Огляд аварій безпеки кросчейн мостів: аналіз 10 значних атак
У екосистемі блокчейн існує безліч публічних блокчейнів, але через брак основних активів багато проектів змушені покладатися на кросчейн мости для отримання активів з основних публічних блокчейнів, таких як Ethereum. Проте, останнім часом в сфері DeFi часто трапляються інциденти безпеки, і кросчейн мости через великі обсяги фінансів та часті операції стали основною мішенню для нападників. У цій статті буде розглянуто 10 значних атак на кросчейн мости, що відбулися в минулому, щоб нагадати командами розробників завжди бути обережними щодо ризиків безпеки. Варто зазначити, що проекти кросчейн мостів з потужним бекграундом, як правило, мають більше можливостей для повернення активів або надання компенсацій користувачам після інцидентів безпеки, тому вибір більш надійних кросчейн мостів може бути безпечнішим для користувачів.
ChainSwap: збитки в 8 мільйонів доларів, повторна емісія токенів
У липні 2021 року ChainSwap зазнав двох хакерських атак, під час першої було втрачено близько 800 тисяч доларів, а під час другої – до 8 мільйонів доларів. Друга атака вплинула на широкий спектр, постраждали понад 20 проектів, які використовували ChainSwap для крос-ланцюга.
Після розслідування виявлено, що причиною інциденту стало те, що протокол не перевіряв дійсність підписів. Це дозволило зловмисникам використовувати самостійно згенеровані підписи для авторизації транзакцій. Оскільки втрати в основному стосуються управлінських токенів проекту, кілька проектів, включаючи ChainSwap, вирішили провести знімок і випустити нові токени, щоб компенсувати тримачів токенів та постачальників ліквідності.
Poly Network: 6,1 мільярда доларів було вкрадено, усі кошти повернені
10 серпня 2021 року крос-ланцюгова інтерактивна протокол Poly Network зазнала масованої атаки, в результаті якої на Ethereum, Binance Smart Chain і Polygon було втрачено відповідно 250 мільйонів, 270 мільйонів і 85 мільйонів доларів США, загальні втрати склали 610 мільйонів доларів США.
Атака в основному використовувала вразливості в логіці управління контрактами Poly Network. Зловмисник успішно змінив адресу валідатора цільового ланцюга, отримавши права на підписання трансакцій активів. Незважаючи на те, що спочатку зловмисник використовував приватну монету XMR як джерело фінансування, врешті-решт він вирішив повернути всі вкрадені кошти. Poly Network потім назвав його "білим капелюшником" та запропонував найняти його на посаду головного безпекового консультанта компанії.
Multichain: збитки у 6 мільйонів доларів, частину коштів вже повернуто
У січні 2022 року Multichain виявив важливу вразливість, яка вплинула на кілька токенів. Хоча вразливість була виправлена, деякі користувачі зазнали збитків через те, що не встигли відкликати авторизацію. За статистикою, було вкрадено 1889.6612 WETH та 833.4191 AVAX, що за тодішніми цінами становило приблизно 604 тисячі доларів.
Команда безпеки Slow Mist проаналізувала та вказала, що ця аварія сталася через недоліки в Multichain при перевірці законності токенів, що надходять від користувачів, оскільки не було враховано, що не всі underlying токени реалізують функцію permit. Станом на момент офіційного випуску звіту про розслідування, вже було повернуто майже 50% вкрадених коштів. Команда запропонувала план повернення коштів, але не буде відшкодовувати збитки, понесені після 18 лютого.
QBridge: $80 мільйонів збитків, прогрес відшкодування повільний
28 січня 2022 року кросчейн міст QBridge кредитного протоколу Qubit зазнав атаки, внаслідок якої було втрачено близько 80 мільйонів доларів. Зловмисники скористалися вразливістю QBridge, яка полягала в тому, що під час обробки переказів токенів зі списку білої адреси не було повторно перевірено нульову адресу, успішно створивши в BSC велику кількість токенів xETH з повітря, а потім використали ці токени для отримання інших активів від Qubit.
