Cầu nối Cross-chain sự kiện an ninh hồi tưởng: thiệt hại gần 2 tỷ USD, hơn 1,5 tỷ USD đã được thu hồi hoặc bồi thường
Trong hệ sinh thái blockchain có hàng trăm chuỗi công cộng, nhưng do nhiều chuỗi thiếu tài sản chính thống, cần phải lấy tài sản từ các chuỗi công cộng chính như Ethereum thông qua cầu nối Cross-chain. Gần đây, các sự cố an ninh trong lĩnh vực DeFi xảy ra liên tục, cầu nối Cross-chain trở thành mục tiêu chính của kẻ tấn công do tính thanh khoản cao của nó. Bài viết này sẽ xem xét 10 sự kiện tấn công cầu nối Cross-chain lớn đã xảy ra trong quá khứ, tóm tắt các bài học rút ra để nhắc nhở các đội phát triển và người dùng giữ cảnh giác.
Cần lưu ý rằng các dự án cầu nối Cross-chain có nền tảng mạnh mẽ và nguồn vốn dồi dào thường có thể thu hồi tài sản hoặc bồi thường cho người dùng một cách hiệu quả hơn sau khi gặp sự cố an ninh. Do đó, người dùng nên cân nhắc sức mạnh và uy tín của dự án khi lựa chọn cầu nối Cross-chain.
ChainSwap: 8 triệu USD tổn thất, dự án khởi động lại
Vào tháng 7 năm 2021, ChainSwap đã trải qua hai cuộc tấn công của hacker, tổng thiệt hại khoảng 8,8 triệu đô la Mỹ. Cuộc tấn công thứ hai có phạm vi ảnh hưởng rộng hơn, ảnh hưởng đến hơn 20 dự án sử dụng ChainSwap để thực hiện chuỗi cross.
Khảo sát cho thấy, nguyên nhân tấn công là do giao thức không kiểm tra chặt chẽ tính hợp lệ của chữ ký, khiến kẻ tấn công có thể sử dụng chữ ký tự tạo của mình để hoàn tất giao dịch. Do tổn thất chủ yếu liên quan đến token quản trị của dự án, bao gồm cả ChainSwap, nhiều dự án bị ảnh hưởng đã chọn thực hiện chụp nhanh và phát hành lại token để bồi thường cho những người nắm giữ token và nhà cung cấp thanh khoản.
Poly Network: 6,1 triệu đô la Mỹ bị đánh cắp, đã được hoàn trả đầy đủ
Ngày 10 tháng 8 năm 2021, giao thức tương tác chuỗi cross Poly Network đã bị tấn công quy mô lớn, tổng cộng thiệt hại khoảng 610 triệu đô la tài sản trên Ethereum, chuỗi thông minh Binance và Polygon.
Kẻ tấn công đã lợi dụng lỗ hổng trong logic quản lý quyền hạn hợp đồng của Poly Network, thông qua việc sửa đổi địa chỉ xác thực của chuỗi mục tiêu, đã thành công trong việc chuyển giao một lượng tài sản lớn. Mặc dù phương pháp tấn công rất tinh vi, kẻ hacker cuối cùng vẫn hoàn trả toàn bộ số tiền bị đánh cắp. Poly Network sau đó đã gọi hắn là "hacker mũ trắng" và đề nghị thuê hắn làm cố vấn an ninh chính.
Multichain: 6 triệu đô la tổn thất, một phần đã được bồi thường
Vào tháng 1 năm 2022, Multichain đã phát hiện ra một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều loại token. Mặc dù lỗ hổng đã được sửa chữa, nhưng vẫn có một số người dùng chịu thiệt hại do không kịp thời thu hồi quyền truy cập, tổng cộng khoảng 6,04 triệu đô la.
Đội ngũ an ninh Slow Mist phân tích chỉ ra rằng nguyên nhân tấn công là do Multichain có lỗ hổng trong việc xác minh tính hợp pháp của các token đầu vào của người dùng, không xem xét rằng không phải tất cả các token nền tảng đều thực hiện hàm permit. Sau sự kiện xảy ra, gần 50% số tiền bị đánh cắp đã được khôi phục và phía dự án cũng đã đề xuất phương án bồi thường.
