Обзор инцидентов безопасности кроссчейн моста: анализ 10 крупных случаев атак
В экосистеме блокчейна существует множество публичных цепей, однако из-за недостатка основных активов многие проекты вынуждены полагаться на кроссчейн мосты для получения активов из таких крупных публичных цепей, как Эфириум. Тем не менее, в последнее время в сфере DeFi часто происходят инциденты с безопасностью, и кроссчейн мосты становятся главной целью для злоумышленников из-за больших объемов денежных потоков и частых операций. В данной статье будет рассмотрено 10 крупных инцидентов с атаками на кроссчейн мосты в прошлом, чтобы напомнить командам разработчиков постоянно быть настороже к рискам безопасности. Стоит отметить, что кроссчейн проекты с сильным бэкграундом, как правило, имеют больше возможностей для возврата активов или предоставления компенсаций пользователям после инцидентов с безопасностью, поэтому выбор более сильного кроссчейн моста может быть более безопасным для пользователей.
ChainSwap: убыток в 8 миллионов долларов, повторная эмиссия токенов
В июле 2021 года ChainSwap подвергся двум атакам хакеров подряд, в результате первой потери составили около 800 000 долларов, а во второй раз ущерб достиг 8 000 000 долларов. Вторая атака оказала более широкий масштаб воздействия, затронув более 20 проектов, использующих ChainSwap для кросс-чейн операций.
В результате расследования причиной инцидента стало то, что протокол не обеспечивал строгую проверку действительности подписи, что позволило злоумышленникам использовать самостоятельно сгенерированные подписи для авторизации транзакций. Поскольку убытки в основном касались治理代币 проекта, несколько проектов, включая ChainSwap, решили провести снимок и выпустить новые токены, чтобы компенсировать держателям токенов и провайдерам ликвидности.
Poly Network: 610 миллионов долларов украдено, все возвращено
10 августа 2021 года кросс-чейн интероперационный протокол Poly Network подвергся масштабной атаке, в результате которой были потеряны активы на сумму 250 миллионов долларов на Ethereum, 270 миллионов долларов на Binance Smart Chain и 85 миллионов долларов на сети Polygon, общие потери составили 610 миллионов долларов.
Атака в основном использовала уязвимость в логике управления правами контракта Poly Network. Нападающему удалось изменить адреса валидаторов целевой цепи, получив таким образом права на подпись для перевода активов. Несмотря на то, что нападающий изначально использовал приватную монету XMR в качестве источника средств, в конечном итоге он выбрал вернуть все украденные средства. Poly Network затем назвала его "белым хакером" и предложила нанять его на должность главного консультанта по безопасности компании.
Multichain: убыток в 6 миллионов долларов, часть средств уже возвращена
В январе 2022 года Multichain обнаружила важную уязвимость, влияющую на множество токенов. Хотя уязвимость была исправлена, некоторые пользователи понесли убытки из-за несвоевременного отзыва разрешений. По статистике, было украдено 1889.6612 WETH и 833.4191 AVAX, что по тогдашним ценам составляет примерно 604 тысячи долларов.
Команда безопасности Slow Mist проанализировала и указала, что инцидент произошел из-за упущения в Multichain при проверке легитимности токенов, передаваемых пользователями, так как не все underlying токены реализовали функцию permit. На момент официального выпуска отчета о расследовании было возвращено почти 50% украденных средств. Команда предложила план возврата средств, но не будет компенсировать убытки после 18 февраля.
QBridge: Потеря 80 миллионов долларов, медленный процесс компенсации
28 января 2022 года кроссчейн мост QBridge кредитного протокола Qubit подвергся атаке, в результате которой было украдено около 80 миллионов долларов. Злоумышленники воспользовались уязвимостью в QBridge, которая заключалась в отсутствии повторной проверки нулевого адреса при обработке переводов токенов из белого списка, что позволило им без оснований создать большое количество токенов xETH на BSC и использовать эти токены для заимствования других активов из Qubit.
