Revue des incidents de sécurité des ponts cross-chain : analyse de 10 cas d'attaques majeures
Il existe de nombreuses chaînes publiques dans l'écosystème blockchain, mais en raison du manque d'actifs majeurs, de nombreux projets doivent s'appuyer sur des bridges cross-chain pour obtenir des actifs depuis des chaînes publiques majeures comme Ethereum. Cependant, récemment, des accidents de sécurité dans le domaine DeFi se sont multipliés, et les bridges cross-chain, en raison de leur forte circulation de fonds et de leurs opérations fréquentes, sont devenus les principales cibles des attaquants. Cet article passera en revue les 10 principales attaques sur des bridges cross-chain qui ont eu lieu dans le passé, rappelant aux équipes de développement de rester vigilantes face aux risques de sécurité. Il convient de noter que les projets de bridges cross-chain dotés de puissantes ressources en arrière-plan, après avoir subi un incident de sécurité, sont souvent plus en mesure de récupérer des actifs ou d'indemniser les utilisateurs. Par conséquent, choisir un bridge cross-chain plus solide pourrait être plus sûr pour les utilisateurs.
ChainSwap : 8 millions de dollars de pertes, réémission de jetons
En juillet 2021, ChainSwap a subi deux attaques de hackers consécutives, la première entraînant une perte d'environ 800 000 dollars, la seconde atteignant jusqu'à 8 millions de dollars. La portée de la deuxième attaque était plus large, touchant plus de 20 projets utilisant ChainSwap pour des ponts cross-chain.
Après enquête, la cause de l'accident réside dans le fait que le protocole n'a pas strictement vérifié la validité des signatures, permettant aux attaquants d'autoriser les transactions en utilisant des signatures générées par leurs soins. Étant donné que les pertes concernent principalement les tokens de gouvernance des projets, plusieurs projets, y compris ChainSwap, ont décidé de faire un snapshot et d'émettre de nouveaux tokens pour compenser les détenteurs de tokens et les fournisseurs de liquidités.
Poly Network : 610 millions de dollars volés, récupérés en totalité
Le 10 août 2021, le protocole d'interopérabilité cross-chain Poly Network a subi une attaque à grande échelle, perdant respectivement 250 millions, 270 millions et 85 millions de dollars d'actifs sur Ethereum, Binance Smart Chain et le réseau Polygon, pour une perte totale atteignant 610 millions de dollars.
L'attaque a principalement exploité une vulnérabilité dans la logique de gestion des droits des contrats de Poly Network. L'attaquant a réussi à modifier l'adresse des validateurs de la chaîne cible, obtenant ainsi les droits de signature pour le transfert d'actifs. Bien que l'attaquant ait initialement utilisé le jeton de confidentialité XMR comme source de financement, il a finalement choisi de restituer tous les fonds volés. Poly Network a ensuite qualifié cela de "hackeur white hat" et a proposé de l'engager en tant que conseiller en sécurité principal de l'entreprise.
Multichain : 6 millions de dollars de pertes, une partie des fonds a été récupérée
En janvier 2022, Multichain a découvert une vulnérabilité importante affectant plusieurs jetons. Bien que la vulnérabilité ait été corrigée, certains utilisateurs ont subi des pertes en raison de l'absence de révocation de leurs autorisations en temps voulu. Selon les statistiques, un total de 1889,6612 WETH et 833,4191 AVAX ont été volés, ce qui équivaut à environ 6 millions de dollars selon les prix de l'époque.
L'équipe de sécurité de Slow Fog a analysé et a indiqué que l'incident était dû à un manquement de Multichain lors de la vérification de la légitimité des tokens transmis par les utilisateurs, n'ayant pas pris en compte le fait que tous les tokens sous-jacents ne mettent pas en œuvre la fonction permit. Au moment de la publication du rapport d'enquête officiel, près de 50 % des fonds volés avaient été récupérés. L'équipe a proposé un plan de remboursement des fonds, mais il n'y aura plus de compensation pour les pertes survenues après le 18 février.
QBridge : 80 millions de dollars de pertes, progrès de l'indemnisation lent
Le 28 janvier 2022, le pont cross-chain QBridge du protocole de prêt Qubit a été attaqué, entraînant une perte d'environ 80 millions de dollars. L'attaquant a exploité une vulnérabilité dans QBridge lors du traitement des transferts de jetons sur liste blanche, sans re-vérification de l'adresse nulle, réussissant à frapper massivement des jetons xETH ex nihilo sur BSC et à emprunter d'autres actifs depuis Qubit avec ces jetons.
