تحليل اختراق Bybit باستخدام هجوم التوقيع المتعدد Radiant كمثال

مقدمة

في 21 فبراير 2025، وقع حادث أمني خطير في بورصة العملات المشفرة Bybit، مما أدى إلى سرقة أكثر من 1.5 مليار دولار من الأصول. على الرغم من أن مسؤولي Bybit استجابوا بسرعة وأكدوا أنهم يستطيعون تحمل الخسائر، فإن الحدث لا يزال يسبب صدمة واسعة في الصناعة. في هذا السياق، لا يمكننا إلا أن نتذكر سرقة بروتوكول القرض عبر السلاسل Radiant Capital في 17 أكتوبر 2025. بينما تختلف الحوادث الاثنين من حيث طرق الهجوم ومسارات التنفيذ، إلا أنهما يكشفان عن التحديات الجدية التي تواجهها صناعة العملات المشفرة من حيث الأمان.

أشار مؤسس فريق SlowMist Yu Xi بشكل خاص إلى أن سرقة Bybit قد تكون مرتبطة بمجموعات قراصنة كورية شمالية (تكهنات فقط ، لا يوجد حاليا أي دليل يثبت أنها تتم بالفعل من قبل مجموعات قراصنة كورية شمالية ، ولا توجد نصيحة مرجعية) ، والطريقة التي يتحكم بها المهاجمون في حادثة Radiant من خلال التحكم في المفاتيح الخاصة متعددة التواقيع واستغلال نقاط الضعف الخبيثة في العقد تشبه أيضا بعض تكتيكات القراصنة الكوريين الشماليين. سواء كان الأمر يتعلق بالتحكم في المحافظ الباردة أو العبث بالعقود الذكية ، يشير كلا الحادثين إلى أن أساليب هجوم المتسللين أصبحت أكثر تعقيدا وسرية ، مما يشكل تحديا لأمن سوق العملات المشفرة. بأخذ Radiant كمثال ، ستحلل هذه المقالة عملية الهجمات متعددة التوقيعات.

الصورة:https://x.com/evilcos/status/1892970435194863997

وصف موجز لهجوم رادينت كابيتال

في 17 أكتوبر، تعرض بروتوكول الإقراض عبر السلاسل الخاص براديانت كابيتال لهجوم شبكي، مما أدى إلى خسائر تجاوزت 50 مليون دولار. راديانت هو سوق صندوق عالمي عبر جميع السلاسل حيث يمكن للمستخدمين إيداع أي أصول في أي سلسلة رئيسية واقتراض الأصول. تظهر البيانات على السلسلة أن القراصنة نقلوا بسرعة الأصول المسروقة من أربيتروم وشبكة BNB، حيث تم إيداع حوالي 12,834 إيثريوم و 32,112 BNB في عنوانين على التوالي.

تحليل العمليات

جوهر هذا الهجوم هو أن المهاجم قد تولى السيطرة على المفاتيح الخاصة لعدة موقعين، مما يعني السيطرة على عقود ذكية متعددة. فيما يلي، سنتعمق في العملية الخاصة بهذا الهجوم والوسائل التقنية وراءه.

1. قام المهاجم باستدعاء ميزة المتعدد من خلال عقد خبيث (أي 0x57ba8957ed2ff2e7ae38f4935451e81ce1eefbf5). يسمح المتعدد بتنفيذ عمليات مختلفة متعددة في استدعاء واحد. في هذه الاستدعاء، استهدف المهاجم مكونين في نظام Radiant، بما في ذلك موفر عناوين التجمع ومجموعة الإقراض.

1. في المعاملة 1، كان المهاجم يتحكم في محفظة Gnosis multisig (GnosisSafeProxy_e471_1416). من خلال المكالمات الخبيثة، نفذ المهاجم بنجاح execTransaction، والتي تضمنت استخدام transferOwnership لتعديل عنوان العقد لموفر بركة الإقراض. بهذه الطريقة، يمكن للمهاجم التحكم في عقد بركة الإقراض وتنفيذ العمليات الخبيثة بشكل أكبر.
2. استغل المهاجم آلية ترقية العقد من خلال استدعاء وظيفة setLendingPoolImpl لاستبدال عقد تنفيذ حمام الإقراض الخاص بشركة Radiant بعقدهم الخبيث الخاص 0xf0c0a1a19886791c2dd6af71307496b1e16aa232. يحتوي هذا العقد الخبيث على وظيفة خلفية تسمح للمهاجم بمزيد من التلاعب بتدفق الأموال في النظام.

وظيفة الباب الخلفي هي نوع من الوظائف الخفية في العقود الخبيثة، عادة ما تكون مصممة لتبدو طبيعية ولكن في الواقع تسمح للمهاجمين بتجاوز التدابير الأمنية العادية والحصول مباشرة على الأصول أو نقلها.

1. بعد استبدال العقد في بركة الإقراض، قام المهاجم بالاتصال بوظيفة upgradeToAndCall لتنفيذ المنطق الخلفي في العقد الخبيث، مما أدى إلى نقل الأصول بشكل أكبر من سوق الإقراض إلى العقد الذي يتحكم فيه المهاجم، وبالتالي تحقيق أرباح.

الاستنتاج: من راديانت إلى بايبت، تظل الأمان أولوية قصوى في صناعة العملات المشفرة

على الرغم من حدوث حوادث السرقة في بيت بايت وراديانت في مشاريع مختلفة، إلا أن طرق الهجوم التي قاموا بها قد أبرزت المخاطر الأمنية المشتركة في سوق العملات المشفرة. سواء كان ذلك من خلال السيطرة على مفاتيح التوقيع المتعددة أو التلاعب في العقود الذكية، تمكن القراصنة من اختراق الدفاعات الأمنية التقليدية بسهولة باستخدام وسائل تقنية متطورة.

مع وسائل الهجمات القرصنة المتطورة بشكل متزايد، كيفية تعزيز أمان تبادلات العملات المشفرة والبروتوكولات أصبحت مشكلة يجب أن تنظر فيها الصناعة بأكملها بعمق. سواء من خلال تعزيز الحماية التقنية أو إضافة مراجعات أمان أكثر صرامة أثناء ترقيات العقود، ستحتاج مشاريع التشفير في المستقبل إلى تعزيز قدراتها الأمنية بشكل مستمر لضمان سلامة أصول المستخدمين.

تدرك Gate.com تمامًا أهمية حماية أمان أصول المستخدم وتعطي دائمًا أولوية لذلك. نقوم بانتظام بإجراء فحوصات أمان من خلال إدارة مفصلة للمحافظ الباردة والساخنة، بالإضافة إلى لقطات رصيد المستخدمين وهياكل شجرة Merkle، فضلاً عن التقنيات المتقدمة، لتحسين عمليات تخزين الأصول وإدارتها شاملة، مضمونة أمان كل أصول وشفافية.

تذكر هذا الحادث سرقة مرة أخرى الصناعة بأكملها بتحديات الأمان. ستتعلم Gate.com منه، وستقوم بترقية نظام حماية الأمان باستمرار، واعتماد وسائل تقنية أكثر تقدمًا وإجراءات مراقبة المخاطر، لضمان استقرار وموثوقية المنصة دائمًا. نعد بعدم جهدنا لحماية أصول المستخدم وتوفير بيئة تداول مستقرة وموثوقة للمستخدمين.