Огляд інцидентів безпеки кросчейн мостів: втрати майже 2 мільярди доларів, понад 1,5 мільярда доларів вже повернено або компенсовано
У екосистемі блокчейн існує кілька сотень публічних ланцюгів, але через те, що багато ланцюгів не мають основних активів, необхідно отримувати активи через кросчейн міст з основних публічних ланцюгів, таких як Ethereum. Нещодавно в галузі DeFi часто траплялися аварії безпеки, і кросчейн міст став основною метою для атакуючих через високу ліквідність коштів. У цій статті буде розглянуто 10 значних атак на кросчейн міст, що сталися в минулому, підсумовано уроки з них, щоб нагадати командам розробників і користувачам залишатися на поготові.
Варто зазначити, що проекти кросчейн мостів з потужним бекграундом та достатнім фінансуванням після виникнення інцидентів безпеки зазвичай можуть ефективніше повернути активи або надати компенсацію користувачам. Тому, обираючи кросчейн міст, розумно враховувати силу та репутацію проекту.
ChainSwap: втрата 8 мільйонів доларів, перезапуск проекту
У липні 2021 року ChainSwap зазнав двох атак хакерів, внаслідок чого загальні збитки становили близько 8,8 мільйона доларів. Друга атака мала більш широкий масштаб, торкнувшись понад 20 проектів, які використовували ChainSwap для крос-ланцюг.
Дослідження показує, що причиною атаки є те, що протокол не суворо перевіряє дійсність підписів, що дозволило зловмисникам використовувати самостійно згенеровані підписи для завершення угод. Оскільки втрати в основному стосуються токенів управління проекту, кілька постраждалих проектів, включаючи ChainSwap, вирішили зробити знімок та перевипустити токени, щоб компенсувати тримачів токенів і постачальників ліквідності.
Poly Network: 6,1 мільярда доларів США було вкрадено, повна сума повернена
10 серпня 2021 року, крос-ланцюг інтеропераційний протокол Poly Network зазнав масштабної атаки, внаслідок якої на Ethereum, Binance Smart Chain та Polygon було втрачено приблизно 610 мільйонів доларів активів.
Зловмисник скористався вразливістю логіки управління правами контракту Poly Network, модифікувавши адреси валідаторів цільового ланцюга, успішно перемістивши велику кількість активів. Незважаючи на високий рівень майстерності атаки, хакер врешті-решт повернув усі вкрадені кошти. Poly Network пізніше назвав його "білим капелюшником" і запропонував призначити його головним консультантом з безпеки.
Multichain: збитки в 600 тисяч доларів, частково відшкодовані
У січні 2022 року Multichain виявив суттєву вразливість, що вплинула на кілька токенів. Незважаючи на те, що вразливість була виправлена, деякі користувачі зазнали збитків через несвоєчасне відкликання авторизації, загалом близько 604 тисяч доларів.
Команда безпеки Slow Fog проаналізувала та вказала, що причиною атаки є вразливість у Multichain при перевірці легітимності токенів, введених користувачем, оскільки не враховувалося, що не всі базові токени реалізують функцію permit. Після інциденту близько 50% вкрадених коштів вже було повернуто, а команда проекту також запропонувала план компенсації.
QBridge: 80 мільйонів доларів збитків, процес компенсації йде повільно
28 січня 2022 року кросчейн міст QBridge кредитного протоколу Qubit зазнав атаки, внаслідок чого було втрачено близько 80 мільйонів доларів.
Зловмисники скористалися уразливістю QBridge, яка полягала в тому, що при обробці переказів токенів зі списку білих адрес не було повторної перевірки нульової адреси. Встановивши адресу токена ERC20 на нульову адресу, зловмисники без внесення жодних токенів змогли на BSC безпідставно випустити велику кількість токенів xETH і використовувати їх як забезпечення для отримання інших токенів.
Наразі використання Qubit значно знизилося, 98% вкрадених коштів досі не було компенсовано.
Meter.io: збитки в 4,4 мільйона доларів, обіцянка компенсації майбутніх доходів
6 лютого 2022 року кросчейн міст Meter Passport зазнав атаки, внаслідок якої було завдано збитків у розмірі 4,4 мільйона доларів.
Meter офіційно заявив, що проблема виникла через "помилкове припущення про довіру" в їхньому розширеному вихідному коді, що дозволило зловмисникам підробляти перекази BNB та ETH. Спочатку команда проекту планувала компенсувати втрати токенами MTRG, але пізніше вирішила випустити нові токени PASS як компенсацію та пообіцяла викупити ці токени за рахунок майбутніх доходів.