QBridge: 80 triệu USD thiệt hại, tiến triển bồi thường chậm
Ngày 28 tháng 1 năm 2022, cầu nối Cross-chain QBridge của giao thức cho vay Qubit đã bị tấn công, gây thiệt hại khoảng 80 triệu USD.
Kẻ tấn công đã lợi dụng lỗ hổng trong QBridge khi xử lý chuyển khoản token trong danh sách trắng mà không kiểm tra địa chỉ không (zero address) lần nữa. Bằng cách đặt địa chỉ token ERC20 thành địa chỉ không, kẻ tấn công đã tạo ra một lượng lớn token xETH trên BSC mà không cần gửi bất kỳ token nào, và dùng chúng làm tài sản thế chấp để vay các token khác.
Hiện tại, tỷ lệ sử dụng Qubit đã giảm mạnh, 98% số tiền bị đánh cắp vẫn chưa được bồi thường.
Meter.io: Thiệt hại 4,4 triệu USD, cam kết bồi thường lợi nhuận trong tương lai
Vào ngày 6 tháng 2 năm 2022, cầu nối Cross-chain Meter Passport đã bị tấn công, gây thiệt hại 4,4 triệu đô la.
Meter chính thức cho biết, vấn đề nằm ở "giả định tin cậy sai lầm" trong mã nguồn mở rộng của họ, khiến kẻ tấn công có thể làm giả chuyển khoản BNB và ETH. Đội ngũ dự án ban đầu dự định sử dụng token MTRG để bồi thường thiệt hại, nhưng sau đó quyết định phát hành token PASS mới như một hình thức bồi thường, và cam kết sẽ sử dụng lợi nhuận trong tương lai để mua lại những token này.
Ronin: 6.2 triệu đô la Mỹ bị đánh cắp, đã bồi thường toàn bộ
Vào tháng 3 năm 2022, chuỗi Ronin đứng sau Axie Infinity đã gặp phải một sự cố an ninh lớn, thiệt hại khoảng 620 triệu USD. Cuộc tấn công này thực sự xảy ra vào ngày 23 tháng 3, nhưng phải đến 6 ngày sau mới được phát hiện.
Cuộc khảo sát cho thấy, kẻ tấn công đã sử dụng các biện pháp kỹ thuật xã hội để giành được lòng tin của nhân viên Sky Mavis, từ đó kiểm soát nhiều nút xác thực của mạng Ronin. Mặc dù số tiền bị đánh cắp không thể thu hồi, nhưng Sky Mavis đã cung cấp bồi thường cho người dùng thông qua một khoản tài trợ trị giá 150 triệu đô la.
Vào ngày 3 tháng 2 năm 2022, giao thức tương tác chuỗi cross Wormhole đã bị tấn công, thiệt hại khoảng 120.000 ETH, trị giá 3,26 tỷ USD.
Nguyên nhân của cuộc tấn công là do mã xác thực chữ ký trong hợp đồng cốt lõi của Wormhole trên Solana có lỗ hổng, cho phép kẻ tấn công giả mạo tin nhắn "người giám hộ" để đúc whETH. Sau sự kiện xảy ra, Jump Crypto đã nhanh chóng đầu tư 120,000 ETH để bù đắp tổn thất, giúp Wormhole phục hồi hoạt động.
EvoDeFi: Ước tính thiệt hại lên tới hàng triệu đô la, vẫn chưa được giải quyết
Ngày 7 tháng 6 năm 2022, USDT trên DEX ValleySwap trong hệ sinh thái Oasis đã xảy ra tình trạng mất giá nghiêm trọng. Vấn đề này xuất phát từ cầu nối Cross-chain EVODeFi mà nó sử dụng có tính thanh khoản không đủ trên chuỗi nguồn.
