Revisão de eventos de segurança de pontes de cadeia cruzada: perda de quase 2 bilhões de dólares, mais de 1,5 bilhões de dólares já recuperados ou compensados
Existem centenas de blockchains públicas no ecossistema de blockchain, mas devido à falta de ativos mainstream em muitas dessas cadeias, é necessário obter ativos através de pontes de cadeia cruzada de blockchains principais como Ethereum. Recentemente, houve uma série de incidentes de segurança no campo do DeFi, e as pontes de cadeia cruzada tornaram-se os principais alvos dos atacantes devido à sua alta liquidez de fundos. Este artigo revisará os 10 principais eventos de ataques a pontes de cadeia cruzada que ocorreram no passado, resumindo as lições aprendidas para alertar as equipes de desenvolvimento e os usuários a permanecerem vigilantes.
Vale a pena notar que projetos de pontes de cadeia cruzada com um forte suporte de fundo e recursos financeiros têm mais probabilidade de recuperar ativos ou fornecer compensação aos usuários após um incidente de segurança. Portanto, ao escolher uma ponte de cadeia cruzada, é também uma decisão sábia considerar a força e a reputação do projeto.
ChainSwap: perda de 8 milhões de dólares, reinício do projeto
Em julho de 2021, a ChainSwap sofreu duas ataques de hackers, resultando em uma perda total de cerca de 8,8 milhões de dólares. O segundo ataque teve um impacto mais amplo, afetando mais de 20 projetos que utilizavam a ChainSwap para cadeias cruzadas.
A investigação revelou que a razão do ataque foi a falta de verificação rigorosa da validade das assinaturas no protocolo, permitindo que o atacante utilizasse assinaturas geradas por ele para completar transações. Como as perdas envolviam principalmente tokens de governança dos projetos, vários projetos afetados, incluindo o ChainSwap, optaram por fazer um snapshot e reemitir tokens para compensar os detentores de tokens e os provedores de liquidez.
Poly Network: 610 milhões de dólares roubados, recuperados na íntegra
No dia 10 de agosto de 2021, o protocolo de interoperabilidade de cadeia cruzada Poly Network sofreu um ataque em grande escala, resultando na perda de aproximadamente 610 milhões de dólares em ativos nas redes Ethereum, Binance Smart Chain e Polygon.
Os atacantes exploraram uma vulnerabilidade na lógica de gerenciamento de permissões do contrato da Poly Network, modificando o endereço do validador na cadeia de destino para transferir com sucesso uma grande quantidade de ativos. Embora a técnica de ataque fosse sofisticada, o hacker acabou devolvendo todos os fundos roubados. A Poly Network posteriormente chamou-o de hacker "white hat" e propôs contratá-lo como consultor de segurança chefe.
Multichain: 6 milhões de dólares em perdas, parte já foi reembolsada
Em janeiro de 2022, a Multichain descobriu uma vulnerabilidade significativa que afetava vários tokens. Embora a vulnerabilidade tenha sido corrigida, alguns usuários ainda sofreram perdas devido à falta de revogação oportuna de autorizações, totalizando cerca de 6,04 milhões de dólares.
A equipe de segurança da Slow Fog analisou e apontou que a razão do ataque foi uma vulnerabilidade no Multichain ao verificar a legitimidade dos tokens de entrada dos usuários, pois não considerou que nem todos os tokens subjacentes implementaram a função permit. Após o incidente, quase 50% dos fundos roubados foram recuperados e a equipe do projeto também apresentou um plano de compensação.
QBridge: 80 milhões de dólares em perdas, progresso lento na compensação
No dia 28 de janeiro de 2022, a ponte de cadeia cruzada QBridge do protocolo de empréstimos Qubit foi atacada, resultando em uma perda de cerca de 80 milhões de dólares.
Os atacantes exploraram uma vulnerabilidade no QBridge que não verifica novamente o endereço zero ao processar transferências de tokens na lista branca. Ao definir o endereço do token ERC20 como o endereço zero, os atacantes cunharam uma grande quantidade de tokens xETH na BSC sem depositar quaisquer tokens e usaram isso como garantia para emprestar outros tokens.