Ronin: вкрадено 620 мільйонів доларів, виплата в повному обсязі проведена
У березні 2022 року ланцюг Ronin, що стоїть за Axie Infinity, зазнав серйозного інциденту з безпекою, внаслідок чого було втрачено близько 620 мільйонів доларів. Цей напад фактично стався 23 березня, але був виявлений лише через 6 днів.
Дослідження показали, що зловмисники отримали довіру співробітників Sky Mavis за допомогою соціальної інженерії, внаслідок чого контролювали кілька верифікаційних вузлів мережі Ronin. Хоча вкрадені кошти не вдалося повернути, Sky Mavis компенсувала користувачам через фінансування в розмірі 150 мільйонів доларів.
Wormhole: 3,26 мільйона доларів США збитків, вже повністю компенсовано
3 лютого 2022 року кросчейн протокол взаємодії Wormhole зазнав атаки, внаслідок чого було втрачено близько 120 000 ETH, що становить 326 мільйонів доларів.
Причиною атаки є вразливість у коді перевірки підпису основного контракту Wormhole на Solana, що дозволило зловмисникам підробляти повідомлення "опікуна" для випуску whETH. Після події Jump Crypto швидко вклала 120 тисяч ETH для покриття збитків, що дозволило Wormhole відновити свою роботу.
EvoDeFi: оцінка збитків перевищує десятки мільйонів доларів, ще не вирішено
7 червня 2022 року на DEX ValleySwap в екосистемі Oasis відбулося серйозне відхилення USDT від курсу. Ця проблема виникла через недостатню ліквідність на вихідному ланцюгу в кросчейн мості EVODeFi.
Хоча точна сума збитків невідома, але оцінюється в десятки мільйонів доларів. На жаль, ані офіційний Oasis, ані ValleySwap, ані EVODeFi не змогли надати користувачам ефективне рішення.
Horizon: втрати близько 100 мільйонів доларів, план компенсації розробляється
24 червня 2022 року офіційний кросчейн міст Horizon від Harmony зазнав атаки, внаслідок якої було втрачено близько 100 мільйонів доларів.
Засновник Harmony Стівен Це визнав, що атака могла бути спричинена витоком приватного ключа. Проектна команда пропонувала компенсувати збитки користувачів шляхом додаткової емісії токенів ONE протягом 3 років, але ця пропозиція не отримала одностайної підтримки спільноти. Наразі розробляється новий план компенсації.
Nomad: вкрадено 1,9 мільярда доларів, частину коштів є надія повернути
2 серпня 2022 року кросчейн міст Nomad зазнав серйозної аварії безпеки, що призвела до втрати 190 мільйонів доларів. Ця подія також вплинула на протокол міжоперабельності Layer2 Connext, спричинивши збитки в розмірі приблизно 3,34 мільйона доларів.
Аналіз показує, що атака походила від того, що Nomad неправильно ініціалізував довірений корінь як 0x00 під час оновлення контракту, що дозволило будь-кому легко витягувати кошти з кросчейн моста. Наразі деякі білий капелюх хакери заявили про готовність повернути кошти, але проєктна команда ще не надала чіткої схеми відшкодування.
Висновок
Часті випадки безпеки кросчейн містів підкреслюють високий рівень ризику в цій галузі. Навіть великі проекти кросчейн містів, такі як Multichain, Portal (Wormhole) та Poly Network, стикалися з проблемами безпеки. Це попереджає нас, що будь-який кросчейн міст може підлягати загрозам безпеки.
Однак ми також спостерігаємо, що проекти з потужним фоном та достатнім фінансуванням, коли стикаються з безпековими інцидентами, зазвичай можуть ефективніше повернути активи або надати компенсацію для користувачів. Наприклад, Poly Network, Ronin Network та Wormhole після масштабних крадіжок коштів змогли або повернути кошти, або надати достатню компенсацію.
Крім того, реальний моніторинг та швидка реакція команди проекту є надзвичайно важливими. Наприклад, Hop Protocol та StarGate швидко вжили заходів після отримання повідомлень про підозрілу активність, успішно зупинивши потенційні атаки.
