Обзор инцидентов безопасности кроссчейн моста: потеря почти 2 миллиардов долларов, более 1.5 миллиардов долларов уже возвращены или компенсированы
В экосистеме блокчейна существует сотни публичных цепей, но из-за того, что многие цепи не имеют основных активов, необходимо получать активы через кроссчейн мосты из таких основных публичных цепей, как Эфириум. В последнее время в области DeFi участились инциденты с безопасностью, и кроссчейн мосты стали главной целью для злоумышленников из-за высокой ликвидности средств. В данной статье мы рассмотрим 10 крупных атак на кроссчейн мосты, произошедших в прошлом, и подведем итоги, чтобы напомнить командам разработчиков и пользователям быть бдительными.
Стоит отметить, что проекты кроссчейн моста с сильным фоном и достаточным финансированием, после возникновения инцидентов безопасности, часто могут более эффективно вернуть активы или предоставить компенсацию пользователям. Поэтому пользователям разумно учитывать силу и репутацию проекта при выборе кроссчейн моста.
ChainSwap: убыток в 8 миллионов долларов, проект перезапущен
В июле 2021 года ChainSwap столкнулся с двумя хакерскими атаками, общие убытки составили около 8,8 миллиона долларов. Вторая атака затронула более 20 проектов, использующих ChainSwap для кросс-чейн.
Исследование показывает, что причиной атаки является то, что протокол не строго проверял действительность подписи, что позволило злоумышленнику использовать самостоятельно сгенерированную подпись для завершения транзакции. Поскольку убытки в основном касаются治理代币 проекта, несколько затронутых проектов, включая ChainSwap, выбрали провести снимок и переиздать токены для компенсации держателей токенов и поставщиков ликвидности.
Poly Network: 610 миллионов долларов украдено, возвращено в полном объеме
10 августа 2021 года кросс-чейн интероперабельный протокол Poly Network подвергся масштабной атаке, в результате которой было потеряно около 610 миллионов долларов активов на Ethereum, Binance Smart Chain и Polygon.
Злоумышленник воспользовался уязвимостью в логике управления правами в контракте Poly Network, изменив адреса валидаторов целевой сети и успешно переведя большое количество активов. Несмотря на мастерство атаки, хакер в конечном итоге вернул все украденные средства. Poly Network затем назвал его "белым хакером" и предложил назначить его главным консультантом по безопасности.
Multichain: убыток в 6 миллионов долларов, часть уже выплачена
В январе 2022 года Multichain обнаружил серьезную уязвимость, затрагивающую множество токенов. Несмотря на то, что уязвимость была устранена, некоторые пользователи понесли убытки из-за того, что не отменили разрешения вовремя, в общей сложности около 6,04 миллиона долларов.
Команда безопасности SlowFog проанализировала ситуацию и указала, что причиной атаки является уязвимость в Multichain при проверке законности вводимых пользователем токенов, не учитывающая, что не все базовые токены реализуют функцию permit. После инцидента почти 50% украденных средств было возвращено, а команда проекта также представила предложение по компенсации.
QBridge: убытки в 80 миллионов долларов, процесс возмещения идет медленно
28 января 2022 года кроссчейн мост QBridge кредитного протокола Qubit подвергся атаке, в результате чего было потеряно около 80 миллионов долларов.
Атакующий использовал уязвимость QBridge, связанной с отсутствием повторной проверки нулевого адреса при обработке переводов токенов из белого списка. Установив адрес ERC20 токена на нулевой адрес, атакующий смог без внесения каких-либо токенов на BSC создать большое количество токенов xETH и использовать их в качестве залога для займа других токенов.
В настоящее время использование Qubit значительно снизилось, 98% украденных средств до сих пор не были возмещены.
Meter.io: убытки в размере 4,4 миллиона долларов, обещание компенсации будущих доходов
6 февраля 2022 года кроссчейн мост Meter Passport подвергся атаке, что привело к убыткам в 4,4 миллиона долларов.
Официальные представители Meter заявили, что проблема заключалась в "ошибочном предположении о доверии" в их исходном коде расширения, что позволяло злоумышленникам подделывать переводы BNB и ETH. Изначально команда проекта планировала компенсировать убытки с помощью токенов MTRG, но позже решила выпустить новые токены PASS в качестве компенсации и пообещала выкупать эти токены на средства будущих доходов.
