Cross chain köprüleri güvenlik olayı incelemesi: Yaklaşık 2 milyar dolar kayıp, 1.5 milyar dolardan fazlası geri alındı veya tazmin edildi
Blok zinciri ekosisteminde yüzlerce kamu zinciri bulunmaktadır, ancak birçok zincir ana akım varlıklardan yoksundur ve bu nedenle Ethereum gibi ana kamu zincirlerinden varlık almak için cross-chain köprüleri aracılığıyla işlem yapmaları gerekmektedir. Son zamanlarda, DeFi alanında güvenlik kazaları sıkça meydana gelmekte ve cross-chain köprüleri yüksek fon akışları nedeniyle saldırganların ana hedefi haline gelmektedir. Bu makale, geçmişte meydana gelen 10 büyük cross-chain köprü saldırı olayını gözden geçirecek, içindeki dersleri özetleyecek ve geliştirme ekipleri ile kullanıcıları dikkatli olmaya çağıracaktır.
Dikkat edilmesi gereken bir nokta, arka planı güçlü ve finansmanı yeterli olan cross-chain köprüleri projelerinin, güvenlik kazalarıyla karşılaştıktan sonra varlıkları daha etkili bir şekilde geri alma veya kullanıcılara tazminat sağlama konusunda daha başarılı olabileceğidir. Bu nedenle, kullanıcıların cross-chain köprülerini seçerken proje sahiplerinin gücünü ve itibarını göz önünde bulundurmaları akıllıca bir hareket olacaktır.
ChainSwap: 8 milyon dolar kayıp, proje yeniden başlatıldı
2021 Temmuz'unda, ChainSwap ardışık olarak iki kez siber saldırıya uğradı ve toplamda yaklaşık 8.8 milyon dolar kaybetti. İkinci saldırının etkisi daha genişti ve ChainSwap kullanarak cross-chain işlemi yapan 20'den fazla projeyi etkiledi.
Araştırmalar, saldırının nedeninin protokolün imza geçerliliğini sıkı bir şekilde doğrulamaması olduğunu, bu durumun saldırganın kendi ürettiği imzayı kullanarak işlemleri tamamlamasına olanak tanıdığını göstermektedir. Kaybın çoğunlukla proje tarafının yönetim token'larıyla ilgili olması nedeniyle, ChainSwap da dahil olmak üzere birçok etkilenen proje, token sahiplerine ve likidite sağlayıcılarına tazminat sağlamak amacıyla anlık görüntü almayı ve token yeniden dağıtmayı tercih etmiştir.
Poly Network: 6.1 milyon dolar çalındı, tamamı geri alındı
10 Ağustos 2021'de, cross-chain互操作协议 Poly Network büyük bir saldırıya uğradı ve Ethereum, Binance Smart Chain ve Polygon üzerinde toplamda yaklaşık 610 milyon dolar değerinde varlık kaybı yaşandı.
Saldırgan, Poly Network sözleşmesi yetki yönetim mantığındaki bir açığı kullanarak, hedef zincir doğrulayıcı adresini değiştirip büyük miktarda varlığı başarıyla transfer etti. Saldırı tekniği ustaca olsa da, hacker sonunda çalınan tüm fonları geri iade etti. Poly Network daha sonra onu "beyaz şapkalı" hacker olarak adlandırdı ve onu baş güvenlik danışmanı olarak işe almayı önerdi.
Multichain: 6 milyon dolar kayıp, bir kısmı tazmin edildi
2022 yılı ocak ayında, Multichain çeşitli tokenleri etkileyen önemli bir güvenlik açığı keşfetti. Açık kapatılmış olmasına rağmen, bazı kullanıcılar yetkilerini zamanında iptal etmedikleri için yaklaşık 6.04 milyon dolar kayıp yaşadı.
Slow Mist güvenlik ekibi, saldırının nedeninin Multichain'in kullanıcı girişlerinin token geçerliliğini doğrularken bir açığa sahip olması olduğunu belirtti; çünkü tüm alt coinlerin permit fonksiyonunu uygulamadığı göz önünde bulundurulmamış. Olaydan sonra çalınan fonların neredeyse %50'si geri alındı ve proje ekibi de bir tazminat planı sundu.
QBridge: 80 milyon dolar kayıp, tazminat süreci yavaş ilerliyor
28 Ocak 2022'de, borç verme protokolü Qubit'in cross-chain köprüleri QBridge saldırıya uğradı ve yaklaşık 80 milyon dolar kaybedildi.