Отже, для користувачів, при виборі кросчейн мосту, окрім технічних факторів, слід оцінити фон проекту, фінансові можливості та здатність до реагування на ризики. Для команди розробників постійний аудит безпеки, своєчасне виправлення вразливостей та вдосконалений механізм реагування на надзвичайні ситуації є ключовими елементами для забезпечення безпеки кросчейн мосту.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Кросчейн міст безпека огляд: втрата 2 мільярди доларів, 75% вже повернуто або компенсовано
Огляд інцидентів безпеки кросчейн мостів: втрати майже 2 мільярди доларів, понад 1,5 мільярда доларів вже повернено або компенсовано
У екосистемі блокчейн існує кілька сотень публічних ланцюгів, але через те, що багато ланцюгів не мають основних активів, необхідно отримувати активи через кросчейн міст з основних публічних ланцюгів, таких як Ethereum. Нещодавно в галузі DeFi часто траплялися аварії безпеки, і кросчейн міст став основною метою для атакуючих через високу ліквідність коштів. У цій статті буде розглянуто 10 значних атак на кросчейн міст, що сталися в минулому, підсумовано уроки з них, щоб нагадати командам розробників і користувачам залишатися на поготові.
Варто зазначити, що проекти кросчейн мостів з потужним бекграундом та достатнім фінансуванням після виникнення інцидентів безпеки зазвичай можуть ефективніше повернути активи або надати компенсацію користувачам. Тому, обираючи кросчейн міст, розумно враховувати силу та репутацію проекту.
ChainSwap: втрата 8 мільйонів доларів, перезапуск проекту
У липні 2021 року ChainSwap зазнав двох атак хакерів, внаслідок чого загальні збитки становили близько 8,8 мільйона доларів. Друга атака мала більш широкий масштаб, торкнувшись понад 20 проектів, які використовували ChainSwap для крос-ланцюг.
Дослідження показує, що причиною атаки є те, що протокол не суворо перевіряє дійсність підписів, що дозволило зловмисникам використовувати самостійно згенеровані підписи для завершення угод. Оскільки втрати в основному стосуються токенів управління проекту, кілька постраждалих проектів, включаючи ChainSwap, вирішили зробити знімок та перевипустити токени, щоб компенсувати тримачів токенів і постачальників ліквідності.
Poly Network: 6,1 мільярда доларів США було вкрадено, повна сума повернена
10 серпня 2021 року, крос-ланцюг інтеропераційний протокол Poly Network зазнав масштабної атаки, внаслідок якої на Ethereum, Binance Smart Chain та Polygon було втрачено приблизно 610 мільйонів доларів активів.
Зловмисник скористався вразливістю логіки управління правами контракту Poly Network, модифікувавши адреси валідаторів цільового ланцюга, успішно перемістивши велику кількість активів. Незважаючи на високий рівень майстерності атаки, хакер врешті-решт повернув усі вкрадені кошти. Poly Network пізніше назвав його "білим капелюшником" і запропонував призначити його головним консультантом з безпеки.
Multichain: збитки в 600 тисяч доларів, частково відшкодовані
У січні 2022 року Multichain виявив суттєву вразливість, що вплинула на кілька токенів. Незважаючи на те, що вразливість була виправлена, деякі користувачі зазнали збитків через несвоєчасне відкликання авторизації, загалом близько 604 тисяч доларів.
Команда безпеки Slow Fog проаналізувала та вказала, що причиною атаки є вразливість у Multichain при перевірці легітимності токенів, введених користувачем, оскільки не враховувалося, що не всі базові токени реалізують функцію permit. Після інциденту близько 50% вкрадених коштів вже було повернуто, а команда проекту також запропонувала план компенсації.
QBridge: 80 мільйонів доларів збитків, процес компенсації йде повільно
28 січня 2022 року кросчейн міст QBridge кредитного протоколу Qubit зазнав атаки, внаслідок чого було втрачено близько 80 мільйонів доларів.
Зловмисники скористалися уразливістю QBridge, яка полягала в тому, що при обробці переказів токенів зі списку білих адрес не було повторної перевірки нульової адреси. Встановивши адресу токена ERC20 на нульову адресу, зловмисники без внесення жодних токенів змогли на BSC безпідставно випустити велику кількість токенів xETH і використовувати їх як забезпечення для отримання інших токенів.
Наразі використання Qubit значно знизилося, 98% вкрадених коштів досі не було компенсовано.
Meter.io: збитки в 4,4 мільйона доларів, обіцянка компенсації майбутніх доходів
6 лютого 2022 року кросчейн міст Meter Passport зазнав атаки, внаслідок якої було завдано збитків у розмірі 4,4 мільйона доларів.
Meter офіційно заявив, що проблема виникла через "помилкове припущення про довіру" в їхньому розширеному вихідному коді, що дозволило зловмисникам підробляти перекази BNB та ETH. Спочатку команда проекту планувала компенсувати втрати токенами MTRG, але пізніше вирішила випустити нові токени PASS як компенсацію та пообіцяла викупити ці токени за рахунок майбутніх доходів.