Ronin: 620 миллионов долларов украдено, полностью компенсировано
В марте 2022 года блокчейн Ronin, стоящий за Axie Infinity, стал жертвой серьезного инцидента безопасности, в результате которого было потеряно около 620 миллионов долларов. Атака фактически произошла 23 марта, но была обнаружена только через 6 дней.
Исследование показывает, что злоумышленники использовали методы социальной инженерии, чтобы завоевать доверие сотрудников Sky Mavis и, таким образом, получить контроль над несколькими узлами проверки сети Ronin. Хотя похищенные средства не удалось вернуть, Sky Mavis предоставила компенсацию пользователям через финансирование в размере 150 миллионов долларов.
Wormhole: убытки составили 326 миллионов долларов, полная компенсация выплачена
3 февраля 2022 года кросс-чейн протокол взаимодействия Wormhole подвергся атаке, в результате которой было потеряно около 120000 ETH на сумму 326 миллионов долларов.
Причиной атаки стала уязвимость в коде проверки подписи основного контракта Wormhole на Solana, что позволило злоумышленникам подделать сообщения "опекунов" для выпуска whETH. После инцидента Jump Crypto быстро вложила 120000 ETH для компенсации убытков, что позволило Wormhole восстановить работу.
EvoDeFi: оценка убытков составляет более десяти миллионов долларов, еще не решено
7 июня 2022 года на DEX ValleySwap в экосистеме Oasis произошел серьезный разрыв цен у USDT. Эта проблема возникла из-за недостатка ликвидности на исходной цепи у используемого кроссчейн моста EVODeFi.
Хотя точная сумма убытков неизвестна, предполагается, что она составляет десятки миллионов долларов. К сожалению, ни официальные представители Oasis, ни ValleySwap, ни EVODeFi не смогли предложить пользователям эффективное решение.
Horizon: потери почти 100 миллионов долларов, план компенсации находится в разработке
24 июня 2022 года официальный кроссчейн мост Horizon от Harmony был атакован, что привело к потере около 100 миллионов долларов.
Основатель Harmony Стивен Цзе признал, что атака могла быть вызвана утечкой закрытого ключа. Команда проекта предлагала возместить убытки пользователей путем эмиссии дополнительных токенов ONE в течение 3 лет, но это предложение не получило единогласной поддержки сообщества. В настоящее время разрабатывается новый план компенсации.
Nomad: 1,9 миллиарда долларов украдено, часть средств может быть возвращена
2 августа 2022 года мост кросс-чейн Nomad столкнулся с серьезной аварией безопасности, в результате чего было потеряно 190 миллионов долларов. Это событие также затронуло протоколы межоперабельности Layer2 Connext, приведя к убыткам примерно в 3,34 миллиона долларов.
Анализ показывает, что атака произошла из-за того, что Nomad ошибочно инициализировала корень доверия как 0x00 во время обновления контракта, что позволило любому легко извлекать средства из кроссчейн моста. В настоящее время часть белых хакеров выразила готовность вернуть средства, но проектная команда пока не представила четкого плана компенсации.
Заключение
Частые инциденты с безопасностью кроссчейн мостов подчеркивают высокие риски в этой области. Даже крупные кроссчейн мосты, такие как Multichain, Portal (Wormhole) и Poly Network, также сталкивались с проблемами безопасности. Это предупреждает нас о том, что любой кроссчейн мост может столкнуться с угрозами безопасности.
Однако мы также наблюдаем, что проекты с сильным фоном и достаточным финансированием часто могут более эффективно вернуть активы или предоставить компенсацию пользователям в случае безопасности. Например, Poly Network, Ronin Network и Wormhole, столкнувшись с крупномасштабными кражами средств, смогли либо вернуть средства, либо произвести полное возмещение.
Кроме того,实时监控 и быстрая реакция со стороны команды проекта также имеют важное значение. Например, Hop Protocol и StarGate быстро отреагировали на сообщения о подозрительной активности и успешно предотвратили потенциальную атаку.
