Revue des incidents de sécurité des ponts cross-chain : près de 2 milliards de dollars de pertes, plus de 1,5 milliard de dollars récupérés ou indemnisés
Il existe des centaines de chaînes publiques dans l'écosystème blockchain, mais de nombreuses chaînes manquent d'actifs majeurs et ont besoin de passer par des bridges cross-chain pour obtenir des actifs à partir de chaînes publiques principales telles qu'Ethereum. Récemment, des incidents de sécurité dans le domaine DeFi se sont multipliés, et les bridges cross-chain sont devenus la principale cible des attaquants en raison de leur haute liquidité des fonds. Cet article passera en revue les 10 principales attaques sur les bridges cross-chain qui ont eu lieu dans le passé, en résumant les leçons à en tirer, afin de rappeler aux équipes de développement et aux utilisateurs de rester vigilants.
Il convient de noter que les projets de ponts cross-chain disposant de solides capacités en arrière-plan et de fonds suffisants peuvent souvent récupérer des actifs ou indemniser les utilisateurs de manière plus efficace après avoir subi un incident de sécurité. Par conséquent, il est également judicieux pour les utilisateurs de prendre en compte la capacité et la réputation de l'équipe du projet lors du choix d'un pont cross-chain.
ChainSwap : perte de 8 millions de dollars, redémarrage du projet
En juillet 2021, ChainSwap a été victime de deux attaques de hackers, avec une perte totale d'environ 8,8 millions de dollars. La deuxième attaque a eu un impact plus large, touchant plus de 20 projets utilisant ChainSwap pour des ponts cross-chain.
Une enquête montre que la raison de l'attaque est que le protocole n'a pas vérifié strictement la validité des signatures, permettant ainsi à l'attaquant d'utiliser une signature générée par ses soins pour compléter la transaction. Étant donné que les pertes concernent principalement les jetons de gouvernance des projets, plusieurs projets affectés, y compris ChainSwap, ont choisi de faire un snapshot et de réémettre des jetons pour compenser les détenteurs de jetons et les fournisseurs de liquidités.
Poly Network : 610 millions de dollars volés, récupérés en totalité
Le 10 août 2021, le protocole d'interopérabilité cross-chain Poly Network a subi une attaque de grande envergure, entraînant une perte d'environ 610 millions de dollars d'actifs sur Ethereum, Binance Smart Chain et Polygon.
Les attaquants ont exploité une vulnérabilité dans la logique de gestion des permissions des contrats de Poly Network, en modifiant l'adresse des validateurs de la chaîne cible, réussissant ainsi à transférer une grande quantité d'actifs. Bien que la méthode d'attaque soit habile, le hacker a finalement restitué tous les fonds volés. Poly Network a ensuite qualifié ce hacker de "white hat" et a proposé de l'engager en tant que conseiller en sécurité principal.
Multichain : 6 millions de dollars de pertes, une partie a été remboursée
En janvier 2022, Multichain a découvert une vulnérabilité majeure affectant plusieurs jetons. Bien que la vulnérabilité ait été corrigée, certains utilisateurs ont subi des pertes d'environ 6,04 millions de dollars en raison de l'annulation tardive des autorisations.
L'équipe de sécurité de Slow Mist a analysé et a indiqué que la raison de l'attaque était une vulnérabilité dans Multichain lors de la vérification de la légitimité des jetons d'entrée des utilisateurs, ne tenant pas compte du fait que tous les jetons sous-jacents n'implémentent pas la fonction permit. Après l'incident, près de 50 % des fonds volés ont été récupérés et l'équipe du projet a également proposé un plan d'indemnisation.
QBridge : 80 millions de dollars de pertes, l'avancement des indemnisations est lent
Le 28 janvier 2022, le pont cross-chain QBridge du protocole de prêt Qubit a été attaqué, entraînant une perte d'environ 80 millions de dollars.