Actuellement, le taux d'utilisation de Qubit a considérablement diminué, et les données officielles montrent qu'il reste 98 % des fonds volés qui n'ont pas été remboursés.
Meter.io : 4,4 millions de dollars de perte, engagement à indemniser avec des bénéfices futurs
Le 6 février 2022, le pont cross-chain Meter Passport a été attaqué, entraînant une perte de 4,4 millions de dollars. L'équipe de Meter a déclaré que le problème provenait d'une "hypothèse de confiance erronée" dans le code source extensible, permettant aux attaquants de falsifier des transferts de BNB et d'ETH.
Meter avait initialement prévu d'indemniser les utilisateurs avec le jeton MTRG, mais après un vote de la communauté, il a été décidé d'émettre un nouveau jeton PASS pour les compensations, avec la promesse de racheter les jetons PASS avec les bénéfices futurs. Cependant, aucune opération de rachat n'a encore été effectuée.
Ronin : 620 millions de dollars de pertes, déjà remboursés intégralement
En mars 2022, la chaîne Ronin derrière Axie Infinity a subi un vol de fonds à grande échelle, avec des pertes atteignant 620 millions de dollars. Cette attaque provient d'une attaque d'ingénierie sociale soigneusement planifiée, où les attaquants se sont déguisés en société de recrutement, réussissant à infiltrer le système de Sky Mavis et prenant finalement le contrôle de plusieurs nœuds de validation du réseau Ronin.
Bien que les fonds volés n'aient pas pu être récupérés, Sky Mavis a réussi à indemniser les utilisateurs grâce à un financement de 150 millions de dollars dirigé par Binance. Il convient de noter qu'en raison de la forte baisse du prix de l'ETH entre l'attaque et l'indemnisation, la valeur réelle de l'indemnisation a diminué par rapport à celle au moment de l'attaque.
Wormhole : 326 millions de dollars de pertes, déjà remboursées intégralement
Le 3 février 2022, le protocole cross-chain Wormhole a été attaqué, entraînant une perte d'environ 120 000 ETH, d'une valeur de 326 millions de dollars. L'attaquant a exploité une vulnérabilité dans la vérification de signature du contrat principal Wormhole sur Solana pour falsifier un message de "gardien" et créer du whETH.
Heureusement, Jump Crypto (l'acquéreur de Certus One, la société développant Wormhole) a rapidement injecté 120 000 ETH, compensant les pertes de Wormhole et permettant à celui-ci de reprendre ses opérations.
EvoDeFi : pertes estimées à plusieurs millions de dollars, toujours non résolues
En juin 2022, le USDT sur le DEX ValleySwap de l'écosystème Oasis a subi un important dépegging, entraînant des pertes massives pour de nombreux utilisateurs. Le problème provient du manque de liquidité sur la chaîne source du pont cross-chain EVODeFi utilisé. Bien qu'EVODeFi attribue le problème à la panique provoquée par le FUD, l'équipe officielle d'Oasis a clairement dissocié ValleySwap et EvoDeFi, soulignant qu'EvoDeFi présente des risques élevés et n'a pas été audité.
Actuellement, il n'y a pas de solution pour les pertes des utilisateurs, les canaux officiels de ValleySwap et EVODeFi ont tous deux cessé de mettre à jour, le projet semble avoir disparu.
Horizon : près de 100 millions de dollars de pertes, le plan d'indemnisation est toujours en cours d'élaboration
Le 24 juin 2022, le pont cross-chain Horizon de Harmony a été attaqué, entraînant une perte de fonds d'environ 100 millions de dollars. Le fondateur de Harmony, Stephen Tse, a reconnu que l'attaque était très probablement due à une "fuite de clé privée". Les actifs volés impliquent divers tokens, y compris BUSD, USDC, ETH et WBTC.
Harmony avait proposé de compenser les pertes des utilisateurs en émettant des tokens ONE supplémentaires sur une période de 3 ans, mais n'a pas réussi à obtenir le soutien unanime de la communauté. Actuellement, l'équipe du projet est en train de redéfinir le plan de compensation.
Nomad : 190 millions de dollars de pertes, une partie des fonds pourrait être récupérée
Le 2 août 2022, le pont cross-chain Nomad a subi un grave incident de sécurité, entraînant une perte rapide de 190 millions de dollars de liquidités. L'incident a également affecté un autre protocole d'interopérabilité Layer2, Connext, causant des pertes connexes d'environ 3,34 millions de dollars.
