نویسنده: Beosin
1. مرور کلی چشمانداز امنیت بلاکچین وب۳ برای نیمه اول ۲۰۲۵
بر اساس دادههای نظارتی Beosin Alert، در نیمه اول سال ۲۰۲۶، مجموعاً ۱۸۷ حادثه امنیتی در فضای بلاکچین جهان رخ داده که زیانهای تجمعی آن حدود ۱٫۳۹۰ میلیارد دلار بوده است. فراوانی حوادث امنیتی نسبت به مدت مشابه سال قبل ۱۰۷٫۷٪ افزایش یافته، در حالی که مجموع زیان ۳۵٪ کاهش یافته است. اگرچه میزان زیان در نیمه اول امسال کاهش یافته، اما حملات زنجیرهای همچنان مکرر است و بخش بلاکچین همچنان با چالشهای شدید امنیتی روبرو است.
2. زیانها بر اساس زنجیره
اتریوم همچنان بیشترین آسیب را دیده است، با ۷۹ حمله که حدود ۴۹۲ میلیون دلار زیان به همراه داشته و آن را به زنجیره عمومی با بالاترین میزان زیان و بیشترین تعداد حوادث حمله تبدیل کرده است.
سولانا به دلیل زیان عظیم ناشی از حادثه امنیتی Drift Protocol و سایر حملات دیفای، با مجموع زیان حدود ۳۲۸ میلیون دلار، دومین زنجیره پرضرر شد.
شبکه بیتکوین در رتبه سوم قرار دارد، جایی که یک نهنگ (سرمایهگذار بزرگ) حدود ۲۸۲ میلیون دلار را بر اثر حمله مهندسی اجتماعی از دست داد.
3. انواع پروژههای هدف قرار گرفته
دیفای پرشایعترین نوع هدف حملات و بالاترین میزان زیان را متحمل شده است. در نیمه اول ۲۰۲۶، ۶۴ حادثه امنیتی در دیفای رخ داد که ۳۴٫۲۲٪ از کل حوادث را تشکیل میداد و زیان آن به ۴۶۸ میلیون دلار رسید.
شایان ذکر است که حملات هدفمند به کاربران عادی، توکنها و قراردادهای ناشناخته در نیمه اول امسال مکرراً رخ داده که به ترتیب زیانهای ۳۳۷ میلیون و ۳۰۳ میلیون دلار داشته، که نسبت به مدت مشابه سال قبل حدود ۲۷۴٪ افزایش داشته است.
4. تحلیل علل حملات
حملات مهندسی اجتماعی به تهدید اصلی تبدیل شد و با حملات به تیمهای پروژه و نهنگهای فردی، حدود ۶۳۰ میلیون دلار زیان به بار آورد. تعداد حوادث امنیتی ناشی از آسیبپذیریهای قراردادی ۹۴ مورد بود که مجموع زیان حدود ۷۱۳ میلیون دلار را در پی داشت؛ میزان زیان نسبت به مدت مشابه سال قبل تقریباً ثابت ماند، اما فراوانی ۴۹٫۲۱٪ افزایش یافت. در نیمه اول امسال، زیان ناشی از نشت کلید خصوصی نسبت به مدت مشابه سال قبل تقریباً ثابت بود و مجموعاً به ۹۹٫۴۱ میلیون دلار رسید که فراوانی آن نیز افزایش یافت.
5. تحلیل مقیاس زیان
در نیمه اول سال، ۴ حادثه امنیتی با زیان بیش از ۱۰۰ میلیون دلار رخ داد (KelpDAO با حدود ۲۹۰ میلیون دلار زیان، Drift Protocol با حدود ۲۸۵ میلیون دلار زیان، یک نهنگ فردی با حدود ۲۸۲ میلیون دلار زیان، و Rug Pull صرافی DSJ با حدود ۱۵۰ میلیون دلار زیان). ۱۰ حادثه امنیتی برتر مجموعاً حدود ۱٫۱۶۶ میلیارد دلار زیان داشتند که ۸۳٫۸۹٪ از کل زیانها را تشکیل میدهد.
علاوه بر این، تیم امنیتی Beosin چندین حمله به توکنها یا قراردادهای قدیمی کشف کرد که بانبیچین با ۳۳ حادثه، بیشترین تعداد را داشت. مقیاس زیان از ۱۰ هزار دلار تا چند صد هزار دلار متغیر بود. گمان میرود که مهاجمان از فناوری هوش مصنوعی برای اسکن و غربال دستهای این نوع قراردادهای قدیمی استفاده میکنند و انتظار میرود حوادث در این مقیاس در آینده بیشتر رخ دهند.
6. خلاصه چشمانداز امنیت
در مقایسه با نیمه اول ۲۰۲۵، زیان ناشی از حوادث حمله در این نیمه حدود ۳۵٪ کاهش یافته است. با این حال، اگر زیان شدید ۱٫۴۴ میلیارد دلاری هک Bybit در سال گذشته را کنار بگذاریم، زیان در نیمه اول امسال جدی بوده و عمدتاً در پروژههای اکوسیستم زنجیرهای و کاربران عادی متمرکز شده است که حفاظت امنیتی آنها ضعیفتر از صرافیهاست. میزان زیان صرافیها در نیمه اول امسال به شدت کاهش یافت، اما تعداد حملات و میزان زیان اکوسیستمهای بلاکچین عمومی اصلی به طور کلی افزایش یافته است.
بیشترین زیان در نیمه اول سال مربوط به هک KelpDAO بود که تأثیر منفی عظیمی بر اکوسیستم دیفای گذاشت. پس از حمله، مهاجم با استفاده از قراردادهای وامدهی WETH قرض گرفت و بدهیهای بدی برای کاربران آن پروتکلها به جا گذاشت، از جمله بیش از ۲۰۰ میلیون دلار بدهی بد برای Aave. برای جلوگیری از پذیرش بدهی بد، کاربران شروع به برداشت وحشتزده داراییها از Aave کردند که فشار زیادی بر نقدینگی و قیمت سایر داراییهای کریپتو وارد کرد.
بر اساس نوع پروژه، حوادث حمله تمام حوزههای وب۳ را پوشش میدهند: صرافیها، دیفای، کیفپولهای شخصی، زیرساخت، قراردادهای توکن، اوراکل و غیره. تمام تیمهای پروژه وب۳ و کاربران فردی باید با ذخیرهسازی آفلاین کلید خصوصی، استفاده از امضای چندگانه، احتیاط نسبت به خدمات شخص ثالث و ارائه آموزش منظم امنیتی برای کارمندان ممتاز، هوشیار بمانند.
توجه*: محدوده آماری فوق فقط شامل داراییهای دزدیده شده زنجیرهای قابل ردیابی عمومی است و ضررهای فیشینگ کوچک، دزدیهای داخلی شرکتی فاش نشده و سایر دادهها را پوشش نمیدهد. ارقام واقعی زیان بیشتر از مقادیر گزارش شده است.
