الاختراق كشف نقاط الضعف، بينما يضمن المراقبة المستمرة والتدابير الأمنية المحدثة بقاء الدفاعات قوية ضد التهديدات الجديدة.
هذا الحادث يبرز الحاجة إلى تحسين مستمر داخل البروتوكولات الأمنية. من خلال التعلم من الخروقات مثل اختراق WazirX لتطبيق أنظمة أكثر مرونة، يمكن لبورصات العملات الرقمية والأوصياء حماية أصولهم بشكل أفضل والحفاظ على ثقة المستخدمين. كصناعة، يجب أن نستخدم الاختراق كتذكرة للتهديدات المستمرة في مجال العملات الرقمية. يمكن بناء مستقبل أكثر أمانًا للأصول الرقمية، ولكن الطريق إلى الأمام يتطلب التزامًا قويًا بالأمان، لضمان أن تصبح مثل هذه الحوادث استثناءات نادرة بدلاً من أن تكون أحداثًا شائعة. يجب أن تقود الدروس المستفادة الصناعة نحو مستقبل أقوى وأكثر أمانًا، بما يحمي الأصول الرقمية للأجيال القادمة.