Selon les experts, cet incident provient de l'initialisation incorrecte de la racine de confiance à 0x00 par Nomad lors d'une mise à jour de contrat, permettant à quiconque d'extraire des fonds de la bridges cross-chain en utilisant des transactions valides. Actuellement, certains hackers éthiques ont exprimé leur volonté de restituer les fonds, mais l'équipe du projet n'a pas encore proposé de plan de remboursement clair.
Résumé
La fréquence des accidents de sécurité des bridges cross-chain met en évidence le haut niveau de risque dans ce domaine. Même les bridges cross-chain leaders du marché comme Multichain, Wormhole et Poly Network ont déjà rencontré des problèmes de sécurité, ce qui nous avertit que tout bridge cross-chain peut être confronté à des menaces pour sa sécurité.
Il convient de noter que les projets de bridges cross-chain avec des arrière-plans solides et une forte capacité financière ont souvent plus de possibilités de récupérer des actifs ou d'indemniser les utilisateurs après avoir rencontré des incidents de sécurité. Par exemple, Poly Network, Ronin Network et Wormhole, après avoir subi un vol massif de fonds, ont tous réussi à récupérer des fonds ou à procéder à un remboursement complet.
De plus, la capacité de surveillance en temps réel et de réponse rapide de l'équipe est également cruciale. Des projets comme Hop Protocol et StarGate, qui peuvent rapidement agir après avoir reçu des rapports d'activités suspectes, ont réussi à empêcher des attaques potentielles. Cela souligne l'importance d'une surveillance continue et d'une réponse rapide pour maintenir la sécurité des bridges cross-chain.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
16 J'aime
Récompense
16
9
Reposter
Partager
Commentaire
0/400
retroactive_airdrop
· 07-17 13:29
cross-chain C'est dangereux !
Voir l'originalRépondre0
FlashLoanLord
· 07-17 11:06
C'est juste une nouvelle façon de se faire prendre pour des cons.
Voir l'originalRépondre0
ForkItAll
· 07-16 16:35
projet de fête背大锅呗
Voir l'originalRépondre0
SingleForYears
· 07-14 15:23
Qui peut porter cette responsabilité ?
Voir l'originalRépondre0
OnchainDetective
· 07-14 15:21
Les ponts cross-chain sont vraiment excitants, c'est un vrai combat pour la vie.
Voir l'originalRépondre0
ForkMaster
· 07-14 15:07
Un projet qui a été compromis quatre fois de suite a-t-il encore le culot de conseiller d'améliorer la sensibilisation à la sécurité ?
Voir l'originalRépondre0
zkProofInThePudding
· 07-14 15:02
J'ai peur, j'ai peur, je n'ose plus toucher au cross-chain.
Voir l'originalRépondre0
GateUser-a606bf0c
· 07-14 14:59
Un projet est-il trop grand pour être maintenu ?
Voir l'originalRépondre0
FadCatcher
· 07-14 14:59
Les ponts cross-chain sont vraiment le plus gros mouton à tondre.
Analyse de 10 cas majeurs d'attaques de ponts cross-chain : risques de sécurité et récupération de fonds
Revue des incidents de sécurité des ponts cross-chain : analyse de 10 cas d'attaques majeures
Il existe de nombreuses chaînes publiques dans l'écosystème blockchain, mais en raison du manque d'actifs majeurs, de nombreux projets doivent s'appuyer sur des bridges cross-chain pour obtenir des actifs depuis des chaînes publiques majeures comme Ethereum. Cependant, récemment, des accidents de sécurité dans le domaine DeFi se sont multipliés, et les bridges cross-chain, en raison de leur forte circulation de fonds et de leurs opérations fréquentes, sont devenus les principales cibles des attaquants. Cet article passera en revue les 10 principales attaques sur des bridges cross-chain qui ont eu lieu dans le passé, rappelant aux équipes de développement de rester vigilantes face aux risques de sécurité. Il convient de noter que les projets de bridges cross-chain dotés de puissantes ressources en arrière-plan, après avoir subi un incident de sécurité, sont souvent plus en mesure de récupérer des actifs ou d'indemniser les utilisateurs. Par conséquent, choisir un bridge cross-chain plus solide pourrait être plus sûr pour les utilisateurs.
ChainSwap : 8 millions de dollars de pertes, réémission de jetons
En juillet 2021, ChainSwap a subi deux attaques de hackers consécutives, la première entraînant une perte d'environ 800 000 dollars, la seconde atteignant jusqu'à 8 millions de dollars. La portée de la deuxième attaque était plus large, touchant plus de 20 projets utilisant ChainSwap pour des ponts cross-chain.