Поэтому для пользователей при выборе кроссчейн моста, помимо технических факторов, необходимо оценивать фонды проекта, финансовые возможности и способность к управлению рисками. Для команды разработчиков ключевыми элементами обеспечения безопасности кроссчейн моста являются постоянный аудит безопасности, своевременное исправление уязвимостей и эффективный механизм реагирования на чрезвычайные ситуации.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Кроссчейн мост безопасность обзор: убытки в 2 миллиарда долларов, 75% уже возвращены или компенсированы
Обзор инцидентов безопасности кроссчейн моста: потеря почти 2 миллиардов долларов, более 1.5 миллиардов долларов уже возвращены или компенсированы
В экосистеме блокчейна существует сотни публичных цепей, но из-за того, что многие цепи не имеют основных активов, необходимо получать активы через кроссчейн мосты из таких основных публичных цепей, как Эфириум. В последнее время в области DeFi участились инциденты с безопасностью, и кроссчейн мосты стали главной целью для злоумышленников из-за высокой ликвидности средств. В данной статье мы рассмотрим 10 крупных атак на кроссчейн мосты, произошедших в прошлом, и подведем итоги, чтобы напомнить командам разработчиков и пользователям быть бдительными.
Стоит отметить, что проекты кроссчейн моста с сильным фоном и достаточным финансированием, после возникновения инцидентов безопасности, часто могут более эффективно вернуть активы или предоставить компенсацию пользователям. Поэтому пользователям разумно учитывать силу и репутацию проекта при выборе кроссчейн моста.
ChainSwap: убыток в 8 миллионов долларов, проект перезапущен
В июле 2021 года ChainSwap столкнулся с двумя хакерскими атаками, общие убытки составили около 8,8 миллиона долларов. Вторая атака затронула более 20 проектов, использующих ChainSwap для кросс-чейн.
Исследование показывает, что причиной атаки является то, что протокол не строго проверял действительность подписи, что позволило злоумышленнику использовать самостоятельно сгенерированную подпись для завершения транзакции. Поскольку убытки в основном касаются治理代币 проекта, несколько затронутых проектов, включая ChainSwap, выбрали провести снимок и переиздать токены для компенсации держателей токенов и поставщиков ликвидности.
Poly Network: 610 миллионов долларов украдено, возвращено в полном объеме
10 августа 2021 года кросс-чейн интероперабельный протокол Poly Network подвергся масштабной атаке, в результате которой было потеряно около 610 миллионов долларов активов на Ethereum, Binance Smart Chain и Polygon.
Злоумышленник воспользовался уязвимостью в логике управления правами в контракте Poly Network, изменив адреса валидаторов целевой сети и успешно переведя большое количество активов. Несмотря на мастерство атаки, хакер в конечном итоге вернул все украденные средства. Poly Network затем назвал его "белым хакером" и предложил назначить его главным консультантом по безопасности.
Multichain: убыток в 6 миллионов долларов, часть уже выплачена
В январе 2022 года Multichain обнаружил серьезную уязвимость, затрагивающую множество токенов. Несмотря на то, что уязвимость была устранена, некоторые пользователи понесли убытки из-за того, что не отменили разрешения вовремя, в общей сложности около 6,04 миллиона долларов.
Команда безопасности SlowFog проанализировала ситуацию и указала, что причиной атаки является уязвимость в Multichain при проверке законности вводимых пользователем токенов, не учитывающая, что не все базовые токены реализуют функцию permit. После инцидента почти 50% украденных средств было возвращено, а команда проекта также представила предложение по компенсации.
QBridge: убытки в 80 миллионов долларов, процесс возмещения идет медленно
28 января 2022 года кроссчейн мост QBridge кредитного протокола Qubit подвергся атаке, в результате чего было потеряно около 80 миллионов долларов.
Атакующий использовал уязвимость QBridge, связанной с отсутствием повторной проверки нулевого адреса при обработке переводов токенов из белого списка. Установив адрес ERC20 токена на нулевой адрес, атакующий смог без внесения каких-либо токенов на BSC создать большое количество токенов xETH и использовать их в качестве залога для займа других токенов.
В настоящее время использование Qubit значительно снизилось, 98% украденных средств до сих пор не были возмещены.
Meter.io: убытки в размере 4,4 миллиона долларов, обещание компенсации будущих доходов
6 февраля 2022 года кроссчейн мост Meter Passport подвергся атаке, что привело к убыткам в 4,4 миллиона долларов.
Официальные представители Meter заявили, что проблема заключалась в "ошибочном предположении о доверии" в их исходном коде расширения, что позволяло злоумышленникам подделывать переводы BNB и ETH. Изначально команда проекта планировала компенсировать убытки с помощью токенов MTRG, но позже решила выпустить новые токены PASS в качестве компенсации и пообещала выкупать эти токены на средства будущих доходов.