В настоящее время использование Qubit значительно снизилось, и по данным официальных источников, все еще 98% похищенных средств не были возмещены.
Meter.io: убытки в размере 4,4 миллиона долларов, обещание компенсировать за счет будущих доходов
6 февраля 2022 года кроссчейн мост Meter Passport подвергся атаке, что привело к убыткам в размере 4,4 миллиона долларов США. Официальные представители Meter заявили, что проблема заключалась в "ошибочном предположении доверия" в расширенном исходном коде, что позволило злоумышленникам подделывать переводы BNB и ETH.
Meter изначально планировал компенсировать убытки пользователей с помощью токена MTRG, но после голосования сообщества было решено выпустить новый токен PASS для компенсации и обещано выкупить токены PASS за счет будущих доходов. Однако на данный момент никаких операций по выкупу не проводилось.
Ronin: убытки в 620 миллионов долларов, полностью компенсированы
В марте 2022 года блокчейн Ronin, стоящий за Axie Infinity, стал жертвой масштабного кражи средств, понесших убытки до 620 миллионов долларов. Эта атака была результатом тщательно спланированной социальной инженерии, когда злоумышленники, притворившись рекрутинговой компанией, успешно проникли в систему Sky Mavis и в конечном итоге контролировали несколько узлов валидации сети Ronin.
Хотя украденные средства не были возвращены, Sky Mavis успешно предоставила компенсацию пользователям благодаря финансированию в 150 миллионов долларов, возглавленному Binance. Стоит отметить, что из-за резкого падения цены ETH в период с момента атаки до выплаты фактическая стоимость компенсации уменьшилась по сравнению с моментом атаки.
Wormhole: убытки в 326 миллионов долларов, полное возмещение
3 февраля 2022 года кросс-чейн протокол Wormhole подвергся атаке, в результате которой было потеряно около 120 000 ETH на сумму 326 миллионов долларов. Злоумышленник использовал уязвимость в проверке подписи основного контракта Wormhole на стороне Solana, успешно подделав сообщение "стража" для создания whETH.
К счастью, Jump Crypto (покупатель компании Certus One, разработчика Wormhole) быстро вложил 120000 ETH, что компенсировало убытки Wormhole и позволило ему возобновить работу.
EvoDeFi: оцененные убытки составляют десятки миллионов долларов, еще не решены
В июне 2022 года USDT на DEX Oasis ValleySwap сильно отклонился от курса, что привело к значительным потерям пользователей. Проблема возникла из-за недостатка ликвидности на исходной цепи кроссчейн моста EVODeFi. Хотя EVODeFi сваливает вину на панику, вызванную FUD, официальные представители Oasis четко дистанцировались от ValleySwap и EvoDeFi, указав на высокие риски и отсутствие аудита у EvoDeFi.
На данный момент решения по убыткам пользователей нет, официальные каналы ValleySwap и EVODeFi прекратили обновления, предполагается, что команда проекта сбежала.
Horizon: убытки почти в 100 миллионов долларов, схема компенсации все еще разрабатывается
24 июня 2022 года официальный кроссчейн мост Harmony Horizon подвергся атаке, в результате чего были потеряны около 100 миллионов долларов. Основатель Harmony Стивен Цзе признал, что атака, вероятно, произошла из-за "утечки приватного ключа". Украденные активы включают различные токены, такие как BUSD, USDC, ETH и WBTC.
Harmony ранее предлагал компенсировать убытки пользователей путем увеличения эмиссии токенов ONE в течение 3 лет, но не смог получить единогласную поддержку сообщества. В настоящее время команда проекта разрабатывает новый план компенсации.
Nomad: убытки в 190 миллионов долларов, часть средств может быть возвращена
2 августа 2022 года кроссчейн мост Nomad подвергся серьезной безопасности инциденту, в результате чего 190 миллионов долларов ликвидности быстро утекли. Инцидент также затронул другой протокол взаимодествия Layer2 Connext, что привело к сопутствующим потерям около 3,34 миллиона долларов.