Après enquête, la cause de l'accident réside dans le fait que le protocole n'a pas strictement vérifié la validité des signatures, permettant aux attaquants d'autoriser les transactions en utilisant des signatures générées par leurs soins. Étant donné que les pertes concernent principalement les tokens de gouvernance des projets, plusieurs projets, y compris ChainSwap, ont décidé de faire un snapshot et d'émettre de nouveaux tokens pour compenser les détenteurs de tokens et les fournisseurs de liquidités.
Poly Network : 610 millions de dollars volés, récupérés en totalité
Le 10 août 2021, le protocole d'interopérabilité cross-chain Poly Network a subi une attaque à grande échelle, perdant respectivement 250 millions, 270 millions et 85 millions de dollars d'actifs sur Ethereum, Binance Smart Chain et le réseau Polygon, pour une perte totale atteignant 610 millions de dollars.
L'attaque a principalement exploité une vulnérabilité dans la logique de gestion des droits des contrats de Poly Network. L'attaquant a réussi à modifier l'adresse des validateurs de la chaîne cible, obtenant ainsi les droits de signature pour le transfert d'actifs. Bien que l'attaquant ait initialement utilisé le jeton de confidentialité XMR comme source de financement, il a finalement choisi de restituer tous les fonds volés. Poly Network a ensuite qualifié cela de "hackeur white hat" et a proposé de l'engager en tant que conseiller en sécurité principal de l'entreprise.
Multichain : 6 millions de dollars de pertes, une partie des fonds a été récupérée
En janvier 2022, Multichain a découvert une vulnérabilité importante affectant plusieurs jetons. Bien que la vulnérabilité ait été corrigée, certains utilisateurs ont subi des pertes en raison de l'absence de révocation de leurs autorisations en temps voulu. Selon les statistiques, un total de 1889,6612 WETH et 833,4191 AVAX ont été volés, ce qui équivaut à environ 6 millions de dollars selon les prix de l'époque.
L'équipe de sécurité de Slow Fog a analysé et a indiqué que l'incident était dû à un manquement de Multichain lors de la vérification de la légitimité des tokens transmis par les utilisateurs, n'ayant pas pris en compte le fait que tous les tokens sous-jacents ne mettent pas en œuvre la fonction permit. Au moment de la publication du rapport d'enquête officiel, près de 50 % des fonds volés avaient été récupérés. L'équipe a proposé un plan de remboursement des fonds, mais il n'y aura plus de compensation pour les pertes survenues après le 18 février.
QBridge : 80 millions de dollars de pertes, progrès de l'indemnisation lent
Le 28 janvier 2022, le pont cross-chain QBridge du protocole de prêt Qubit a été attaqué, entraînant une perte d'environ 80 millions de dollars. L'attaquant a exploité une vulnérabilité dans QBridge lors du traitement des transferts de jetons sur liste blanche, sans re-vérification de l'adresse nulle, réussissant à frapper massivement des jetons xETH ex nihilo sur BSC et à emprunter d'autres actifs depuis Qubit avec ces jetons.
Actuellement, le taux d'utilisation de Qubit a considérablement diminué, et les données officielles montrent qu'il reste 98 % des fonds volés qui n'ont pas été remboursés.
Meter.io : 4,4 millions de dollars de perte, engagement à indemniser avec des bénéfices futurs
Le 6 février 2022, le pont cross-chain Meter Passport a été attaqué, entraînant une perte de 4,4 millions de dollars. L'équipe de Meter a déclaré que le problème provenait d'une "hypothèse de confiance erronée" dans le code source extensible, permettant aux attaquants de falsifier des transferts de BNB et d'ETH.
Meter avait initialement prévu d'indemniser les utilisateurs avec le jeton MTRG, mais après un vote de la communauté, il a été décidé d'émettre un nouveau jeton PASS pour les compensations, avec la promesse de racheter les jetons PASS avec les bénéfices futurs. Cependant, aucune opération de rachat n'a encore été effectuée.
Ronin : 620 millions de dollars de pertes, déjà remboursés intégralement
En mars 2022, la chaîne Ronin derrière Axie Infinity a subi un vol de fonds à grande échelle, avec des pertes atteignant 620 millions de dollars. Cette attaque provient d'une attaque d'ingénierie sociale soigneusement planifiée, où les attaquants se sont déguisés en société de recrutement, réussissant à infiltrer le système de Sky Mavis et prenant finalement le contrôle de plusieurs nœuds de validation du réseau Ronin.
