Revisão de acidentes de segurança de pontes de cadeia cruzada: Análise de 10 casos de ataques significativos
Existem muitas cadeias públicas no ecossistema blockchain, mas devido à falta de ativos de grande circulação, muitos projetos são forçados a depender de pontes de cadeia cruzada para obter ativos de cadeias públicas principais como o Ethereum. No entanto, recentemente, ocorreram numerosos acidentes de segurança na área de DeFi, e as pontes de cadeia cruzada se tornaram os principais alvos dos atacantes devido ao seu alto fluxo de fundos e operações frequentes. Este artigo revisará os 10 principais eventos de ataque a pontes de cadeia cruzada que ocorreram no passado, lembrando as equipes de desenvolvimento para estarem sempre alertas aos riscos de segurança. É importante notar que projetos de pontes de cadeia cruzada com um forte respaldo muitas vezes têm mais capacidade de recuperar ativos ou fornecer compensações aos usuários após um acidente de segurança, portanto, escolher pontes de cadeia cruzada mais robustas pode ser mais seguro para os usuários.
ChainSwap: perda de 8 milhões de dólares, reemissão de tokens
Em julho de 2021, a ChainSwap sofreu duas invasões consecutivas, com a primeira perda de cerca de 800 mil dólares e a segunda perda de até 8 milhões de dólares. A segunda invasão teve um impacto mais amplo, afetando mais de 20 projetos que usaram a ChainSwap para realizar cadeias cruzadas.
Após investigação, a causa do acidente foi a falta de verificação rigorosa da validade das assinaturas no protocolo, permitindo que atacantes utilizassem assinaturas geradas por eles mesmos para autorizar transações. Como as perdas envolvem principalmente os tokens de governança do projeto, vários projetos, incluindo o ChainSwap, decidiram fazer uma captura de estado e emitir novos tokens para compensar os detentores de tokens e provedores de liquidez.
Poly Network: 610 milhões de dólares foram roubados, todos recuperados
No dia 10 de agosto de 2021, o protocolo de interoperabilidade de cadeia cruzada Poly Network sofreu um grande ataque, resultando em perdas de 250 milhões, 270 milhões e 85 milhões de dólares em ativos nas redes Ethereum, Binance Smart Chain e Polygon, totalizando uma perda de 610 milhões de dólares.
O ataque explorou principalmente a vulnerabilidade na lógica de gerenciamento de permissões do contrato da Poly Network. O atacante conseguiu modificar o endereço do validador na cadeia de destino, obtendo assim a autorização para a transferência de ativos. Embora o atacante inicialmente utilizasse a moeda privada XMR como fonte de financiamento, acabou por escolher devolver todos os fundos roubados. A Poly Network posteriormente o chamou de "hacker de chapéu branco" e propôs contratá-lo como consultor de segurança da empresa.
Multichain: perda de 6 milhões de dólares, parte dos fundos já foi recuperada
Em janeiro de 2022, a Multichain descobriu uma vulnerabilidade importante que afetava vários tokens. Embora a vulnerabilidade tenha sido corrigida, alguns usuários ainda sofreram perdas devido à falta de revogação oportuna das autorizações. De acordo com estatísticas, um total de 1889.6612 WETH e 833.4191 AVAX foram roubados, o que correspondia a aproximadamente 6 milhões de dólares na cotação da época.
A equipe de segurança da Slow Fog analisou e apontou que o incidente se originou de uma falha na Multichain ao verificar a legalidade dos tokens enviados pelos usuários, não considerando que nem todos os tokens subjacentes implementaram a função permit. Até o momento da publicação do relatório oficial de investigação, quase 50% dos fundos roubados já foram recuperados. A equipe apresentou uma proposta para reembolsar os fundos, mas não compensará as perdas após 18 de fevereiro.
QBridge: 80 milhões de dólares em perdas, progresso lento nos pagamentos
No dia 28 de janeiro de 2022, a ponte de cadeia cruzada QBridge do protocolo de empréstimo Qubit foi atacada, resultando em uma perda de cerca de 80 milhões de dólares. O atacante explorou uma vulnerabilidade no QBridge, que não verificava novamente o endereço zero ao processar transferências de tokens na lista branca, conseguindo assim cunhar uma grande quantidade de xETH na BSC e emprestar outros ativos do Qubit com esses tokens.
Atualmente, a taxa de utilização do Qubit diminuiu drasticamente, e os dados oficiais mostram que ainda 98% dos fundos roubados não foram compensados.