Mặc dù số tiền tổn thất cụ thể chưa được biết, nhưng ước tính ở mức hàng triệu đô la. Thật đáng tiếc, cả Oasis chính thức, ValleySwap hay EVODeFi đều không thể cung cấp giải pháp hiệu quả cho người dùng.
Horizon: Thiệt hại gần 100 triệu USD, kế hoạch bồi thường đang được xây dựng.
Ngày 24 tháng 6 năm 2022, cầu nối Cross-chain Horizon chính thức của Harmony đã bị tấn công, gây ra thiệt hại khoảng 100 triệu USD.
Người sáng lập Harmony, Stephen Tse, đã thừa nhận rằng cuộc tấn công có thể do rò rỉ khóa riêng. Nhóm dự án đã đề xuất bồi thường tổn thất của người dùng thông qua việc phát hành thêm token ONE trong vòng 3 năm, nhưng đề xuất này đã không nhận được sự đồng thuận từ cộng đồng. Hiện tại, một kế hoạch bồi thường mới đang được xây dựng.
Nomad: 1.9 triệu USD bị đánh cắp, một phần quỹ có khả năng được thu hồi
Ngày 2 tháng 8 năm 2022, cầu nối Cross-chain Nomad đã gặp phải một sự cố an ninh nghiêm trọng, dẫn đến việc thất thoát 190 triệu USD. Sự kiện này cũng đã ảnh hưởng đến giao thức tương tác Layer2 Connext, gây thiệt hại khoảng 3,34 triệu USD.
Phân tích cho thấy, cuộc tấn công xuất phát từ việc Nomad khởi tạo sai gốc tin cậy thành 0x00 trong một lần nâng cấp hợp đồng, khiến bất kỳ ai cũng có thể dễ dàng rút tiền từ cầu nối Cross-chain. Hiện tại, một số hacker mũ trắng đã bày tỏ sẵn sàng hoàn trả tiền, nhưng phía dự án vẫn chưa đưa ra kế hoạch bồi thường rõ ràng.
Kết luận
Sự gia tăng của các sự cố an ninh cầu nối Cross-chain đã làm nổi bật tính rủi ro cao trong lĩnh vực này. Ngay cả những dự án cầu nối Cross-chain lớn đứng đầu như Multichain, Portal (Wormhole) và Poly Network cũng đã từng gặp phải những vấn đề an ninh. Điều này cảnh báo chúng ta rằng bất kỳ cầu nối Cross-chain nào cũng có thể đối mặt với mối đe dọa an ninh.
Tuy nhiên, chúng tôi cũng nhận thấy rằng những dự án có nền tảng mạnh mẽ và nguồn vốn dồi dào thường có khả năng thu hồi tài sản hoặc bồi thường cho người dùng hiệu quả hơn khi gặp sự cố an ninh. Ví dụ, Poly Network, Ronin Network và Wormhole đều có thể tìm lại được tài sản hoặc đã thực hiện bồi thường đầy đủ sau khi gặp phải việc bị đánh cắp tài sản quy mô lớn.
Ngoài ra, việc giám sát thời gian thực và phản ứng nhanh chóng của đội ngũ dự án cũng cực kỳ quan trọng. Như Hop Protocol và StarGate đã nhanh chóng hành động sau khi nhận được báo cáo về hoạt động đáng ngờ, ngăn chặn thành công các cuộc tấn công tiềm ẩn.
Do đó, đối với người dùng, khi chọn cầu nối Cross-chain, ngoài việc xem xét các yếu tố kỹ thuật, còn cần đánh giá bối cảnh của dự án, sức mạnh tài chính và khả năng ứng phó với rủi ro. Đối với đội ngũ phát triển, việc kiểm tra an ninh liên tục, khắc phục lỗ hổng kịp thời và cơ chế phản ứng khẩn cấp hoàn chỉnh đều là những yếu tố then chốt để đảm bảo an toàn cho cầu nối Cross-chain.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Cầu nối Cross-chain an toàn: Thiệt hại 2 tỷ USD, 75% đã được thu hồi hoặc bồi thường.