Bien que les fonds volés n'aient pas pu être récupérés, Sky Mavis a réussi à indemniser les utilisateurs grâce à un financement de 150 millions de dollars dirigé par Binance. Il convient de noter qu'en raison de la forte baisse du prix de l'ETH entre l'attaque et l'indemnisation, la valeur réelle de l'indemnisation a diminué par rapport à celle au moment de l'attaque.
Wormhole : 326 millions de dollars de pertes, déjà remboursées intégralement
Le 3 février 2022, le protocole cross-chain Wormhole a été attaqué, entraînant une perte d'environ 120 000 ETH, d'une valeur de 326 millions de dollars. L'attaquant a exploité une vulnérabilité dans la vérification de signature du contrat principal Wormhole sur Solana pour falsifier un message de "gardien" et créer du whETH.
Heureusement, Jump Crypto (l'acquéreur de Certus One, la société développant Wormhole) a rapidement injecté 120 000 ETH, compensant les pertes de Wormhole et permettant à celui-ci de reprendre ses opérations.
EvoDeFi : pertes estimées à plusieurs millions de dollars, toujours non résolues
En juin 2022, le USDT sur le DEX ValleySwap de l'écosystème Oasis a subi un important dépegging, entraînant des pertes massives pour de nombreux utilisateurs. Le problème provient du manque de liquidité sur la chaîne source du pont cross-chain EVODeFi utilisé. Bien qu'EVODeFi attribue le problème à la panique provoquée par le FUD, l'équipe officielle d'Oasis a clairement dissocié ValleySwap et EvoDeFi, soulignant qu'EvoDeFi présente des risques élevés et n'a pas été audité.
Actuellement, il n'y a pas de solution pour les pertes des utilisateurs, les canaux officiels de ValleySwap et EVODeFi ont tous deux cessé de mettre à jour, le projet semble avoir disparu.
Horizon : près de 100 millions de dollars de pertes, le plan d'indemnisation est toujours en cours d'élaboration
Le 24 juin 2022, le pont cross-chain Horizon de Harmony a été attaqué, entraînant une perte de fonds d'environ 100 millions de dollars. Le fondateur de Harmony, Stephen Tse, a reconnu que l'attaque était très probablement due à une "fuite de clé privée". Les actifs volés impliquent divers tokens, y compris BUSD, USDC, ETH et WBTC.
Harmony avait proposé de compenser les pertes des utilisateurs en émettant des tokens ONE supplémentaires sur une période de 3 ans, mais n'a pas réussi à obtenir le soutien unanime de la communauté. Actuellement, l'équipe du projet est en train de redéfinir le plan de compensation.
Nomad : 190 millions de dollars de pertes, une partie des fonds pourrait être récupérée
Le 2 août 2022, le pont cross-chain Nomad a subi un grave incident de sécurité, entraînant une perte rapide de 190 millions de dollars de liquidités. L'incident a également affecté un autre protocole d'interopérabilité Layer2, Connext, causant des pertes connexes d'environ 3,34 millions de dollars.
Selon les experts, cet incident provient de l'initialisation incorrecte de la racine de confiance à 0x00 par Nomad lors d'une mise à jour de contrat, permettant à quiconque d'extraire des fonds de la bridges cross-chain en utilisant des transactions valides. Actuellement, certains hackers éthiques ont exprimé leur volonté de restituer les fonds, mais l'équipe du projet n'a pas encore proposé de plan de remboursement clair.
Résumé
La fréquence des accidents de sécurité des bridges cross-chain met en évidence le haut niveau de risque dans ce domaine. Même les bridges cross-chain leaders du marché comme Multichain, Wormhole et Poly Network ont déjà rencontré des problèmes de sécurité, ce qui nous avertit que tout bridge cross-chain peut être confronté à des menaces pour sa sécurité.
Il convient de noter que les projets de bridges cross-chain avec des arrière-plans solides et une forte capacité financière ont souvent plus de possibilités de récupérer des actifs ou d'indemniser les utilisateurs après avoir rencontré des incidents de sécurité. Par exemple, Poly Network, Ronin Network et Wormhole, après avoir subi un vol massif de fonds, ont tous réussi à récupérer des fonds ou à procéder à un remboursement complet.
De plus, la capacité de surveillance en temps réel et de réponse rapide de l'équipe est également cruciale. Des projets comme Hop Protocol et StarGate, qui peuvent rapidement agir après avoir reçu des rapports d'activités suspectes, ont réussi à empêcher des attaques potentielles. Cela souligne l'importance d'une surveillance continue et d'une réponse rapide pour maintenir la sécurité des bridges cross-chain.