Meter.io: perda de 4,4 milhões de dólares, compromete-se a compensar com receitas futuras
No dia 6 de fevereiro de 2022, a ponte de cadeia cruzada Meter Passport foi atacada, resultando em uma perda de 4,4 milhões de dólares. A Meter informou que o problema estava na "suposição de confiança errada" no código-fonte do sistema, permitindo que os atacantes falsificassem transferências de BNB e ETH.
A Meter inicialmente planejou compensar os usuários pelas perdas com o token MTRG, mas após votação da comunidade, decidiu emitir um novo token PASS para compensação e prometeu recomprar os tokens PASS com os lucros futuros. No entanto, até agora, nenhuma operação de recompra foi realizada.
Ronin: 620 milhões de dólares em perdas, já totalmente compensados
Em março de 2022, a cadeia Ronin por trás do Axie Infinity sofreu um grande roubo de fundos, resultando em perdas de até 620 milhões de dólares. Este ataque teve origem em um ataque de engenharia social cuidadosamente planejado, onde os atacantes se disfarçaram como uma empresa de recrutamento e conseguiram infiltrar-se no sistema da Sky Mavis, controlando finalmente vários nós de validação da rede Ronin.
Apesar de os fundos roubados não terem sido recuperados, a Sky Mavis conseguiu fornecer compensação aos usuários através de uma ronda de financiamento de 150 milhões de dólares liderada pela Binance. Vale a pena notar que, devido à queda acentuada do preço do ETH entre o ataque e o período de compensação, o valor efetivo da compensação foi reduzido em relação ao momento do ataque.
Wormhole: 326 milhões de dólares em perdas, já pagos na totalidade
No dia 3 de fevereiro de 2022, o protocolo de cadeia cruzada Wormhole foi atacado, resultando em uma perda de cerca de 120 mil ETH, no valor de 326 milhões de dólares. O atacante explorou uma vulnerabilidade na verificação de assinatura do contrato principal do Wormhole na Solana, conseguindo forjar mensagens de "guardião" para cunhar whETH.
Felizmente, a Jump Crypto (a adquirente da Certus One, a empresa desenvolvedora do Wormhole) injetou rapidamente 120 mil ETH, compensando as perdas do Wormhole e permitindo a sua recuperação.
EvoDeFi: estimativa de perdas superiores a dez milhões de dólares, ainda não resolvido
Em junho de 2022, o USDT na DEX ValleySwap do ecossistema Oasis desancorou severamente, causando grandes perdas para os usuários. O problema originou-se da falta de liquidez da ponte de cadeia cruzada EVODeFi na cadeia de origem. Embora a EVODeFi tenha atribuído o problema ao pânico gerado por FUD, a equipe oficial do Oasis já deixou claro que se desvincula da ValleySwap e da EvoDeFi, apontando que a EvoDeFi apresenta altos riscos e não foi auditada.
Atualmente, não há solução para as perdas dos usuários, os canais oficiais da ValleySwap e da EVODeFi pararam de ser atualizados, suspeitando-se que a equipe do projeto tenha fugido.
Horizon: Perda de quase 100 milhões de dólares, o plano de compensação ainda está em elaboração.
No dia 24 de junho de 2022, a ponte de cadeia cruzada Horizon da Harmony foi atacada, resultando em uma perda de cerca de 100 milhões de dólares em fundos. O fundador da Harmony, Stephen Tse, admitiu que o ataque provavelmente foi causado por uma "vazamento de chave privada". Os ativos roubados envolvem vários tokens, incluindo BUSD, USDC, ETH e WBTC.
A Harmony propôs compensar os usuários pelas perdas através da emissão adicional de tokens ONE ao longo de 3 anos, mas não conseguiu obter o apoio unânime da comunidade. Atualmente, a equipe do projeto está reformulando o plano de compensação.
Nomad: 1,9 milhões de dólares em perdas, parte dos fundos pode ser recuperada
No dia 2 de agosto de 2022, a ponte de cadeia cruzada Nomad sofreu um grave incidente de segurança, resultando na rápida perda de 190 milhões de dólares em liquidez. O incidente também afetou outro protocolo de interoperabilidade Layer2, Connext, causando uma perda colateral de cerca de 3,34 milhões de dólares.