L'attaquant a exploité une vulnérabilité de QBridge qui ne vérifiait pas à nouveau l'adresse zéro lors du traitement des transferts de jetons sur liste blanche. En définissant l'adresse du jeton ERC20 sur l'adresse zéro, l'attaquant a pu créer de manière fictive une grande quantité de jetons xETH sur BSC sans déposer de jetons, et a utilisé cela comme garantie pour emprunter d'autres jetons.
Actuellement, le taux d'utilisation de Qubit a considérablement diminué, 98 % des fonds volés n'ont toujours pas été remboursés.
Meter.io : perte de 4,4 millions de dollars, engagement de remboursement des bénéfices futurs
Le 6 février 2022, le pont cross-chain Meter Passport a été attaqué, entraînant une perte de 4,4 millions de dollars.
Le projet Meter a déclaré que le problème provenait d'une "hypothèse de confiance erronée" dans son code source étendu, permettant aux attaquants de falsifier les transferts de BNB et d'ETH. L'équipe du projet avait initialement prévu d'indemniser les pertes avec le jeton MTRG, mais a ensuite décidé d'émettre un nouveau jeton PASS en tant qu'indemnisation et a promis de racheter ces jetons avec les revenus futurs.
Ronin : 620 millions de dollars volés, remboursement intégral effectué
En mars 2022, la chaîne Ronin derrière Axie Infinity a subi un grave incident de sécurité, entraînant une perte d'environ 620 millions de dollars. Cette attaque a en réalité eu lieu le 23 mars, mais elle n'a été découverte que six jours plus tard.
Une enquête montre que les attaquants ont obtenu la confiance des employés de Sky Mavis par des méthodes d'ingénierie sociale, puis ont contrôlé plusieurs nœuds de validation du réseau Ronin. Bien que les fonds volés n’aient pas pu être récupérés, Sky Mavis a fourni une compensation aux utilisateurs grâce à un financement de 150 millions de dollars.
Wormhole : 326 millions de dollars de pertes, tous remboursés
Le 3 février 2022, le protocole d'interopérabilité cross-chain Wormhole a été attaqué, entraînant une perte d'environ 120 000 ETH, d'une valeur de 326 millions de dollars.
La cause de l'attaque est un défaut dans le code de vérification de signature du contrat central Wormhole sur Solana, permettant à l'attaquant de falsifier des messages "gardien" pour frapper du whETH. Suite à l'incident, Jump Crypto a rapidement investi 120 000 ETH pour compenser les pertes, permettant à Wormhole de reprendre son fonctionnement.
EvoDeFi : pertes estimées à plusieurs millions de dollars, non résolues
Le 7 juin 2022, le USDT sur le DEX ValleySwap de l'écosystème Oasis a connu un important dépeg. Ce problème provient du manque de liquidité sur la chaîne source de la passerelle cross-chain utilisée, EVODeFi.
Bien que le montant précis des pertes soit inconnu, il est estimé à plusieurs millions de dollars. Il est regrettable que ni l'équipe d'Oasis, ni ValleySwap, ni EVODeFi n'aient pu fournir de solutions efficaces aux utilisateurs.
Horizon : pertes de près de 100 millions de dollars, un plan de compensation est en cours d'élaboration.
Le 24 juin 2022, le pont cross-chain Horizon de Harmony a été attaqué, entraînant une perte de fonds d'environ 100 millions de dollars.
Le fondateur de Harmony, Stephen Tse, a reconnu que l'attaque pourrait être due à une fuite de clé privée. L'équipe du projet avait proposé de compenser les pertes des utilisateurs en émettant des jetons ONE sur une période de 3 ans, mais cette proposition n'a pas été unanimement acceptée par la communauté. Actuellement, un nouveau plan de compensation est en cours d'élaboration.
Nomad : 1,9 milliard de dollars volés, une partie des fonds pourrait être récupérée
Le 2 août 2022, le pont cross-chain de Nomad a subi un grave incident de sécurité, entraînant une perte de 190 millions de dollars. Cet événement a également impacté le protocole d'interopérabilité Layer2 Connext, causant une perte d'environ 3,34 millions de dollars.