Saldırganlar, QBridge'in beyaz liste token transferlerini işlerken sıfır adresini tekrar kontrol etmemesi açığını kullandılar. ERC20 token adresini sıfır adresi olarak ayarlayarak, saldırganlar BSC üzerinde herhangi bir token yatırmadan büyük miktarda xETH token'i havadan oluşturdu ve bunları teminat olarak kullanarak diğer token'leri ödünç aldılar.
Şu anda, Qubit kullanım oranı büyük ölçüde düşmüş durumda, çalınan fonların %98'i hala tazmin edilmedi.
Meter.io: 4.4 milyon dolar kayıp, gelecekteki kazançların tazmini taahhüt edildi
6 Şubat 2022'de, Meter Passport cross-chain köprüleri saldırıya uğradı ve 4.4 milyon dolar kayba neden oldu.
Meter resmi olarak, sorunun genişletilmiş kaynak kodundaki "yanlış güven varsayımı" olduğunu belirtti ve bu durumun saldırganların BNB ve ETH transferlerini sahte olarak oluşturmasına olanak tanıdığını açıkladı. Proje ekibi başlangıçta kayıpları telafi etmek için MTRG token'ı kullanmayı planladı, ancak daha sonra yeni PASS token'ı ihraç etmeye ve bu token'ları geri almak için gelecekteki kazançları kullanma taahhüdünde bulunmaya karar verdi.
Ronin: 6.2 milyar dolar çalındı, tamamen tazmin edildi
2022 yılının Mart ayında, Axie Infinity'nin arkasındaki Ronin ağı büyük bir güvenlik kazası yaşadı ve yaklaşık 620 milyon dolar kaybedildi. Bu saldırı gerçekte 23 Mart'ta gerçekleşti, ancak 6 gün sonra fark edildi.
Araştırmalar, saldırganların sosyal mühendislik yöntemleriyle Sky Mavis çalışanlarının güvenini kazandığını ve bu sayede Ronin ağı üzerindeki birden fazla doğrulayıcı düğümünü kontrol altına aldıklarını gösteriyor. Çalınan fonlar geri alınamamış olsa da, Sky Mavis 1,5 milyar dolarlık bir finansmanla kullanıcılarına tazminat sağladı.
Wormhole: 3.26 milyon dolar kayıp, tamamen tazmin edildi
Saldırının nedeni, Solana tarafındaki Wormhole çekirdek sözleşmesinin imza doğrulama kodunda bir güvenlik açığı olmasıdır. Bu açık, saldırganların "gözlemci" mesajlarını taklit ederek whETH basmalarına olanak tanımaktadır. Olayın ardından, Jump Crypto hızla 120.000 ETH yatırarak zararı telafi etti ve Wormhole'un yeniden çalışmasını sağladı.
EvoDeFi: Tahmini kayıplar on milyonlarca dolar, henüz çözülmedi
7 Haziran 2022'de, Oasis ekosistemindeki DEX ValleySwap'ta USDT'de ciddi bir değer kaybı yaşandı. Bu sorun, kullanılan cross-chain köprüleri EVODeFi'nin kaynak zincirinde yetersiz likiditeden kaynaklanmaktadır.
Kesin kayıp miktarı bilinmemekle birlikte, on milyonlarca dolar seviyesinde olduğu tahmin edilmektedir. Ne yazık ki, hem Oasis resmi hem de ValleySwap veya EVODeFi, kullanıcılara etkili bir çözüm sunamadı.
Horizon: Yaklaşık 100 milyon dolar kayıp, tazminat planı üzerinde çalışılıyor
24 Haziran 2022'de, Harmony'nin resmi cross-chain köprüsü Horizon bir saldırıya uğradı ve yaklaşık 100 milyon dolar zarar meydana geldi.
Harmony kurucusu Stephen Tse, saldırının özel anahtar sızdırılmasından kaynaklanabileceğini kabul etti. Proje ekibi, kullanıcı kayıplarını tazmin etmek için 3 yıl içinde ONE token'in artırılması önerisinde bulundu, ancak bu öneri topluluğun tam onayını alamadı. Şu anda, yeni bir tazminat planı hazırlanıyor.
Nomad: 1.9 milyon dolar çalındı, bazı fonların geri kazanılması umuluyor
2 Ağustos 2022'de, Nomad cross-chain köprüleri büyük bir güvenlik kazası geçirdi ve 190 milyon dolarlık fon kaybına neden oldu. Bu olay ayrıca Layer2 birlikte çalışabilirlik protokolü Connext'i de etkiledi ve yaklaşık 3.34 milyon dolarlık zarara yol açtı.