De acordo com especialistas, o acidente ocorreu porque a Nomad inicializou incorretamente a raiz de confiança como 0x00 durante uma atualização de contrato, permitindo que qualquer pessoa retirasse fundos da ponte de cadeia cruzada utilizando transações válidas. Atualmente, alguns hackers éticos já se mostraram dispostos a devolver os fundos, mas a equipe do projeto ainda não apresentou um plano de compensação claro.
Resumo
A frequência de acidentes de segurança em pontes de cadeia cruzada ressalta a alta risco nesse campo. Mesmo as pontes de cadeia cruzada líderes de mercado como Multichain, Wormhole e Poly Network já enfrentaram problemas de segurança, o que nos alerta de que qualquer ponte de cadeia cruzada pode estar sujeita a ameaças de segurança.
Vale a pena notar que projetos de pontes de cadeia cruzada com um forte suporte de fundo e capacidade financeira, quando enfrentam acidentes de segurança, muitas vezes têm mais capacidade de recuperar ativos ou oferecer compensações aos usuários. Por exemplo, a Poly Network, a Ronin Network e a Wormhole, após sofrerem grandes roubos de fundos, conseguiram recuperar com sucesso os fundos ou realizar reembolsos totais.
Além disso, a capacidade de monitoramento em tempo real e resposta rápida da equipe é crucial. Projetos como Hop Protocol e StarGate conseguiram agir rapidamente após receberem relatórios de atividades suspeitas, conseguindo impedir ataques potenciais. Isso ressalta a importância do monitoramento contínuo e da resposta rápida na manutenção da segurança das pontes de cadeia cruzada.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
16 Curtidas
Recompensa
16
9
Repostar
Compartilhar
Comentário
0/400
retroactive_airdrop
· 07-17 13:29
cadeia cruzada Muito perigoso
Ver originalResponder0
FlashLoanLord
· 07-17 11:06
Isso não é uma nova maneira de fazer as pessoas de parvas.
Ver originalResponder0
ForkItAll
· 07-16 16:35
equipa do projeto背大锅呗
Ver originalResponder0
SingleForYears
· 07-14 15:23
Quem é que consegue suportar esta panela?
Ver originalResponder0
OnchainDetective
· 07-14 15:21
pontes de cadeia cruzada é realmente emocionante, é uma questão de vida ou morte.
Ver originalResponder0
ForkMaster
· 07-14 15:07
Um projeto que foi atacado quatro vezes ainda tem a cara de aconselhar a aumentar a consciência de segurança?
Ver originalResponder0
zkProofInThePudding
· 07-14 15:02
Estou com medo, não me atrevo a tocar na cadeia cruzada.
Ver originalResponder0
GateUser-a606bf0c
· 07-14 14:59
Mesmo que o projeto seja grande, não pode ser mantido?
Ver originalResponder0
FadCatcher
· 07-14 14:59
pontes de cadeia cruzada é realmente o maior cordeiro.
10 casos significativos de ataque a pontes de cadeia cruzada: riscos de segurança e recuperação de fundos
Revisão de acidentes de segurança de pontes de cadeia cruzada: Análise de 10 casos de ataques significativos
Existem muitas cadeias públicas no ecossistema blockchain, mas devido à falta de ativos de grande circulação, muitos projetos são forçados a depender de pontes de cadeia cruzada para obter ativos de cadeias públicas principais como o Ethereum. No entanto, recentemente, ocorreram numerosos acidentes de segurança na área de DeFi, e as pontes de cadeia cruzada se tornaram os principais alvos dos atacantes devido ao seu alto fluxo de fundos e operações frequentes. Este artigo revisará os 10 principais eventos de ataque a pontes de cadeia cruzada que ocorreram no passado, lembrando as equipes de desenvolvimento para estarem sempre alertas aos riscos de segurança. É importante notar que projetos de pontes de cadeia cruzada com um forte respaldo muitas vezes têm mais capacidade de recuperar ativos ou fornecer compensações aos usuários após um acidente de segurança, portanto, escolher pontes de cadeia cruzada mais robustas pode ser mais seguro para os usuários.
ChainSwap: perda de 8 milhões de dólares, reemissão de tokens
Em julho de 2021, a ChainSwap sofreu duas invasões consecutivas, com a primeira perda de cerca de 800 mil dólares e a segunda perda de até 8 milhões de dólares. A segunda invasão teve um impacto mais amplo, afetando mais de 20 projetos que usaram a ChainSwap para realizar cadeias cruzadas.