L'analyse montre que l'attaque provient de Nomad, qui a initialisé à tort la racine de confiance à 0x00 lors d'une mise à jour de contrat, permettant à quiconque de retirer facilement des fonds du bridges cross-chain. Actuellement, certains hackers éthiques ont exprimé leur volonté de restituer les fonds, mais l'équipe du projet n'a pas encore proposé de plan de remboursement clair.
Conclusion
La fréquence des accidents de sécurité des ponts cross-chain met en évidence la haute risque de ce domaine. Même les grands projets de ponts cross-chain bien classés, tels que Multichain, Portal (Wormhole) et Poly Network, ont également rencontré des problèmes de sécurité. Cela nous avertit que tout pont cross-chain peut être confronté à des menaces de sécurité.
Cependant, nous avons également constaté que les projets disposant de solides capacités et de financements suffisants sont souvent plus efficaces pour récupérer des actifs ou indemniser les utilisateurs lorsqu'ils sont confrontés à des incidents de sécurité. Par exemple, Poly Network, Ronin Network et Wormhole ont tous réussi à récupérer des fonds ou ont offert des compensations adéquates après avoir subi un vol massif de fonds.
De plus, la surveillance en temps réel et la réponse rapide de l'équipe du projet sont également cruciales. Par exemple, Hop Protocol et StarGate ont rapidement agi après avoir reçu des rapports d'activités suspectes, empêchant ainsi avec succès des attaques potentielles.
Ainsi, pour les utilisateurs, lors du choix des ponts cross-chain, en plus de considérer les facteurs techniques, il convient également d'évaluer l'arrière-plan de l'équipe du projet, sa capacité financière et sa capacité à gérer les risques. Pour l'équipe de développement, des audits de sécurité continus, des corrections de vulnérabilités en temps opportun et un mécanisme de réponse d'urgence complet sont tous des éléments clés pour garantir la sécurité des ponts cross-chain.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Bridges cross-chain sécurité revue : 2 milliards de dollars de pertes, 75 % déjà récupérées ou indemnisées
Revue des incidents de sécurité des ponts cross-chain : près de 2 milliards de dollars de pertes, plus de 1,5 milliard de dollars récupérés ou indemnisés
Il existe des centaines de chaînes publiques dans l'écosystème blockchain, mais de nombreuses chaînes manquent d'actifs majeurs et ont besoin de passer par des bridges cross-chain pour obtenir des actifs à partir de chaînes publiques principales telles qu'Ethereum. Récemment, des incidents de sécurité dans le domaine DeFi se sont multipliés, et les bridges cross-chain sont devenus la principale cible des attaquants en raison de leur haute liquidité des fonds. Cet article passera en revue les 10 principales attaques sur les bridges cross-chain qui ont eu lieu dans le passé, en résumant les leçons à en tirer, afin de rappeler aux équipes de développement et aux utilisateurs de rester vigilants.
Il convient de noter que les projets de ponts cross-chain disposant de solides capacités en arrière-plan et de fonds suffisants peuvent souvent récupérer des actifs ou indemniser les utilisateurs de manière plus efficace après avoir subi un incident de sécurité. Par conséquent, il est également judicieux pour les utilisateurs de prendre en compte la capacité et la réputation de l'équipe du projet lors du choix d'un pont cross-chain.
ChainSwap : perte de 8 millions de dollars, redémarrage du projet
En juillet 2021, ChainSwap a été victime de deux attaques de hackers, avec une perte totale d'environ 8,8 millions de dollars. La deuxième attaque a eu un impact plus large, touchant plus de 20 projets utilisant ChainSwap pour des ponts cross-chain.
Une enquête montre que la raison de l'attaque est que le protocole n'a pas vérifié strictement la validité des signatures, permettant ainsi à l'attaquant d'utiliser une signature générée par ses soins pour compléter la transaction. Étant donné que les pertes concernent principalement les jetons de gouvernance des projets, plusieurs projets affectés, y compris ChainSwap, ont choisi de faire un snapshot et de réémettre des jetons pour compenser les détenteurs de jetons et les fournisseurs de liquidités.