Analizler, saldırının Nomad'ın bir sözleşme güncellemesinde güvenilir kökü yanlışlıkla 0x00 olarak başlatmasından kaynaklandığını gösteriyor; bu da herkesin cross-chain köprülerinden kolayca fon çekmesine olanak tanıyor. Şu anda bazı beyaz şapkalı hackerlar fonları iade etmeye istekli olduklarını belirtti, ancak proje ekibi henüz net bir tazminat planı sunmadı.
Sonuç
Cross chain köprüleri güvenlik kazalarının sıklığı, bu alandaki yüksek riskleri vurgulamaktadır. Hatta önde gelen büyük çapraz zincir köprü projeleri olan Multichain, Portal (Wormhole) ve Poly Network bile güvenlik sorunları ile karşılaşmıştır. Bu, bize herhangi bir cross-chain köprüsünün güvenlik tehdidi ile karşılaşabileceğini hatırlatmaktadır.
Ancak, güçlü bir arka plana ve yeterli finansmana sahip projelerin güvenlik kazalarıyla karşılaştıklarında, genellikle varlıkları daha etkili bir şekilde geri alabildiğini veya kullanıcılara tazminat sağlayabildiğini gözlemliyoruz. Örneğin, Poly Network, Ronin Network ve Wormhole, büyük ölçekli fon hırsızlığına uğradıklarında ya paraları geri bulabildiler ya da yeterli tazminat ödemesi yaptılar.
Ayrıca, proje ekibinin gerçek zamanlı izleme ve hızlı yanıt verme yetenekleri de son derece önemlidir. Hop Protocol ve StarGate, şüpheli faaliyet raporunu aldıktan sonra hızla harekete geçerek potansiyel saldırıları başarıyla engelledi.
Bu nedenle, kullanıcılar için, bir cross-chain köprü seçerken, teknik faktörleri dikkate almanın yanı sıra, proje ekiplerinin geçmişini, finansal gücünü ve risk yanıt yeteneklerini de değerlendirmeleri gerekir. Geliştirme ekipleri için ise, sürekli güvenlik denetimleri, zamanında güvenlik açıklarının kapatılması ve etkili acil durum yanıt mekanizmaları, cross-chain köprülerin güvenliğini sağlamada kritik unsurlardır.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Cross chain köprüleri güvenlik incelemesi: 2 milyar dolar kayıp, %75'i geri alındı veya tazmin edildi
Cross chain köprüleri güvenlik olayı incelemesi: Yaklaşık 2 milyar dolar kayıp, 1.5 milyar dolardan fazlası geri alındı veya tazmin edildi
Blok zinciri ekosisteminde yüzlerce kamu zinciri bulunmaktadır, ancak birçok zincir ana akım varlıklardan yoksundur ve bu nedenle Ethereum gibi ana kamu zincirlerinden varlık almak için cross-chain köprüleri aracılığıyla işlem yapmaları gerekmektedir. Son zamanlarda, DeFi alanında güvenlik kazaları sıkça meydana gelmekte ve cross-chain köprüleri yüksek fon akışları nedeniyle saldırganların ana hedefi haline gelmektedir. Bu makale, geçmişte meydana gelen 10 büyük cross-chain köprü saldırı olayını gözden geçirecek, içindeki dersleri özetleyecek ve geliştirme ekipleri ile kullanıcıları dikkatli olmaya çağıracaktır.
Dikkat edilmesi gereken bir nokta, arka planı güçlü ve finansmanı yeterli olan cross-chain köprüleri projelerinin, güvenlik kazalarıyla karşılaştıktan sonra varlıkları daha etkili bir şekilde geri alma veya kullanıcılara tazminat sağlama konusunda daha başarılı olabileceğidir. Bu nedenle, kullanıcıların cross-chain köprülerini seçerken proje sahiplerinin gücünü ve itibarını göz önünde bulundurmaları akıllıca bir hareket olacaktır.
ChainSwap: 8 milyon dolar kayıp, proje yeniden başlatıldı
2021 Temmuz'unda, ChainSwap ardışık olarak iki kez siber saldırıya uğradı ve toplamda yaklaşık 8.8 milyon dolar kaybetti. İkinci saldırının etkisi daha genişti ve ChainSwap kullanarak cross-chain işlemi yapan 20'den fazla projeyi etkiledi.
Araştırmalar, saldırının nedeninin protokolün imza geçerliliğini sıkı bir şekilde doğrulamaması olduğunu, bu durumun saldırganın kendi ürettiği imzayı kullanarak işlemleri tamamlamasına olanak tanıdığını göstermektedir. Kaybın çoğunlukla proje tarafının yönetim token'larıyla ilgili olması nedeniyle, ChainSwap da dahil olmak üzere birçok etkilenen proje, token sahiplerine ve likidite sağlayıcılarına tazminat sağlamak amacıyla anlık görüntü almayı ve token yeniden dağıtmayı tercih etmiştir.