Após investigação, a causa do acidente foi a falta de verificação rigorosa da validade das assinaturas no protocolo, permitindo que atacantes utilizassem assinaturas geradas por eles mesmos para autorizar transações. Como as perdas envolvem principalmente os tokens de governança do projeto, vários projetos, incluindo o ChainSwap, decidiram fazer uma captura de estado e emitir novos tokens para compensar os detentores de tokens e provedores de liquidez.
Poly Network: 610 milhões de dólares foram roubados, todos recuperados
No dia 10 de agosto de 2021, o protocolo de interoperabilidade de cadeia cruzada Poly Network sofreu um grande ataque, resultando em perdas de 250 milhões, 270 milhões e 85 milhões de dólares em ativos nas redes Ethereum, Binance Smart Chain e Polygon, totalizando uma perda de 610 milhões de dólares.
O ataque explorou principalmente a vulnerabilidade na lógica de gerenciamento de permissões do contrato da Poly Network. O atacante conseguiu modificar o endereço do validador na cadeia de destino, obtendo assim a autorização para a transferência de ativos. Embora o atacante inicialmente utilizasse a moeda privada XMR como fonte de financiamento, acabou por escolher devolver todos os fundos roubados. A Poly Network posteriormente o chamou de "hacker de chapéu branco" e propôs contratá-lo como consultor de segurança da empresa.
Multichain: perda de 6 milhões de dólares, parte dos fundos já foi recuperada
Em janeiro de 2022, a Multichain descobriu uma vulnerabilidade importante que afetava vários tokens. Embora a vulnerabilidade tenha sido corrigida, alguns usuários ainda sofreram perdas devido à falta de revogação oportuna das autorizações. De acordo com estatísticas, um total de 1889.6612 WETH e 833.4191 AVAX foram roubados, o que correspondia a aproximadamente 6 milhões de dólares na cotação da época.
A equipe de segurança da Slow Fog analisou e apontou que o incidente se originou de uma falha na Multichain ao verificar a legalidade dos tokens enviados pelos usuários, não considerando que nem todos os tokens subjacentes implementaram a função permit. Até o momento da publicação do relatório oficial de investigação, quase 50% dos fundos roubados já foram recuperados. A equipe apresentou uma proposta para reembolsar os fundos, mas não compensará as perdas após 18 de fevereiro.
QBridge: 80 milhões de dólares em perdas, progresso lento nos pagamentos
No dia 28 de janeiro de 2022, a ponte de cadeia cruzada QBridge do protocolo de empréstimo Qubit foi atacada, resultando em uma perda de cerca de 80 milhões de dólares. O atacante explorou uma vulnerabilidade no QBridge, que não verificava novamente o endereço zero ao processar transferências de tokens na lista branca, conseguindo assim cunhar uma grande quantidade de xETH na BSC e emprestar outros ativos do Qubit com esses tokens.
Atualmente, a taxa de utilização do Qubit diminuiu drasticamente, e os dados oficiais mostram que ainda 98% dos fundos roubados não foram compensados.
Meter.io: perda de 4,4 milhões de dólares, compromete-se a compensar com receitas futuras
No dia 6 de fevereiro de 2022, a ponte de cadeia cruzada Meter Passport foi atacada, resultando em uma perda de 4,4 milhões de dólares. A Meter informou que o problema estava na "suposição de confiança errada" no código-fonte do sistema, permitindo que os atacantes falsificassem transferências de BNB e ETH.
A Meter inicialmente planejou compensar os usuários pelas perdas com o token MTRG, mas após votação da comunidade, decidiu emitir um novo token PASS para compensação e prometeu recomprar os tokens PASS com os lucros futuros. No entanto, até agora, nenhuma operação de recompra foi realizada.
Ronin: 620 milhões de dólares em perdas, já totalmente compensados
Em março de 2022, a cadeia Ronin por trás do Axie Infinity sofreu um grande roubo de fundos, resultando em perdas de até 620 milhões de dólares. Este ataque teve origem em um ataque de engenharia social cuidadosamente planejado, onde os atacantes se disfarçaram como uma empresa de recrutamento e conseguiram infiltrar-se no sistema da Sky Mavis, controlando finalmente vários nós de validação da rede Ronin.
Apesar de os fundos roubados não terem sido recuperados, a Sky Mavis conseguiu fornecer compensação aos usuários através de uma ronda de financiamento de 150 milhões de dólares liderada pela Binance. Vale a pena notar que, devido à queda acentuada do preço do ETH entre o ataque e o período de compensação, o valor efetivo da compensação foi reduzido em relação ao momento do ataque.