По анализу экспертов, причиной данного инцидента стало то, что Nomad ошибочно инициализировал доверенный корень как 0x00 во время обновления контракта, что позволило любому человеку извлекать средства из кроссчейн моста, используя действительные транзакции. В настоящее время некоторые хакеры-белые шляпы выразили готовность вернуть средства, но проект еще не представил четкий план компенсации.
Резюме
Частые инциденты безопасности кроссчейн моста подчеркивают высокие риски в этой области. Даже такие ведущие на рынке кроссчейн мосты, как Multichain, Wormhole и Poly Network, сталкивались с проблемами безопасности, что предостерегает нас от того, что любой кроссчейн мост может столкнуться с угрозами безопасности.
Стоит отметить, что проекты кроссчейн мостов с сильным финансированием и мощным фоном, как правило, имеют больше возможностей для возврата активов или предоставления компенсации пользователям после возникновения инцидентов с безопасностью. Например, Poly Network, Ronin Network и Wormhole смогли успешно вернуть средства или произвести полное возмещение после крупных краж средств.
Кроме того, способность команды к实时监控 и быстрому реагированию также имеет решающее значение. Проекты, такие как Hop Protocol и StarGate, могут быстро реагировать на сообщения о подозрительной активности и успешно предотвращают потенциальные атаки. Это подчеркивает важность постоянного мониторинга и быстрой реакции в поддержании безопасности кроссчейн моста.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
16 Лайков
Награда
16
9
Репост
Поделиться
комментарий
0/400
retroactive_airdrop
· 07-17 13:29
кросс-чейн Как опасно
Посмотреть ОригиналОтветить0
FlashLoanLord
· 07-17 11:06
Это не новый способ разыгрывать людей как лохов?
Посмотреть ОригиналОтветить0
ForkItAll
· 07-16 16:35
команда проекта背大锅呗
Посмотреть ОригиналОтветить0
SingleForYears
· 07-14 15:23
Кто сможет это понести?
Посмотреть ОригиналОтветить0
OnchainDetective
· 07-14 15:21
кроссчейн мост真刺激 是在拿命搏啊
Посмотреть ОригиналОтветить0
ForkMaster
· 07-14 15:07
Как проект, который сам четыре раза был взломан, смеет призывать к повышению осведомленности о безопасности?
Посмотреть ОригиналОтветить0
zkProofInThePudding
· 07-14 15:02
Боится, боится, кросс-чейн больше не рискует.
Посмотреть ОригиналОтветить0
GateUser-a606bf0c
· 07-14 14:59
Проект сколько бы ни был велик, его все равно не удержать?
10 крупных случаев атак на кроссчейн мост: анализ рисков безопасности и возврат средств
Обзор инцидентов безопасности кроссчейн моста: анализ 10 крупных случаев атак
В экосистеме блокчейна существует множество публичных цепей, однако из-за недостатка основных активов многие проекты вынуждены полагаться на кроссчейн мосты для получения активов из таких крупных публичных цепей, как Эфириум. Тем не менее, в последнее время в сфере DeFi часто происходят инциденты с безопасностью, и кроссчейн мосты становятся главной целью для злоумышленников из-за больших объемов денежных потоков и частых операций. В данной статье будет рассмотрено 10 крупных инцидентов с атаками на кроссчейн мосты в прошлом, чтобы напомнить командам разработчиков постоянно быть настороже к рискам безопасности. Стоит отметить, что кроссчейн проекты с сильным бэкграундом, как правило, имеют больше возможностей для возврата активов или предоставления компенсаций пользователям после инцидентов с безопасностью, поэтому выбор более сильного кроссчейн моста может быть более безопасным для пользователей.
ChainSwap: убыток в 8 миллионов долларов, повторная эмиссия токенов
В июле 2021 года ChainSwap подвергся двум атакам хакеров подряд, в результате первой потери составили около 800 000 долларов, а во второй раз ущерб достиг 8 000 000 долларов. Вторая атака оказала более широкий масштаб воздействия, затронув более 20 проектов, использующих ChainSwap для кросс-чейн операций.