Cầu nối Cross-chain sự kiện an ninh hồi tưởng: thiệt hại gần 2 tỷ USD, hơn 1,5 tỷ USD đã được thu hồi hoặc bồi thường
Trong hệ sinh thái blockchain có hàng trăm chuỗi công cộng, nhưng do nhiều chuỗi thiếu tài sản chính thống, cần phải lấy tài sản từ các chuỗi công cộng chính như Ethereum thông qua cầu nối Cross-chain. Gần đây, các sự cố an ninh trong lĩnh vực DeFi xảy ra liên tục, cầu nối Cross-chain trở thành mục tiêu chính của kẻ tấn công do tính thanh khoản cao của nó. Bài viết này sẽ xem xét 10 sự kiện tấn công cầu nối Cross-chain lớn đã xảy ra trong quá khứ, tóm tắt các bài học rút ra để nhắc nhở các đội phát triển và người dùng giữ cảnh giác.
Cần lưu ý rằng các dự án cầu nối Cross-chain có nền tảng mạnh mẽ và nguồn vốn dồi dào thường có thể thu hồi tài sản hoặc bồi thường cho người dùng một cách hiệu quả hơn sau khi gặp sự cố an ninh. Do đó, người dùng nên cân nhắc sức mạnh và uy tín của dự án khi lựa chọn cầu nối Cross-chain.
ChainSwap: 8 triệu USD tổn thất, dự án khởi động lại
Vào tháng 7 năm 2021, ChainSwap đã trải qua hai cuộc tấn công của hacker, tổng thiệt hại khoảng 8,8 triệu đô la Mỹ. Cuộc tấn công thứ hai có phạm vi ảnh hưởng rộng hơn, ảnh hưởng đến hơn 20 dự án sử dụng ChainSwap để thực hiện chuỗi cross.
Khảo sát cho thấy, nguyên nhân tấn công là do giao thức không kiểm tra chặt chẽ tính hợp lệ của chữ ký, khiến kẻ tấn công có thể sử dụng chữ ký tự tạo của mình để hoàn tất giao dịch. Do tổn thất chủ yếu liên quan đến token quản trị của dự án, bao gồm cả ChainSwap, nhiều dự án bị ảnh hưởng đã chọn thực hiện chụp nhanh và phát hành lại token để bồi thường cho những người nắm giữ token và nhà cung cấp thanh khoản.
Poly Network: 6,1 triệu đô la Mỹ bị đánh cắp, đã được hoàn trả đầy đủ
Ngày 10 tháng 8 năm 2021, giao thức tương tác chuỗi cross Poly Network đã bị tấn công quy mô lớn, tổng cộng thiệt hại khoảng 610 triệu đô la tài sản trên Ethereum, chuỗi thông minh Binance và Polygon.
Kẻ tấn công đã lợi dụng lỗ hổng trong logic quản lý quyền hạn hợp đồng của Poly Network, thông qua việc sửa đổi địa chỉ xác thực của chuỗi mục tiêu, đã thành công trong việc chuyển giao một lượng tài sản lớn. Mặc dù phương pháp tấn công rất tinh vi, kẻ hacker cuối cùng vẫn hoàn trả toàn bộ số tiền bị đánh cắp. Poly Network sau đó đã gọi hắn là "hacker mũ trắng" và đề nghị thuê hắn làm cố vấn an ninh chính.
Multichain: 6 triệu đô la tổn thất, một phần đã được bồi thường
Vào tháng 1 năm 2022, Multichain đã phát hiện ra một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều loại token. Mặc dù lỗ hổng đã được sửa chữa, nhưng vẫn có một số người dùng chịu thiệt hại do không kịp thời thu hồi quyền truy cập, tổng cộng khoảng 6,04 triệu đô la.