Poly Network: 6.1 milyon dolar çalındı, tamamı geri alındı
10 Ağustos 2021'de, cross-chain互操作协议 Poly Network büyük bir saldırıya uğradı ve Ethereum, Binance Smart Chain ve Polygon üzerinde toplamda yaklaşık 610 milyon dolar değerinde varlık kaybı yaşandı.
Saldırgan, Poly Network sözleşmesi yetki yönetim mantığındaki bir açığı kullanarak, hedef zincir doğrulayıcı adresini değiştirip büyük miktarda varlığı başarıyla transfer etti. Saldırı tekniği ustaca olsa da, hacker sonunda çalınan tüm fonları geri iade etti. Poly Network daha sonra onu "beyaz şapkalı" hacker olarak adlandırdı ve onu baş güvenlik danışmanı olarak işe almayı önerdi.
Multichain: 6 milyon dolar kayıp, bir kısmı tazmin edildi
2022 yılı ocak ayında, Multichain çeşitli tokenleri etkileyen önemli bir güvenlik açığı keşfetti. Açık kapatılmış olmasına rağmen, bazı kullanıcılar yetkilerini zamanında iptal etmedikleri için yaklaşık 6.04 milyon dolar kayıp yaşadı.
Slow Mist güvenlik ekibi, saldırının nedeninin Multichain'in kullanıcı girişlerinin token geçerliliğini doğrularken bir açığa sahip olması olduğunu belirtti; çünkü tüm alt coinlerin permit fonksiyonunu uygulamadığı göz önünde bulundurulmamış. Olaydan sonra çalınan fonların neredeyse %50'si geri alındı ve proje ekibi de bir tazminat planı sundu.
QBridge: 80 milyon dolar kayıp, tazminat süreci yavaş ilerliyor
28 Ocak 2022'de, borç verme protokolü Qubit'in cross-chain köprüleri QBridge saldırıya uğradı ve yaklaşık 80 milyon dolar kaybedildi.
Saldırganlar, QBridge'in beyaz liste token transferlerini işlerken sıfır adresini tekrar kontrol etmemesi açığını kullandılar. ERC20 token adresini sıfır adresi olarak ayarlayarak, saldırganlar BSC üzerinde herhangi bir token yatırmadan büyük miktarda xETH token'i havadan oluşturdu ve bunları teminat olarak kullanarak diğer token'leri ödünç aldılar.
Şu anda, Qubit kullanım oranı büyük ölçüde düşmüş durumda, çalınan fonların %98'i hala tazmin edilmedi.
Meter.io: 4.4 milyon dolar kayıp, gelecekteki kazançların tazmini taahhüt edildi
6 Şubat 2022'de, Meter Passport cross-chain köprüleri saldırıya uğradı ve 4.4 milyon dolar kayba neden oldu.
Meter resmi olarak, sorunun genişletilmiş kaynak kodundaki "yanlış güven varsayımı" olduğunu belirtti ve bu durumun saldırganların BNB ve ETH transferlerini sahte olarak oluşturmasına olanak tanıdığını açıkladı. Proje ekibi başlangıçta kayıpları telafi etmek için MTRG token'ı kullanmayı planladı, ancak daha sonra yeni PASS token'ı ihraç etmeye ve bu token'ları geri almak için gelecekteki kazançları kullanma taahhüdünde bulunmaya karar verdi.
Ronin: 6.2 milyar dolar çalındı, tamamen tazmin edildi
2022 yılının Mart ayında, Axie Infinity'nin arkasındaki Ronin ağı büyük bir güvenlik kazası yaşadı ve yaklaşık 620 milyon dolar kaybedildi. Bu saldırı gerçekte 23 Mart'ta gerçekleşti, ancak 6 gün sonra fark edildi.
Araştırmalar, saldırganların sosyal mühendislik yöntemleriyle Sky Mavis çalışanlarının güvenini kazandığını ve bu sayede Ronin ağı üzerindeki birden fazla doğrulayıcı düğümünü kontrol altına aldıklarını gösteriyor. Çalınan fonlar geri alınamamış olsa da, Sky Mavis 1,5 milyar dolarlık bir finansmanla kullanıcılarına tazminat sağladı.