Наразі використання Qubit суттєво знизилося, офіційні дані показують, що досі 98% вкрадених коштів не було відшкодовано.
Meter.io: втрати 4,4 мільйона доларів, обіцянка компенсувати з майбутнього доходу
6 лютого 2022 року кросчейн міст Meter Passport зазнав атаки, внаслідок якої було завдано збитків у розмірі 4,4 мільйона доларів. Офіційні представники Meter заявили, що проблема полягала в "помилкових припущеннях довіри" в розширеному коді, що дозволило зловмисникам підробити перекази BNB та ETH.
Meter спочатку планував компенсувати збитки користувачів за допомогою токенів MTRG, але після голосування громади було вирішено випустити нові токени PASS для компенсації і пообіцяли викупити токени PASS за рахунок майбутніх доходів. Проте наразі жодних операцій з викупу не було проведено.
Ronin: збитки в розмірі 6,2 мільярда доларів, виплачено в повному обсязі
У березні 2022 року блокчейн Ronin, що стоїть за Axie Infinity, зазнав масового крадіжки коштів, збитки склали до 620 мільйонів доларів США. Ця атака стала наслідком ретельно спланованої соціальної інженерії, зловмисники, видаючи себе за рекрутингову компанію, успішно проникли в систему Sky Mavis і врешті-решт отримали контроль над кількома валідаційними вузлами мережі Ronin.
Незважаючи на те, що вкрадені кошти не вдалося повернути, Sky Mavis успішно забезпечила компенсацію користувачам завдяки фінансуванню в 150 мільйонів доларів, яке очолила Binance. Варто зазначити, що через різке падіння ціни ETH під час атаки до виплати фактична вартість компенсації зменшилася в порівнянні з моментом атаки.
Wormhole: втрати в 326 мільйонів доларів США, вже повністю компенсовано
3 лютого 2022 року кросчейн протокол Wormhole зазнав атаки, внаслідок чого було втрачено близько 120 000 ETH на суму 326 мільйонів доларів. Зловмисник скористався вразливістю в перевірці підпису основного контракту Wormhole на стороні Solana, успішно підробивши повідомлення "опікуна" для випуску whETH.
На щастя, Jump Crypto (придбана компанія Certus One, розробник Wormhole) швидко вклала 120 000 ETH, щоб компенсувати втрати Wormhole, що дозволило йому відновити свою діяльність.
EvoDeFi: оцінені збитки понад десять мільйонів доларів, ще не вирішено
У червні 2022 року USDT на Oasis екосистемі DEX ValleySwap серйозно відхилився від прив'язки, що призвело до значних втрат для багатьох користувачів. Проблема виникла через недостатню ліквідність у кросчейн мосту EVODeFi на вихідному ланцюзі. Хоча EVODeFi звинуватив в проблемі паніку, викликану FUD, офіційні представники Oasis чітко відмежували себе від ValleySwap та EvoDeFi, вказавши, що EvoDeFi має високі ризики і не проходила аудит.
Наразі немає рішення для втрат користувачів, офіційні канали ValleySwap та EVODeFi припинили оновлення, підозрюється, що команда проекту втекла.
Horizon: майже 100 мільйонів доларів збитків, план компенсації все ще розробляється
24 червня 2022 року офіційний кросчейн міст Harmony Horizon зазнав атаки, що призвело до втрат близько 100 мільйонів доларів. Засновник Harmony Стівен Цзе визнав, що атака, мабуть, сталася через "витік приватного ключа". Викрадені активи включають різні токени, зокрема BUSD, USDC, ETH та WBTC.
Harmony раніше пропонував відшкодувати користувачам збитки шляхом випуску додаткових токенів ONE протягом 3 років, але не зміг отримати одностайну підтримку спільноти. Наразі команда проекту працює над новим планом компенсації.
Nomad: збитки в 1,9 мільярда доларів, частину коштів можливо повернути
2 серпня 2022 року Nomad кросчейн міст зазнав серйозної безпекової аварії, в результаті якої швидко зникло 190 мільйонів доларів ліквідності. Аварія також вплинула на ще один протокол міжоперабельності Layer2 Connext, що призвело до приблизно 3,34 мільйона доларів супутніх збитків.