Atualmente, a taxa de utilização do Qubit diminuiu drasticamente, 98% dos fundos roubados ainda não foram compensados.
Meter.io: perda de 4,4 milhões de dólares, promete compensação futura dos lucros
No dia 6 de fevereiro de 2022, a ponte de cadeia cruzada Meter Passport foi atacada, resultando em uma perda de 4,4 milhões de dólares.
A Meter oficial afirmou que o problema estava na "suposição de confiança incorreta" no código-fonte de sua extensão, permitindo que atacantes falsificassem transferências de BNB e ETH. A equipe do projeto inicialmente planejou compensar as perdas com o token MTRG, mas depois decidiu emitir um novo token PASS como compensação, prometendo recomprar esses tokens com os lucros futuros.
Ronin: 620 milhões de dólares roubados, já reembolsados na totalidade
Em março de 2022, a cadeia Ronin por trás do Axie Infinity sofreu um grave incidente de segurança, resultando em perdas de cerca de 620 milhões de dólares. O ataque ocorreu efetivamente no dia 23 de março, mas só foi descoberto 6 dias depois.
A pesquisa mostrou que os atacantes conseguiram a confiança dos funcionários da Sky Mavis através de técnicas de engenharia social, controlando assim vários nós de validação da rede Ronin. Embora os fundos roubados não tenham sido recuperados, a Sky Mavis ofereceu compensação aos usuários através de um financiamento de 150 milhões de dólares.
Wormhole: 326 milhões de dólares em perdas, já reembolsado na totalidade
No dia 3 de fevereiro de 2022, o protocolo de interoperabilidade de cadeia cruzada Wormhole foi atacado, resultando na perda de aproximadamente 120 mil ETH, no valor de 3,26 bilhões de dólares.
A razão do ataque foi uma vulnerabilidade no código de verificação de assinatura do contrato principal do Wormhole na rede Solana, que permitiu que o atacante falsificasse mensagens de "guardião" para cunhar whETH. Após o incidente, a Jump Crypto rapidamente investiu 120 mil ETH para compensar as perdas, permitindo que o Wormhole fosse restaurado.
EvoDeFi: estimativas de perda superiores a dez milhões de dólares, ainda não resolvidas
No dia 7 de junho de 2022, o USDT na DEX ValleySwap do ecossistema Oasis sofreu uma desvalorização severa. Este problema decorreu da falta de liquidez na cadeia de origem do ponte de cadeia cruzada EVODeFi que estava sendo utilizado.
Embora o montante exato da perda seja desconhecido, estima-se que esteja na casa das dezenas de milhões de dólares. É lamentável que nem a Oasis, nem a ValleySwap, nem a EVODeFi tenham conseguido fornecer soluções eficazes para os usuários.
Horizon: Perda de quase 100 milhões de dólares, plano de compensação em elaboração
No dia 24 de junho de 2022, a ponte de cadeia cruzada oficial da Harmony, Horizon, foi atacada, resultando em uma perda de cerca de 100 milhões de dólares.
O fundador da Harmony, Stephen Tse, admitiu que o ataque pode ter sido causado por uma fuga de chave privada. A equipe do projeto havia proposto compensar as perdas dos usuários através da emissão adicional de tokens ONE ao longo de 3 anos, mas essa proposta não obteve a aprovação unânime da comunidade. Atualmente, um novo plano de compensação está sendo elaborado.
Nomad: 190 milhões de dólares foram roubados, parte dos fundos pode ser recuperada
No dia 2 de agosto de 2022, a ponte de cadeia cruzada Nomad sofreu um grave acidente de segurança, resultando na perda de 190 milhões de dólares. Este evento também afetou o protocolo de interoperabilidade Layer2 Connext, causando uma perda de cerca de 3,34 milhões de dólares.