Đội ngũ an ninh Slow Mist phân tích chỉ ra rằng nguyên nhân tấn công là do Multichain có lỗ hổng trong việc xác minh tính hợp pháp của các token đầu vào của người dùng, không xem xét rằng không phải tất cả các token nền tảng đều thực hiện hàm permit. Sau sự kiện xảy ra, gần 50% số tiền bị đánh cắp đã được khôi phục và phía dự án cũng đã đề xuất phương án bồi thường.
QBridge: 80 triệu USD thiệt hại, tiến triển bồi thường chậm
Ngày 28 tháng 1 năm 2022, cầu nối Cross-chain QBridge của giao thức cho vay Qubit đã bị tấn công, gây thiệt hại khoảng 80 triệu USD.
Kẻ tấn công đã lợi dụng lỗ hổng trong QBridge khi xử lý chuyển khoản token trong danh sách trắng mà không kiểm tra địa chỉ không (zero address) lần nữa. Bằng cách đặt địa chỉ token ERC20 thành địa chỉ không, kẻ tấn công đã tạo ra một lượng lớn token xETH trên BSC mà không cần gửi bất kỳ token nào, và dùng chúng làm tài sản thế chấp để vay các token khác.
Hiện tại, tỷ lệ sử dụng Qubit đã giảm mạnh, 98% số tiền bị đánh cắp vẫn chưa được bồi thường.
Meter.io: Thiệt hại 4,4 triệu USD, cam kết bồi thường lợi nhuận trong tương lai
Vào ngày 6 tháng 2 năm 2022, cầu nối Cross-chain Meter Passport đã bị tấn công, gây thiệt hại 4,4 triệu đô la.
Meter chính thức cho biết, vấn đề nằm ở "giả định tin cậy sai lầm" trong mã nguồn mở rộng của họ, khiến kẻ tấn công có thể làm giả chuyển khoản BNB và ETH. Đội ngũ dự án ban đầu dự định sử dụng token MTRG để bồi thường thiệt hại, nhưng sau đó quyết định phát hành token PASS mới như một hình thức bồi thường, và cam kết sẽ sử dụng lợi nhuận trong tương lai để mua lại những token này.
Ronin: 6.2 triệu đô la Mỹ bị đánh cắp, đã bồi thường toàn bộ
Vào tháng 3 năm 2022, chuỗi Ronin đứng sau Axie Infinity đã gặp phải một sự cố an ninh lớn, thiệt hại khoảng 620 triệu USD. Cuộc tấn công này thực sự xảy ra vào ngày 23 tháng 3, nhưng phải đến 6 ngày sau mới được phát hiện.
Cuộc khảo sát cho thấy, kẻ tấn công đã sử dụng các biện pháp kỹ thuật xã hội để giành được lòng tin của nhân viên Sky Mavis, từ đó kiểm soát nhiều nút xác thực của mạng Ronin. Mặc dù số tiền bị đánh cắp không thể thu hồi, nhưng Sky Mavis đã cung cấp bồi thường cho người dùng thông qua một khoản tài trợ trị giá 150 triệu đô la.
Wormhole: 3.26 triệu USD thiệt hại, đã hoàn trả đầy đủ
Vào ngày 3 tháng 2 năm 2022, giao thức tương tác chuỗi cross Wormhole đã bị tấn công, thiệt hại khoảng 120.000 ETH, trị giá 3,26 tỷ USD.
Nguyên nhân của cuộc tấn công là do mã xác thực chữ ký trong hợp đồng cốt lõi của Wormhole trên Solana có lỗ hổng, cho phép kẻ tấn công giả mạo tin nhắn "người giám hộ" để đúc whETH. Sau sự kiện xảy ra, Jump Crypto đã nhanh chóng đầu tư 120,000 ETH để bù đắp tổn thất, giúp Wormhole phục hồi hoạt động.
EvoDeFi: Ước tính thiệt hại lên tới hàng triệu đô la, vẫn chưa được giải quyết
Ngày 7 tháng 6 năm 2022, USDT trên DEX ValleySwap trong hệ sinh thái Oasis đã xảy ra tình trạng mất giá nghiêm trọng. Vấn đề này xuất phát từ cầu nối Cross-chain EVODeFi mà nó sử dụng có tính thanh khoản không đủ trên chuỗi nguồn.