За словами експертів, ця аварія сталася через те, що Nomad під час оновлення контракту невірно ініціалізував довірений корінь на 0x00, що дозволило будь-кому використовувати дійсні транзакції для вилучення коштів з кросчейн мосту. Наразі частина білих хакерів висловила готовність повернути кошти, але проектна команда ще не надала чіткої схеми компенсації.
Підсумок
Часті випадки аварій кросчейн мостів підкреслюють високий ризик у цій галузі. Навіть провідні кросчейн мости, такі як Multichain, Wormhole та Poly Network, стикалися з проблемами безпеки, що попереджає нас про те, що будь-який кросчейн міст може зіткнутися з загрозами безпеці.
Варто зазначити, що проекти кросчейн міст з потужним бекґраундом та фінансовими можливостями, стикаючись із безпековими інцидентами, зазвичай мають більше можливостей для повернення активів або надання компенсацій користувачам. Наприклад, Poly Network, Ronin Network та Wormhole, стикнувшись з масштабним викраденням коштів, змогли успішно повернути кошти або провести повну компенсацію.
Крім того, важливою є здатність команди до моніторингу в реальному часі та швидкого реагування. Проекти, такі як Hop Protocol та StarGate, змогли швидко вжити заходів після отримання звіту про підозрілу діяльність, успішно зупинивши потенційні атаки. Це підкреслює важливість безперервного моніторингу та швидкої реакції в забезпеченні безпеки кросчейн мостів.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
16 лайків
Нагородити
16
9
Репост
Поділіться
Прокоментувати
0/400
retroactive_airdrop
· 07-17 13:29
крос-ланцюг Добре небезпечно а
Переглянути оригіналвідповісти на0
FlashLoanLord
· 07-17 11:06
Це не новий спосіб обдурювати людей, як лохів.
Переглянути оригіналвідповісти на0
ForkItAll
· 07-16 16:35
вечірка проєкту背大锅呗
Переглянути оригіналвідповісти на0
SingleForYears
· 07-14 15:23
Хто зможе нести цю вагу?
Переглянути оригіналвідповісти на0
OnchainDetective
· 07-14 15:21
кросчейн міст справді захоплюючий, це гра на виживання.
Переглянути оригіналвідповісти на0
ForkMaster
· 07-14 15:07
Проект, який сам зламався чотири рази, має обличчя радити підвищити обізнаність про безпеку?
10 великих випадків атак на кросчейн мости: аналіз ризиків безпеки та повернення коштів
Огляд аварій безпеки кросчейн мостів: аналіз 10 значних атак
У екосистемі блокчейн існує безліч публічних блокчейнів, але через брак основних активів багато проектів змушені покладатися на кросчейн мости для отримання активів з основних публічних блокчейнів, таких як Ethereum. Проте, останнім часом в сфері DeFi часто трапляються інциденти безпеки, і кросчейн мости через великі обсяги фінансів та часті операції стали основною мішенню для нападників. У цій статті буде розглянуто 10 значних атак на кросчейн мости, що відбулися в минулому, щоб нагадати командами розробників завжди бути обережними щодо ризиків безпеки. Варто зазначити, що проекти кросчейн мостів з потужним бекграундом, як правило, мають більше можливостей для повернення активів або надання компенсацій користувачам після інцидентів безпеки, тому вибір більш надійних кросчейн мостів може бути безпечнішим для користувачів.
ChainSwap: збитки в 8 мільйонів доларів, повторна емісія токенів
У липні 2021 року ChainSwap зазнав двох хакерських атак, під час першої було втрачено близько 800 тисяч доларів, а під час другої – до 8 мільйонів доларів. Друга атака вплинула на широкий спектр, постраждали понад 20 проектів, які використовували ChainSwap для крос-ланцюга.
Після розслідування виявлено, що причиною інциденту стало те, що протокол не перевіряв дійсність підписів. Це дозволило зловмисникам використовувати самостійно згенеровані підписи для авторизації транзакцій. Оскільки втрати в основному стосуються управлінських токенів проекту, кілька проектів, включаючи ChainSwap, вирішили провести знімок і випустити нові токени, щоб компенсувати тримачів токенів та постачальників ліквідності.