Ronin: вкрадено 620 мільйонів доларів, виплата в повному обсязі проведена
У березні 2022 року ланцюг Ronin, що стоїть за Axie Infinity, зазнав серйозного інциденту з безпекою, внаслідок чого було втрачено близько 620 мільйонів доларів. Цей напад фактично стався 23 березня, але був виявлений лише через 6 днів.
Дослідження показали, що зловмисники отримали довіру співробітників Sky Mavis за допомогою соціальної інженерії, внаслідок чого контролювали кілька верифікаційних вузлів мережі Ronin. Хоча вкрадені кошти не вдалося повернути, Sky Mavis компенсувала користувачам через фінансування в розмірі 150 мільйонів доларів.
Wormhole: 3,26 мільйона доларів США збитків, вже повністю компенсовано
3 лютого 2022 року кросчейн протокол взаємодії Wormhole зазнав атаки, внаслідок чого було втрачено близько 120 000 ETH, що становить 326 мільйонів доларів.
Причиною атаки є вразливість у коді перевірки підпису основного контракту Wormhole на Solana, що дозволило зловмисникам підробляти повідомлення "опікуна" для випуску whETH. Після події Jump Crypto швидко вклала 120 тисяч ETH для покриття збитків, що дозволило Wormhole відновити свою роботу.
EvoDeFi: оцінка збитків перевищує десятки мільйонів доларів, ще не вирішено
7 червня 2022 року на DEX ValleySwap в екосистемі Oasis відбулося серйозне відхилення USDT від курсу. Ця проблема виникла через недостатню ліквідність на вихідному ланцюгу в кросчейн мості EVODeFi.
Хоча точна сума збитків невідома, але оцінюється в десятки мільйонів доларів. На жаль, ані офіційний Oasis, ані ValleySwap, ані EVODeFi не змогли надати користувачам ефективне рішення.
Horizon: втрати близько 100 мільйонів доларів, план компенсації розробляється
24 червня 2022 року офіційний кросчейн міст Horizon від Harmony зазнав атаки, внаслідок якої було втрачено близько 100 мільйонів доларів.
Засновник Harmony Стівен Це визнав, що атака могла бути спричинена витоком приватного ключа. Проектна команда пропонувала компенсувати збитки користувачів шляхом додаткової емісії токенів ONE протягом 3 років, але ця пропозиція не отримала одностайної підтримки спільноти. Наразі розробляється новий план компенсації.
Nomad: вкрадено 1,9 мільярда доларів, частину коштів є надія повернути
2 серпня 2022 року кросчейн міст Nomad зазнав серйозної аварії безпеки, що призвела до втрати 190 мільйонів доларів. Ця подія також вплинула на протокол міжоперабельності Layer2 Connext, спричинивши збитки в розмірі приблизно 3,34 мільйона доларів.
Аналіз показує, що атака походила від того, що Nomad неправильно ініціалізував довірений корінь як 0x00 під час оновлення контракту, що дозволило будь-кому легко витягувати кошти з кросчейн моста. Наразі деякі білий капелюх хакери заявили про готовність повернути кошти, але проєктна команда ще не надала чіткої схеми відшкодування.
Висновок
Часті випадки безпеки кросчейн містів підкреслюють високий рівень ризику в цій галузі. Навіть великі проекти кросчейн містів, такі як Multichain, Portal (Wormhole) та Poly Network, стикалися з проблемами безпеки. Це попереджає нас, що будь-який кросчейн міст може підлягати загрозам безпеки.
Однак ми також спостерігаємо, що проекти з потужним фоном та достатнім фінансуванням, коли стикаються з безпековими інцидентами, зазвичай можуть ефективніше повернути активи або надати компенсацію для користувачів. Наприклад, Poly Network, Ronin Network та Wormhole після масштабних крадіжок коштів змогли або повернути кошти, або надати достатню компенсацію.
Крім того, реальний моніторинг та швидка реакція команди проекту є надзвичайно важливими. Наприклад, Hop Protocol та StarGate швидко вжили заходів після отримання повідомлень про підозрілу активність, успішно зупинивши потенційні атаки.
Отже, для користувачів, при виборі кросчейн мосту, окрім технічних факторів, слід оцінити фон проекту, фінансові можливості та здатність до реагування на ризики. Для команди розробників постійний аудит безпеки, своєчасне виправлення вразливостей та вдосконалений механізм реагування на надзвичайні ситуації є ключовими елементами для забезпечення безпеки кросчейн мосту.