В результате расследования причиной инцидента стало то, что протокол не обеспечивал строгую проверку действительности подписи, что позволило злоумышленникам использовать самостоятельно сгенерированные подписи для авторизации транзакций. Поскольку убытки в основном касались治理代币 проекта, несколько проектов, включая ChainSwap, решили провести снимок и выпустить новые токены, чтобы компенсировать держателям токенов и провайдерам ликвидности.
Poly Network: 610 миллионов долларов украдено, все возвращено
10 августа 2021 года кросс-чейн интероперационный протокол Poly Network подвергся масштабной атаке, в результате которой были потеряны активы на сумму 250 миллионов долларов на Ethereum, 270 миллионов долларов на Binance Smart Chain и 85 миллионов долларов на сети Polygon, общие потери составили 610 миллионов долларов.
Атака в основном использовала уязвимость в логике управления правами контракта Poly Network. Нападающему удалось изменить адреса валидаторов целевой цепи, получив таким образом права на подпись для перевода активов. Несмотря на то, что нападающий изначально использовал приватную монету XMR в качестве источника средств, в конечном итоге он выбрал вернуть все украденные средства. Poly Network затем назвала его "белым хакером" и предложила нанять его на должность главного консультанта по безопасности компании.
Multichain: убыток в 6 миллионов долларов, часть средств уже возвращена
В январе 2022 года Multichain обнаружила важную уязвимость, влияющую на множество токенов. Хотя уязвимость была исправлена, некоторые пользователи понесли убытки из-за несвоевременного отзыва разрешений. По статистике, было украдено 1889.6612 WETH и 833.4191 AVAX, что по тогдашним ценам составляет примерно 604 тысячи долларов.
Команда безопасности Slow Mist проанализировала и указала, что инцидент произошел из-за упущения в Multichain при проверке легитимности токенов, передаваемых пользователями, так как не все underlying токены реализовали функцию permit. На момент официального выпуска отчета о расследовании было возвращено почти 50% украденных средств. Команда предложила план возврата средств, но не будет компенсировать убытки после 18 февраля.
QBridge: Потеря 80 миллионов долларов, медленный процесс компенсации
28 января 2022 года кроссчейн мост QBridge кредитного протокола Qubit подвергся атаке, в результате которой было украдено около 80 миллионов долларов. Злоумышленники воспользовались уязвимостью в QBridge, которая заключалась в отсутствии повторной проверки нулевого адреса при обработке переводов токенов из белого списка, что позволило им без оснований создать большое количество токенов xETH на BSC и использовать эти токены для заимствования других активов из Qubit.
В настоящее время использование Qubit значительно снизилось, и по данным официальных источников, все еще 98% похищенных средств не были возмещены.
Meter.io: убытки в размере 4,4 миллиона долларов, обещание компенсировать за счет будущих доходов
6 февраля 2022 года кроссчейн мост Meter Passport подвергся атаке, что привело к убыткам в размере 4,4 миллиона долларов США. Официальные представители Meter заявили, что проблема заключалась в "ошибочном предположении доверия" в расширенном исходном коде, что позволило злоумышленникам подделывать переводы BNB и ETH.
Meter изначально планировал компенсировать убытки пользователей с помощью токена MTRG, но после голосования сообщества было решено выпустить новый токен PASS для компенсации и обещано выкупить токены PASS за счет будущих доходов. Однако на данный момент никаких операций по выкупу не проводилось.
Ronin: убытки в 620 миллионов долларов, полностью компенсированы
В марте 2022 года блокчейн Ronin, стоящий за Axie Infinity, стал жертвой масштабного кражи средств, понесших убытки до 620 миллионов долларов. Эта атака была результатом тщательно спланированной социальной инженерии, когда злоумышленники, притворившись рекрутинговой компанией, успешно проникли в систему Sky Mavis и в конечном итоге контролировали несколько узлов валидации сети Ronin.