A análise mostra que o ataque se originou da Nomad, que inicializou incorretamente a raiz de confiança como 0x00 durante uma atualização de contrato, permitindo que qualquer pessoa retirasse facilmente fundos da ponte de cadeia cruzada. Atualmente, alguns hackers éticos já se mostraram dispostos a devolver os fundos, mas a equipe do projeto ainda não apresentou um plano de compensação claro.
Conclusão
A frequência de acidentes de segurança em pontes de cadeia cruzada destaca a alta risco nesse campo. Mesmo projetos de pontes de cadeia cruzada de grande porte, como Multichain, Portal (Wormhole) e Poly Network, já enfrentaram problemas de segurança. Isso nos alerta de que qualquer ponte de cadeia cruzada pode estar sujeita a ameaças de segurança.
No entanto, também observamos que projetos com um forte suporte de fundo e recursos financeiros suficientes, quando enfrentam acidentes de segurança, muitas vezes conseguem recuperar ativos ou fornecer compensação aos usuários de forma mais eficaz. Por exemplo, a Poly Network, a Ronin Network e a Wormhole, após sofrerem grandes roubos de fundos, conseguiram recuperar os fundos ou realizaram compensações adequadas.
Além disso, a monitorização em tempo real e a resposta rápida por parte da equipa do projeto são igualmente cruciais. Como o Hop Protocol e o StarGate, que agiram rapidamente após receber relatos de atividades suspeitas, conseguindo impedir ataques potenciais.
Assim, para os usuários, ao escolher uma ponte de cadeia cruzada, além de considerar fatores técnicos, também devem avaliar o histórico da equipe do projeto, a capacidade financeira e a habilidade de lidar com riscos. Para a equipe de desenvolvimento, auditorias de segurança contínuas, correções de vulnerabilidades em tempo hábil e um mecanismo de resposta a emergências bem desenvolvido são todos fatores-chave para garantir a segurança da ponte de cadeia cruzada.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
Revisão de segurança da ponte de cadeia cruzada: 2 mil milhões de dólares em perdas, 75% já recuperados ou compensados.
Revisão de eventos de segurança de pontes de cadeia cruzada: perda de quase 2 bilhões de dólares, mais de 1,5 bilhões de dólares já recuperados ou compensados
Existem centenas de blockchains públicas no ecossistema de blockchain, mas devido à falta de ativos mainstream em muitas dessas cadeias, é necessário obter ativos através de pontes de cadeia cruzada de blockchains principais como Ethereum. Recentemente, houve uma série de incidentes de segurança no campo do DeFi, e as pontes de cadeia cruzada tornaram-se os principais alvos dos atacantes devido à sua alta liquidez de fundos. Este artigo revisará os 10 principais eventos de ataques a pontes de cadeia cruzada que ocorreram no passado, resumindo as lições aprendidas para alertar as equipes de desenvolvimento e os usuários a permanecerem vigilantes.
Vale a pena notar que projetos de pontes de cadeia cruzada com um forte suporte de fundo e recursos financeiros têm mais probabilidade de recuperar ativos ou fornecer compensação aos usuários após um incidente de segurança. Portanto, ao escolher uma ponte de cadeia cruzada, é também uma decisão sábia considerar a força e a reputação do projeto.
ChainSwap: perda de 8 milhões de dólares, reinício do projeto
Em julho de 2021, a ChainSwap sofreu duas ataques de hackers, resultando em uma perda total de cerca de 8,8 milhões de dólares. O segundo ataque teve um impacto mais amplo, afetando mais de 20 projetos que utilizavam a ChainSwap para cadeias cruzadas.
A investigação revelou que a razão do ataque foi a falta de verificação rigorosa da validade das assinaturas no protocolo, permitindo que o atacante utilizasse assinaturas geradas por ele para completar transações. Como as perdas envolviam principalmente tokens de governança dos projetos, vários projetos afetados, incluindo o ChainSwap, optaram por fazer um snapshot e reemitir tokens para compensar os detentores de tokens e os provedores de liquidez.