Ronin: 620 миллионов долларов украдено, полностью компенсировано
В марте 2022 года блокчейн Ronin, стоящий за Axie Infinity, стал жертвой серьезного инцидента безопасности, в результате которого было потеряно около 620 миллионов долларов. Атака фактически произошла 23 марта, но была обнаружена только через 6 дней.
Исследование показывает, что злоумышленники использовали методы социальной инженерии, чтобы завоевать доверие сотрудников Sky Mavis и, таким образом, получить контроль над несколькими узлами проверки сети Ronin. Хотя похищенные средства не удалось вернуть, Sky Mavis предоставила компенсацию пользователям через финансирование в размере 150 миллионов долларов.
Wormhole: убытки составили 326 миллионов долларов, полная компенсация выплачена
3 февраля 2022 года кросс-чейн протокол взаимодействия Wormhole подвергся атаке, в результате которой было потеряно около 120000 ETH на сумму 326 миллионов долларов.
Причиной атаки стала уязвимость в коде проверки подписи основного контракта Wormhole на Solana, что позволило злоумышленникам подделать сообщения "опекунов" для выпуска whETH. После инцидента Jump Crypto быстро вложила 120000 ETH для компенсации убытков, что позволило Wormhole восстановить работу.
EvoDeFi: оценка убытков составляет более десяти миллионов долларов, еще не решено
7 июня 2022 года на DEX ValleySwap в экосистеме Oasis произошел серьезный разрыв цен у USDT. Эта проблема возникла из-за недостатка ликвидности на исходной цепи у используемого кроссчейн моста EVODeFi.
Хотя точная сумма убытков неизвестна, предполагается, что она составляет десятки миллионов долларов. К сожалению, ни официальные представители Oasis, ни ValleySwap, ни EVODeFi не смогли предложить пользователям эффективное решение.
Horizon: потери почти 100 миллионов долларов, план компенсации находится в разработке
24 июня 2022 года официальный кроссчейн мост Horizon от Harmony был атакован, что привело к потере около 100 миллионов долларов.
Основатель Harmony Стивен Цзе признал, что атака могла быть вызвана утечкой закрытого ключа. Команда проекта предлагала возместить убытки пользователей путем эмиссии дополнительных токенов ONE в течение 3 лет, но это предложение не получило единогласной поддержки сообщества. В настоящее время разрабатывается новый план компенсации.
Nomad: 1,9 миллиарда долларов украдено, часть средств может быть возвращена
2 августа 2022 года мост кросс-чейн Nomad столкнулся с серьезной аварией безопасности, в результате чего было потеряно 190 миллионов долларов. Это событие также затронуло протоколы межоперабельности Layer2 Connext, приведя к убыткам примерно в 3,34 миллиона долларов.
Анализ показывает, что атака произошла из-за того, что Nomad ошибочно инициализировала корень доверия как 0x00 во время обновления контракта, что позволило любому легко извлекать средства из кроссчейн моста. В настоящее время часть белых хакеров выразила готовность вернуть средства, но проектная команда пока не представила четкого плана компенсации.
Заключение
Частые инциденты с безопасностью кроссчейн мостов подчеркивают высокие риски в этой области. Даже крупные кроссчейн мосты, такие как Multichain, Portal (Wormhole) и Poly Network, также сталкивались с проблемами безопасности. Это предупреждает нас о том, что любой кроссчейн мост может столкнуться с угрозами безопасности.
Однако мы также наблюдаем, что проекты с сильным фоном и достаточным финансированием часто могут более эффективно вернуть активы или предоставить компенсацию пользователям в случае безопасности. Например, Poly Network, Ronin Network и Wormhole, столкнувшись с крупномасштабными кражами средств, смогли либо вернуть средства, либо произвести полное возмещение.
Кроме того,实时监控 и быстрая реакция со стороны команды проекта также имеют важное значение. Например, Hop Protocol и StarGate быстро отреагировали на сообщения о подозрительной активности и успешно предотвратили потенциальную атаку.
Поэтому для пользователей при выборе кроссчейн моста, помимо технических факторов, необходимо оценивать фонды проекта, финансовые возможности и способность к управлению рисками. Для команды разработчиков ключевыми элементами обеспечения безопасности кроссчейн моста являются постоянный аудит безопасности, своевременное исправление уязвимостей и эффективный механизм реагирования на чрезвычайные ситуации.