Wormhole: 3.26 milyon dolar kayıp, tamamen tazmin edildi
2022年2月3日,cross-chain互操作协议Wormhole遭到攻击,损损失约12万枚ETH,价值3.26亿美元。
Saldırının nedeni, Solana tarafındaki Wormhole çekirdek sözleşmesinin imza doğrulama kodunda bir güvenlik açığı olmasıdır. Bu açık, saldırganların "gözlemci" mesajlarını taklit ederek whETH basmalarına olanak tanımaktadır. Olayın ardından, Jump Crypto hızla 120.000 ETH yatırarak zararı telafi etti ve Wormhole'un yeniden çalışmasını sağladı.
EvoDeFi: Tahmini kayıplar on milyonlarca dolar, henüz çözülmedi
7 Haziran 2022'de, Oasis ekosistemindeki DEX ValleySwap'ta USDT'de ciddi bir değer kaybı yaşandı. Bu sorun, kullanılan cross-chain köprüleri EVODeFi'nin kaynak zincirinde yetersiz likiditeden kaynaklanmaktadır.
Kesin kayıp miktarı bilinmemekle birlikte, on milyonlarca dolar seviyesinde olduğu tahmin edilmektedir. Ne yazık ki, hem Oasis resmi hem de ValleySwap veya EVODeFi, kullanıcılara etkili bir çözüm sunamadı.
Horizon: Yaklaşık 100 milyon dolar kayıp, tazminat planı üzerinde çalışılıyor
24 Haziran 2022'de, Harmony'nin resmi cross-chain köprüsü Horizon bir saldırıya uğradı ve yaklaşık 100 milyon dolar zarar meydana geldi.
Harmony kurucusu Stephen Tse, saldırının özel anahtar sızdırılmasından kaynaklanabileceğini kabul etti. Proje ekibi, kullanıcı kayıplarını tazmin etmek için 3 yıl içinde ONE token'in artırılması önerisinde bulundu, ancak bu öneri topluluğun tam onayını alamadı. Şu anda, yeni bir tazminat planı hazırlanıyor.
Nomad: 1.9 milyon dolar çalındı, bazı fonların geri kazanılması umuluyor
2 Ağustos 2022'de, Nomad cross-chain köprüleri büyük bir güvenlik kazası geçirdi ve 190 milyon dolarlık fon kaybına neden oldu. Bu olay ayrıca Layer2 birlikte çalışabilirlik protokolü Connext'i de etkiledi ve yaklaşık 3.34 milyon dolarlık zarara yol açtı.
Analizler, saldırının Nomad'ın bir sözleşme güncellemesinde güvenilir kökü yanlışlıkla 0x00 olarak başlatmasından kaynaklandığını gösteriyor; bu da herkesin cross-chain köprülerinden kolayca fon çekmesine olanak tanıyor. Şu anda bazı beyaz şapkalı hackerlar fonları iade etmeye istekli olduklarını belirtti, ancak proje ekibi henüz net bir tazminat planı sunmadı.
Sonuç
Cross chain köprüleri güvenlik kazalarının sıklığı, bu alandaki yüksek riskleri vurgulamaktadır. Hatta önde gelen büyük çapraz zincir köprü projeleri olan Multichain, Portal (Wormhole) ve Poly Network bile güvenlik sorunları ile karşılaşmıştır. Bu, bize herhangi bir cross-chain köprüsünün güvenlik tehdidi ile karşılaşabileceğini hatırlatmaktadır.
Ancak, güçlü bir arka plana ve yeterli finansmana sahip projelerin güvenlik kazalarıyla karşılaştıklarında, genellikle varlıkları daha etkili bir şekilde geri alabildiğini veya kullanıcılara tazminat sağlayabildiğini gözlemliyoruz. Örneğin, Poly Network, Ronin Network ve Wormhole, büyük ölçekli fon hırsızlığına uğradıklarında ya paraları geri bulabildiler ya da yeterli tazminat ödemesi yaptılar.
Ayrıca, proje ekibinin gerçek zamanlı izleme ve hızlı yanıt verme yetenekleri de son derece önemlidir. Hop Protocol ve StarGate, şüpheli faaliyet raporunu aldıktan sonra hızla harekete geçerek potansiyel saldırıları başarıyla engelledi.
Bu nedenle, kullanıcılar için, bir cross-chain köprü seçerken, teknik faktörleri dikkate almanın yanı sıra, proje ekiplerinin geçmişini, finansal gücünü ve risk yanıt yeteneklerini de değerlendirmeleri gerekir. Geliştirme ekipleri için ise, sürekli güvenlik denetimleri, zamanında güvenlik açıklarının kapatılması ve etkili acil durum yanıt mekanizmaları, cross-chain köprülerin güvenliğini sağlamada kritik unsurlardır.