Mặc dù số tiền tổn thất cụ thể chưa được biết, nhưng ước tính ở mức hàng triệu đô la. Thật đáng tiếc, cả Oasis chính thức, ValleySwap hay EVODeFi đều không thể cung cấp giải pháp hiệu quả cho người dùng.
Horizon: Thiệt hại gần 100 triệu USD, kế hoạch bồi thường đang được xây dựng.
Ngày 24 tháng 6 năm 2022, cầu nối Cross-chain Horizon chính thức của Harmony đã bị tấn công, gây ra thiệt hại khoảng 100 triệu USD.
Người sáng lập Harmony, Stephen Tse, đã thừa nhận rằng cuộc tấn công có thể do rò rỉ khóa riêng. Nhóm dự án đã đề xuất bồi thường tổn thất của người dùng thông qua việc phát hành thêm token ONE trong vòng 3 năm, nhưng đề xuất này đã không nhận được sự đồng thuận từ cộng đồng. Hiện tại, một kế hoạch bồi thường mới đang được xây dựng.
Nomad: 1.9 triệu USD bị đánh cắp, một phần quỹ có khả năng được thu hồi
Ngày 2 tháng 8 năm 2022, cầu nối Cross-chain Nomad đã gặp phải một sự cố an ninh nghiêm trọng, dẫn đến việc thất thoát 190 triệu USD. Sự kiện này cũng đã ảnh hưởng đến giao thức tương tác Layer2 Connext, gây thiệt hại khoảng 3,34 triệu USD.
Phân tích cho thấy, cuộc tấn công xuất phát từ việc Nomad khởi tạo sai gốc tin cậy thành 0x00 trong một lần nâng cấp hợp đồng, khiến bất kỳ ai cũng có thể dễ dàng rút tiền từ cầu nối Cross-chain. Hiện tại, một số hacker mũ trắng đã bày tỏ sẵn sàng hoàn trả tiền, nhưng phía dự án vẫn chưa đưa ra kế hoạch bồi thường rõ ràng.
Kết luận
Sự gia tăng của các sự cố an ninh cầu nối Cross-chain đã làm nổi bật tính rủi ro cao trong lĩnh vực này. Ngay cả những dự án cầu nối Cross-chain lớn đứng đầu như Multichain, Portal (Wormhole) và Poly Network cũng đã từng gặp phải những vấn đề an ninh. Điều này cảnh báo chúng ta rằng bất kỳ cầu nối Cross-chain nào cũng có thể đối mặt với mối đe dọa an ninh.
Tuy nhiên, chúng tôi cũng nhận thấy rằng những dự án có nền tảng mạnh mẽ và nguồn vốn dồi dào thường có khả năng thu hồi tài sản hoặc bồi thường cho người dùng hiệu quả hơn khi gặp sự cố an ninh. Ví dụ, Poly Network, Ronin Network và Wormhole đều có thể tìm lại được tài sản hoặc đã thực hiện bồi thường đầy đủ sau khi gặp phải việc bị đánh cắp tài sản quy mô lớn.
Ngoài ra, việc giám sát thời gian thực và phản ứng nhanh chóng của đội ngũ dự án cũng cực kỳ quan trọng. Như Hop Protocol và StarGate đã nhanh chóng hành động sau khi nhận được báo cáo về hoạt động đáng ngờ, ngăn chặn thành công các cuộc tấn công tiềm ẩn.
Do đó, đối với người dùng, khi chọn cầu nối Cross-chain, ngoài việc xem xét các yếu tố kỹ thuật, còn cần đánh giá bối cảnh của dự án, sức mạnh tài chính và khả năng ứng phó với rủi ro. Đối với đội ngũ phát triển, việc kiểm tra an ninh liên tục, khắc phục lỗ hổng kịp thời và cơ chế phản ứng khẩn cấp hoàn chỉnh đều là những yếu tố then chốt để đảm bảo an toàn cho cầu nối Cross-chain.