Poly Network: 610 milhões de dólares roubados, recuperados na íntegra
No dia 10 de agosto de 2021, o protocolo de interoperabilidade de cadeia cruzada Poly Network sofreu um ataque em grande escala, resultando na perda de aproximadamente 610 milhões de dólares em ativos nas redes Ethereum, Binance Smart Chain e Polygon.
Os atacantes exploraram uma vulnerabilidade na lógica de gerenciamento de permissões do contrato da Poly Network, modificando o endereço do validador na cadeia de destino para transferir com sucesso uma grande quantidade de ativos. Embora a técnica de ataque fosse sofisticada, o hacker acabou devolvendo todos os fundos roubados. A Poly Network posteriormente chamou-o de hacker "white hat" e propôs contratá-lo como consultor de segurança chefe.
Multichain: 6 milhões de dólares em perdas, parte já foi reembolsada
Em janeiro de 2022, a Multichain descobriu uma vulnerabilidade significativa que afetava vários tokens. Embora a vulnerabilidade tenha sido corrigida, alguns usuários ainda sofreram perdas devido à falta de revogação oportuna de autorizações, totalizando cerca de 6,04 milhões de dólares.
A equipe de segurança da Slow Fog analisou e apontou que a razão do ataque foi uma vulnerabilidade no Multichain ao verificar a legitimidade dos tokens de entrada dos usuários, pois não considerou que nem todos os tokens subjacentes implementaram a função permit. Após o incidente, quase 50% dos fundos roubados foram recuperados e a equipe do projeto também apresentou um plano de compensação.
QBridge: 80 milhões de dólares em perdas, progresso lento na compensação
No dia 28 de janeiro de 2022, a ponte de cadeia cruzada QBridge do protocolo de empréstimos Qubit foi atacada, resultando em uma perda de cerca de 80 milhões de dólares.
Os atacantes exploraram uma vulnerabilidade no QBridge que não verifica novamente o endereço zero ao processar transferências de tokens na lista branca. Ao definir o endereço do token ERC20 como o endereço zero, os atacantes cunharam uma grande quantidade de tokens xETH na BSC sem depositar quaisquer tokens e usaram isso como garantia para emprestar outros tokens.
Atualmente, a taxa de utilização do Qubit diminuiu drasticamente, 98% dos fundos roubados ainda não foram compensados.
Meter.io: perda de 4,4 milhões de dólares, promete compensação futura dos lucros
No dia 6 de fevereiro de 2022, a ponte de cadeia cruzada Meter Passport foi atacada, resultando em uma perda de 4,4 milhões de dólares.
A Meter oficial afirmou que o problema estava na "suposição de confiança incorreta" no código-fonte de sua extensão, permitindo que atacantes falsificassem transferências de BNB e ETH. A equipe do projeto inicialmente planejou compensar as perdas com o token MTRG, mas depois decidiu emitir um novo token PASS como compensação, prometendo recomprar esses tokens com os lucros futuros.
Ronin: 620 milhões de dólares roubados, já reembolsados na totalidade
Em março de 2022, a cadeia Ronin por trás do Axie Infinity sofreu um grave incidente de segurança, resultando em perdas de cerca de 620 milhões de dólares. O ataque ocorreu efetivamente no dia 23 de março, mas só foi descoberto 6 dias depois.
A pesquisa mostrou que os atacantes conseguiram a confiança dos funcionários da Sky Mavis através de técnicas de engenharia social, controlando assim vários nós de validação da rede Ronin. Embora os fundos roubados não tenham sido recuperados, a Sky Mavis ofereceu compensação aos usuários através de um financiamento de 150 milhões de dólares.
Wormhole: 326 milhões de dólares em perdas, já reembolsado na totalidade
No dia 3 de fevereiro de 2022, o protocolo de interoperabilidade de cadeia cruzada Wormhole foi atacado, resultando na perda de aproximadamente 120 mil ETH, no valor de 3,26 bilhões de dólares.