Poly Network: 6,1 мільярда доларів було вкрадено, усі кошти повернені
10 серпня 2021 року крос-ланцюгова інтерактивна протокол Poly Network зазнала масованої атаки, в результаті якої на Ethereum, Binance Smart Chain і Polygon було втрачено відповідно 250 мільйонів, 270 мільйонів і 85 мільйонів доларів США, загальні втрати склали 610 мільйонів доларів США.
Атака в основному використовувала вразливості в логіці управління контрактами Poly Network. Зловмисник успішно змінив адресу валідатора цільового ланцюга, отримавши права на підписання трансакцій активів. Незважаючи на те, що спочатку зловмисник використовував приватну монету XMR як джерело фінансування, врешті-решт він вирішив повернути всі вкрадені кошти. Poly Network потім назвав його "білим капелюшником" та запропонував найняти його на посаду головного безпекового консультанта компанії.
Multichain: збитки у 6 мільйонів доларів, частину коштів вже повернуто
У січні 2022 року Multichain виявив важливу вразливість, яка вплинула на кілька токенів. Хоча вразливість була виправлена, деякі користувачі зазнали збитків через те, що не встигли відкликати авторизацію. За статистикою, було вкрадено 1889.6612 WETH та 833.4191 AVAX, що за тодішніми цінами становило приблизно 604 тисячі доларів.
Команда безпеки Slow Mist проаналізувала та вказала, що ця аварія сталася через недоліки в Multichain при перевірці законності токенів, що надходять від користувачів, оскільки не було враховано, що не всі underlying токени реалізують функцію permit. Станом на момент офіційного випуску звіту про розслідування, вже було повернуто майже 50% вкрадених коштів. Команда запропонувала план повернення коштів, але не буде відшкодовувати збитки, понесені після 18 лютого.
QBridge: $80 мільйонів збитків, прогрес відшкодування повільний
28 січня 2022 року кросчейн міст QBridge кредитного протоколу Qubit зазнав атаки, внаслідок якої було втрачено близько 80 мільйонів доларів. Зловмисники скористалися вразливістю QBridge, яка полягала в тому, що під час обробки переказів токенів зі списку білої адреси не було повторно перевірено нульову адресу, успішно створивши в BSC велику кількість токенів xETH з повітря, а потім використали ці токени для отримання інших активів від Qubit.
Наразі використання Qubit суттєво знизилося, офіційні дані показують, що досі 98% вкрадених коштів не було відшкодовано.
Meter.io: втрати 4,4 мільйона доларів, обіцянка компенсувати з майбутнього доходу
6 лютого 2022 року кросчейн міст Meter Passport зазнав атаки, внаслідок якої було завдано збитків у розмірі 4,4 мільйона доларів. Офіційні представники Meter заявили, що проблема полягала в "помилкових припущеннях довіри" в розширеному коді, що дозволило зловмисникам підробити перекази BNB та ETH.
Meter спочатку планував компенсувати збитки користувачів за допомогою токенів MTRG, але після голосування громади було вирішено випустити нові токени PASS для компенсації і пообіцяли викупити токени PASS за рахунок майбутніх доходів. Проте наразі жодних операцій з викупу не було проведено.
Ronin: збитки в розмірі 6,2 мільярда доларів, виплачено в повному обсязі
У березні 2022 року блокчейн Ronin, що стоїть за Axie Infinity, зазнав масового крадіжки коштів, збитки склали до 620 мільйонів доларів США. Ця атака стала наслідком ретельно спланованої соціальної інженерії, зловмисники, видаючи себе за рекрутингову компанію, успішно проникли в систему Sky Mavis і врешті-решт отримали контроль над кількома валідаційними вузлами мережі Ronin.
Незважаючи на те, що вкрадені кошти не вдалося повернути, Sky Mavis успішно забезпечила компенсацію користувачам завдяки фінансуванню в 150 мільйонів доларів, яке очолила Binance. Варто зазначити, що через різке падіння ціни ETH під час атаки до виплати фактична вартість компенсації зменшилася в порівнянні з моментом атаки.