Wormhole: 326 milhões de dólares em perdas, já pagos na totalidade
No dia 3 de fevereiro de 2022, o protocolo de cadeia cruzada Wormhole foi atacado, resultando em uma perda de cerca de 120 mil ETH, no valor de 326 milhões de dólares. O atacante explorou uma vulnerabilidade na verificação de assinatura do contrato principal do Wormhole na Solana, conseguindo forjar mensagens de "guardião" para cunhar whETH.
Felizmente, a Jump Crypto (a adquirente da Certus One, a empresa desenvolvedora do Wormhole) injetou rapidamente 120 mil ETH, compensando as perdas do Wormhole e permitindo a sua recuperação.
EvoDeFi: estimativa de perdas superiores a dez milhões de dólares, ainda não resolvido
Em junho de 2022, o USDT na DEX ValleySwap do ecossistema Oasis desancorou severamente, causando grandes perdas para os usuários. O problema originou-se da falta de liquidez da ponte de cadeia cruzada EVODeFi na cadeia de origem. Embora a EVODeFi tenha atribuído o problema ao pânico gerado por FUD, a equipe oficial do Oasis já deixou claro que se desvincula da ValleySwap e da EvoDeFi, apontando que a EvoDeFi apresenta altos riscos e não foi auditada.
Atualmente, não há solução para as perdas dos usuários, os canais oficiais da ValleySwap e da EVODeFi pararam de ser atualizados, suspeitando-se que a equipe do projeto tenha fugido.
Horizon: Perda de quase 100 milhões de dólares, o plano de compensação ainda está em elaboração.
No dia 24 de junho de 2022, a ponte de cadeia cruzada Horizon da Harmony foi atacada, resultando em uma perda de cerca de 100 milhões de dólares em fundos. O fundador da Harmony, Stephen Tse, admitiu que o ataque provavelmente foi causado por uma "vazamento de chave privada". Os ativos roubados envolvem vários tokens, incluindo BUSD, USDC, ETH e WBTC.
A Harmony propôs compensar os usuários pelas perdas através da emissão adicional de tokens ONE ao longo de 3 anos, mas não conseguiu obter o apoio unânime da comunidade. Atualmente, a equipe do projeto está reformulando o plano de compensação.
Nomad: 1,9 milhões de dólares em perdas, parte dos fundos pode ser recuperada
No dia 2 de agosto de 2022, a ponte de cadeia cruzada Nomad sofreu um grave incidente de segurança, resultando na rápida perda de 190 milhões de dólares em liquidez. O incidente também afetou outro protocolo de interoperabilidade Layer2, Connext, causando uma perda colateral de cerca de 3,34 milhões de dólares.
De acordo com especialistas, o acidente ocorreu porque a Nomad inicializou incorretamente a raiz de confiança como 0x00 durante uma atualização de contrato, permitindo que qualquer pessoa retirasse fundos da ponte de cadeia cruzada utilizando transações válidas. Atualmente, alguns hackers éticos já se mostraram dispostos a devolver os fundos, mas a equipe do projeto ainda não apresentou um plano de compensação claro.
Resumo
A frequência de acidentes de segurança em pontes de cadeia cruzada ressalta a alta risco nesse campo. Mesmo as pontes de cadeia cruzada líderes de mercado como Multichain, Wormhole e Poly Network já enfrentaram problemas de segurança, o que nos alerta de que qualquer ponte de cadeia cruzada pode estar sujeita a ameaças de segurança.
Vale a pena notar que projetos de pontes de cadeia cruzada com um forte suporte de fundo e capacidade financeira, quando enfrentam acidentes de segurança, muitas vezes têm mais capacidade de recuperar ativos ou oferecer compensações aos usuários. Por exemplo, a Poly Network, a Ronin Network e a Wormhole, após sofrerem grandes roubos de fundos, conseguiram recuperar com sucesso os fundos ou realizar reembolsos totais.
Além disso, a capacidade de monitoramento em tempo real e resposta rápida da equipe é crucial. Projetos como Hop Protocol e StarGate conseguiram agir rapidamente após receberem relatórios de atividades suspeitas, conseguindo impedir ataques potenciais. Isso ressalta a importância do monitoramento contínuo e da resposta rápida na manutenção da segurança das pontes de cadeia cruzada.