A razão do ataque foi uma vulnerabilidade no código de verificação de assinatura do contrato principal do Wormhole na rede Solana, que permitiu que o atacante falsificasse mensagens de "guardião" para cunhar whETH. Após o incidente, a Jump Crypto rapidamente investiu 120 mil ETH para compensar as perdas, permitindo que o Wormhole fosse restaurado.
EvoDeFi: estimativas de perda superiores a dez milhões de dólares, ainda não resolvidas
No dia 7 de junho de 2022, o USDT na DEX ValleySwap do ecossistema Oasis sofreu uma desvalorização severa. Este problema decorreu da falta de liquidez na cadeia de origem do ponte de cadeia cruzada EVODeFi que estava sendo utilizado.
Embora o montante exato da perda seja desconhecido, estima-se que esteja na casa das dezenas de milhões de dólares. É lamentável que nem a Oasis, nem a ValleySwap, nem a EVODeFi tenham conseguido fornecer soluções eficazes para os usuários.
Horizon: Perda de quase 100 milhões de dólares, plano de compensação em elaboração
No dia 24 de junho de 2022, a ponte de cadeia cruzada oficial da Harmony, Horizon, foi atacada, resultando em uma perda de cerca de 100 milhões de dólares.
O fundador da Harmony, Stephen Tse, admitiu que o ataque pode ter sido causado por uma fuga de chave privada. A equipe do projeto havia proposto compensar as perdas dos usuários através da emissão adicional de tokens ONE ao longo de 3 anos, mas essa proposta não obteve a aprovação unânime da comunidade. Atualmente, um novo plano de compensação está sendo elaborado.
Nomad: 190 milhões de dólares foram roubados, parte dos fundos pode ser recuperada
No dia 2 de agosto de 2022, a ponte de cadeia cruzada Nomad sofreu um grave acidente de segurança, resultando na perda de 190 milhões de dólares. Este evento também afetou o protocolo de interoperabilidade Layer2 Connext, causando uma perda de cerca de 3,34 milhões de dólares.
A análise mostra que o ataque se originou da Nomad, que inicializou incorretamente a raiz de confiança como 0x00 durante uma atualização de contrato, permitindo que qualquer pessoa retirasse facilmente fundos da ponte de cadeia cruzada. Atualmente, alguns hackers éticos já se mostraram dispostos a devolver os fundos, mas a equipe do projeto ainda não apresentou um plano de compensação claro.
Conclusão
A frequência de acidentes de segurança em pontes de cadeia cruzada destaca a alta risco nesse campo. Mesmo projetos de pontes de cadeia cruzada de grande porte, como Multichain, Portal (Wormhole) e Poly Network, já enfrentaram problemas de segurança. Isso nos alerta de que qualquer ponte de cadeia cruzada pode estar sujeita a ameaças de segurança.
No entanto, também observamos que projetos com um forte suporte de fundo e recursos financeiros suficientes, quando enfrentam acidentes de segurança, muitas vezes conseguem recuperar ativos ou fornecer compensação aos usuários de forma mais eficaz. Por exemplo, a Poly Network, a Ronin Network e a Wormhole, após sofrerem grandes roubos de fundos, conseguiram recuperar os fundos ou realizaram compensações adequadas.
Além disso, a monitorização em tempo real e a resposta rápida por parte da equipa do projeto são igualmente cruciais. Como o Hop Protocol e o StarGate, que agiram rapidamente após receber relatos de atividades suspeitas, conseguindo impedir ataques potenciais.
Assim, para os usuários, ao escolher uma ponte de cadeia cruzada, além de considerar fatores técnicos, também devem avaliar o histórico da equipe do projeto, a capacidade financeira e a habilidade de lidar com riscos. Para a equipe de desenvolvimento, auditorias de segurança contínuas, correções de vulnerabilidades em tempo hábil e um mecanismo de resposta a emergências bem desenvolvido são todos fatores-chave para garantir a segurança da ponte de cadeia cruzada.