Wormhole: втрати в 326 мільйонів доларів США, вже повністю компенсовано
3 лютого 2022 року кросчейн протокол Wormhole зазнав атаки, внаслідок чого було втрачено близько 120 000 ETH на суму 326 мільйонів доларів. Зловмисник скористався вразливістю в перевірці підпису основного контракту Wormhole на стороні Solana, успішно підробивши повідомлення "опікуна" для випуску whETH.
На щастя, Jump Crypto (придбана компанія Certus One, розробник Wormhole) швидко вклала 120 000 ETH, щоб компенсувати втрати Wormhole, що дозволило йому відновити свою діяльність.
EvoDeFi: оцінені збитки понад десять мільйонів доларів, ще не вирішено
У червні 2022 року USDT на Oasis екосистемі DEX ValleySwap серйозно відхилився від прив'язки, що призвело до значних втрат для багатьох користувачів. Проблема виникла через недостатню ліквідність у кросчейн мосту EVODeFi на вихідному ланцюзі. Хоча EVODeFi звинуватив в проблемі паніку, викликану FUD, офіційні представники Oasis чітко відмежували себе від ValleySwap та EvoDeFi, вказавши, що EvoDeFi має високі ризики і не проходила аудит.
Наразі немає рішення для втрат користувачів, офіційні канали ValleySwap та EVODeFi припинили оновлення, підозрюється, що команда проекту втекла.
Horizon: майже 100 мільйонів доларів збитків, план компенсації все ще розробляється
24 червня 2022 року офіційний кросчейн міст Harmony Horizon зазнав атаки, що призвело до втрат близько 100 мільйонів доларів. Засновник Harmony Стівен Цзе визнав, що атака, мабуть, сталася через "витік приватного ключа". Викрадені активи включають різні токени, зокрема BUSD, USDC, ETH та WBTC.
Harmony раніше пропонував відшкодувати користувачам збитки шляхом випуску додаткових токенів ONE протягом 3 років, але не зміг отримати одностайну підтримку спільноти. Наразі команда проекту працює над новим планом компенсації.
Nomad: збитки в 1,9 мільярда доларів, частину коштів можливо повернути
2 серпня 2022 року Nomad кросчейн міст зазнав серйозної безпекової аварії, в результаті якої швидко зникло 190 мільйонів доларів ліквідності. Аварія також вплинула на ще один протокол міжоперабельності Layer2 Connext, що призвело до приблизно 3,34 мільйона доларів супутніх збитків.
За словами експертів, ця аварія сталася через те, що Nomad під час оновлення контракту невірно ініціалізував довірений корінь на 0x00, що дозволило будь-кому використовувати дійсні транзакції для вилучення коштів з кросчейн мосту. Наразі частина білих хакерів висловила готовність повернути кошти, але проектна команда ще не надала чіткої схеми компенсації.
Підсумок
Часті випадки аварій кросчейн мостів підкреслюють високий ризик у цій галузі. Навіть провідні кросчейн мости, такі як Multichain, Wormhole та Poly Network, стикалися з проблемами безпеки, що попереджає нас про те, що будь-який кросчейн міст може зіткнутися з загрозами безпеці.
Варто зазначити, що проекти кросчейн міст з потужним бекґраундом та фінансовими можливостями, стикаючись із безпековими інцидентами, зазвичай мають більше можливостей для повернення активів або надання компенсацій користувачам. Наприклад, Poly Network, Ronin Network та Wormhole, стикнувшись з масштабним викраденням коштів, змогли успішно повернути кошти або провести повну компенсацію.
Крім того, важливою є здатність команди до моніторингу в реальному часі та швидкого реагування. Проекти, такі як Hop Protocol та StarGate, змогли швидко вжити заходів після отримання звіту про підозрілу діяльність, успішно зупинивши потенційні атаки. Це підкреслює важливість безперервного моніторингу та швидкої реакції в забезпеченні безпеки кросчейн мостів.