Хотя украденные средства не были возвращены, Sky Mavis успешно предоставила компенсацию пользователям благодаря финансированию в 150 миллионов долларов, возглавленному Binance. Стоит отметить, что из-за резкого падения цены ETH в период с момента атаки до выплаты фактическая стоимость компенсации уменьшилась по сравнению с моментом атаки.
Wormhole: убытки в 326 миллионов долларов, полное возмещение
3 февраля 2022 года кросс-чейн протокол Wormhole подвергся атаке, в результате которой было потеряно около 120 000 ETH на сумму 326 миллионов долларов. Злоумышленник использовал уязвимость в проверке подписи основного контракта Wormhole на стороне Solana, успешно подделав сообщение "стража" для создания whETH.
К счастью, Jump Crypto (покупатель компании Certus One, разработчика Wormhole) быстро вложил 120000 ETH, что компенсировало убытки Wormhole и позволило ему возобновить работу.
EvoDeFi: оцененные убытки составляют десятки миллионов долларов, еще не решены
В июне 2022 года USDT на DEX Oasis ValleySwap сильно отклонился от курса, что привело к значительным потерям пользователей. Проблема возникла из-за недостатка ликвидности на исходной цепи кроссчейн моста EVODeFi. Хотя EVODeFi сваливает вину на панику, вызванную FUD, официальные представители Oasis четко дистанцировались от ValleySwap и EvoDeFi, указав на высокие риски и отсутствие аудита у EvoDeFi.
На данный момент решения по убыткам пользователей нет, официальные каналы ValleySwap и EVODeFi прекратили обновления, предполагается, что команда проекта сбежала.
Horizon: убытки почти в 100 миллионов долларов, схема компенсации все еще разрабатывается
24 июня 2022 года официальный кроссчейн мост Harmony Horizon подвергся атаке, в результате чего были потеряны около 100 миллионов долларов. Основатель Harmony Стивен Цзе признал, что атака, вероятно, произошла из-за "утечки приватного ключа". Украденные активы включают различные токены, такие как BUSD, USDC, ETH и WBTC.
Harmony ранее предлагал компенсировать убытки пользователей путем увеличения эмиссии токенов ONE в течение 3 лет, но не смог получить единогласную поддержку сообщества. В настоящее время команда проекта разрабатывает новый план компенсации.
Nomad: убытки в 190 миллионов долларов, часть средств может быть возвращена
2 августа 2022 года кроссчейн мост Nomad подвергся серьезной безопасности инциденту, в результате чего 190 миллионов долларов ликвидности быстро утекли. Инцидент также затронул другой протокол взаимодествия Layer2 Connext, что привело к сопутствующим потерям около 3,34 миллиона долларов.
По анализу экспертов, причиной данного инцидента стало то, что Nomad ошибочно инициализировал доверенный корень как 0x00 во время обновления контракта, что позволило любому человеку извлекать средства из кроссчейн моста, используя действительные транзакции. В настоящее время некоторые хакеры-белые шляпы выразили готовность вернуть средства, но проект еще не представил четкий план компенсации.
Резюме
Частые инциденты безопасности кроссчейн моста подчеркивают высокие риски в этой области. Даже такие ведущие на рынке кроссчейн мосты, как Multichain, Wormhole и Poly Network, сталкивались с проблемами безопасности, что предостерегает нас от того, что любой кроссчейн мост может столкнуться с угрозами безопасности.
Стоит отметить, что проекты кроссчейн мостов с сильным финансированием и мощным фоном, как правило, имеют больше возможностей для возврата активов или предоставления компенсации пользователям после возникновения инцидентов с безопасностью. Например, Poly Network, Ronin Network и Wormhole смогли успешно вернуть средства или произвести полное возмещение после крупных краж средств.
Кроме того, способность команды к实时监控 и быстрому реагированию также имеет решающее значение. Проекты, такие как Hop Protocol и StarGate, могут быстро реагировать на сообщения о подозрительной активности и успешно предотвращают потенциальные атаки. Это подчеркивает важность постоянного мониторинга и быстрой реакции в поддержании безопасности кроссчейн моста.