Poly Network : 610 millions de dollars volés, récupérés en totalité
Le 10 août 2021, le protocole d'interopérabilité cross-chain Poly Network a subi une attaque de grande envergure, entraînant une perte d'environ 610 millions de dollars d'actifs sur Ethereum, Binance Smart Chain et Polygon.
Les attaquants ont exploité une vulnérabilité dans la logique de gestion des permissions des contrats de Poly Network, en modifiant l'adresse des validateurs de la chaîne cible, réussissant ainsi à transférer une grande quantité d'actifs. Bien que la méthode d'attaque soit habile, le hacker a finalement restitué tous les fonds volés. Poly Network a ensuite qualifié ce hacker de "white hat" et a proposé de l'engager en tant que conseiller en sécurité principal.
Multichain : 6 millions de dollars de pertes, une partie a été remboursée
En janvier 2022, Multichain a découvert une vulnérabilité majeure affectant plusieurs jetons. Bien que la vulnérabilité ait été corrigée, certains utilisateurs ont subi des pertes d'environ 6,04 millions de dollars en raison de l'annulation tardive des autorisations.
L'équipe de sécurité de Slow Mist a analysé et a indiqué que la raison de l'attaque était une vulnérabilité dans Multichain lors de la vérification de la légitimité des jetons d'entrée des utilisateurs, ne tenant pas compte du fait que tous les jetons sous-jacents n'implémentent pas la fonction permit. Après l'incident, près de 50 % des fonds volés ont été récupérés et l'équipe du projet a également proposé un plan d'indemnisation.
QBridge : 80 millions de dollars de pertes, l'avancement des indemnisations est lent
Le 28 janvier 2022, le pont cross-chain QBridge du protocole de prêt Qubit a été attaqué, entraînant une perte d'environ 80 millions de dollars.
L'attaquant a exploité une vulnérabilité de QBridge qui ne vérifiait pas à nouveau l'adresse zéro lors du traitement des transferts de jetons sur liste blanche. En définissant l'adresse du jeton ERC20 sur l'adresse zéro, l'attaquant a pu créer de manière fictive une grande quantité de jetons xETH sur BSC sans déposer de jetons, et a utilisé cela comme garantie pour emprunter d'autres jetons.
Actuellement, le taux d'utilisation de Qubit a considérablement diminué, 98 % des fonds volés n'ont toujours pas été remboursés.
Meter.io : perte de 4,4 millions de dollars, engagement de remboursement des bénéfices futurs
Le 6 février 2022, le pont cross-chain Meter Passport a été attaqué, entraînant une perte de 4,4 millions de dollars.
Le projet Meter a déclaré que le problème provenait d'une "hypothèse de confiance erronée" dans son code source étendu, permettant aux attaquants de falsifier les transferts de BNB et d'ETH. L'équipe du projet avait initialement prévu d'indemniser les pertes avec le jeton MTRG, mais a ensuite décidé d'émettre un nouveau jeton PASS en tant qu'indemnisation et a promis de racheter ces jetons avec les revenus futurs.
Ronin : 620 millions de dollars volés, remboursement intégral effectué
En mars 2022, la chaîne Ronin derrière Axie Infinity a subi un grave incident de sécurité, entraînant une perte d'environ 620 millions de dollars. Cette attaque a en réalité eu lieu le 23 mars, mais elle n'a été découverte que six jours plus tard.
Une enquête montre que les attaquants ont obtenu la confiance des employés de Sky Mavis par des méthodes d'ingénierie sociale, puis ont contrôlé plusieurs nœuds de validation du réseau Ronin. Bien que les fonds volés n’aient pas pu être récupérés, Sky Mavis a fourni une compensation aux utilisateurs grâce à un financement de 150 millions de dollars.
Wormhole : 326 millions de dollars de pertes, tous remboursés
Le 3 février 2022, le protocole d'interopérabilité cross-chain Wormhole a été attaqué, entraînant une perte d'environ 120 000 ETH, d'une valeur de 326 millions de dollars.
La cause de l'attaque est un défaut dans le code de vérification de signature du contrat central Wormhole sur Solana, permettant à l'attaquant de falsifier des messages "gardien" pour frapper du whETH. Suite à l'incident, Jump Crypto a rapidement investi 120 000 ETH pour compenser les pertes, permettant à Wormhole de reprendre son fonctionnement.
EvoDeFi : pertes estimées à plusieurs millions de dollars, non résolues
Le 7 juin 2022, le USDT sur le DEX ValleySwap de l'écosystème Oasis a connu un important dépeg. Ce problème provient du manque de liquidité sur la chaîne source de la passerelle cross-chain utilisée, EVODeFi.
Bien que le montant précis des pertes soit inconnu, il est estimé à plusieurs millions de dollars. Il est regrettable que ni l'équipe d'Oasis, ni ValleySwap, ni EVODeFi n'aient pu fournir de solutions efficaces aux utilisateurs.
Horizon : pertes de près de 100 millions de dollars, un plan de compensation est en cours d'élaboration.
Le 24 juin 2022, le pont cross-chain Horizon de Harmony a été attaqué, entraînant une perte de fonds d'environ 100 millions de dollars.
Le fondateur de Harmony, Stephen Tse, a reconnu que l'attaque pourrait être due à une fuite de clé privée. L'équipe du projet avait proposé de compenser les pertes des utilisateurs en émettant des jetons ONE sur une période de 3 ans, mais cette proposition n'a pas été unanimement acceptée par la communauté. Actuellement, un nouveau plan de compensation est en cours d'élaboration.
Nomad : 1,9 milliard de dollars volés, une partie des fonds pourrait être récupérée
Le 2 août 2022, le pont cross-chain de Nomad a subi un grave incident de sécurité, entraînant une perte de 190 millions de dollars. Cet événement a également impacté le protocole d'interopérabilité Layer2 Connext, causant une perte d'environ 3,34 millions de dollars.
L'analyse montre que l'attaque provient de Nomad, qui a initialisé à tort la racine de confiance à 0x00 lors d'une mise à jour de contrat, permettant à quiconque de retirer facilement des fonds du bridges cross-chain. Actuellement, certains hackers éthiques ont exprimé leur volonté de restituer les fonds, mais l'équipe du projet n'a pas encore proposé de plan de remboursement clair.
Conclusion
La fréquence des accidents de sécurité des ponts cross-chain met en évidence la haute risque de ce domaine. Même les grands projets de ponts cross-chain bien classés, tels que Multichain, Portal (Wormhole) et Poly Network, ont également rencontré des problèmes de sécurité. Cela nous avertit que tout pont cross-chain peut être confronté à des menaces de sécurité.
Cependant, nous avons également constaté que les projets disposant de solides capacités et de financements suffisants sont souvent plus efficaces pour récupérer des actifs ou indemniser les utilisateurs lorsqu'ils sont confrontés à des incidents de sécurité. Par exemple, Poly Network, Ronin Network et Wormhole ont tous réussi à récupérer des fonds ou ont offert des compensations adéquates après avoir subi un vol massif de fonds.
De plus, la surveillance en temps réel et la réponse rapide de l'équipe du projet sont également cruciales. Par exemple, Hop Protocol et StarGate ont rapidement agi après avoir reçu des rapports d'activités suspectes, empêchant ainsi avec succès des attaques potentielles.
Ainsi, pour les utilisateurs, lors du choix des ponts cross-chain, en plus de considérer les facteurs techniques, il convient également d'évaluer l'arrière-plan de l'équipe du projet, sa capacité financière et sa capacité à gérer les risques. Pour l'équipe de développement, des audits de sécurité continus, des corrections de vulnérabilités en temps opportun et un mécanisme de réponse d'urgence complet sont tous des éléments clés pour garantir la sécurité des ponts cross-chain.