Revue des incidents de sécurité des ponts cross-chain : plus de 1,9 milliard de dollars de fonds affectés, 1,55 milliard de dollars indemnisés ou récupérés
Il existe de nombreuses blockchains publiques dans l'écosystème blockchain, mais en raison du manque d'actifs mainstream, il est nécessaire d'obtenir des actifs via des bridges cross-chain à partir de blockchains publiques majeures comme Ethereum. Récemment, le domaine de la finance décentralisée (DeFi) a connu de fréquents incidents de sécurité, et les bridges cross-chain sont devenus la principale cible des attaquants en raison de leur fort mouvement de fonds. Cet article passera en revue les 10 plus grandes attaques de bridges cross-chain qui se sont produites dans le passé, ces événements impliquant un total de plus de 1,9 milliard de dollars de fonds, dont environ 1,55 milliard de dollars ont été indemnisés ou récupérés.
ChainSwap : perte de 8 millions de dollars, résolue par la réémission de jetons
En juillet 2021, ChainSwap a été victime de deux attaques de hackers en l'espace de seulement 9 jours. La première a entraîné une perte d'environ 800 000 dollars, la seconde a été encore plus grave, atteignant 8 millions de dollars, affectant plus de 20 projets utilisant ChainSwap pour des opérations de bridges cross-chain.
Une enquête montre que la cause de l'accident réside dans le fait que le protocole n'a pas strictement vérifié la validité des signatures, permettant ainsi à l'attaquant d'utiliser une signature auto-générée pour réaliser la transaction. Étant donné que les pertes concernent principalement les jetons de gouvernance des projets, plusieurs projets touchés, y compris ChainSwap, ont choisi de procéder à un instantané et d'émettre de nouveaux jetons pour indemniser les détenteurs de jetons et les fournisseurs de liquidités.
Poly Network : 6,1 millions de dollars de fonds volés récupérés intégralement
Le 10 août 2021, le protocole d'interopérabilité cross-chain Poly Network a subi une attaque massive, perdant respectivement 250 millions, 270 millions et 85 millions de dollars d'actifs sur Ethereum, Binance Smart Chain et le réseau Polygon, soit un total d'environ 610 millions de dollars.
L'attaque a principalement exploité une vulnérabilité dans la logique de gestion des droits des contrats de Poly Network. L'attaquant a réussi à modifier l'adresse des validateurs sur la chaîne cible, contrôlant ainsi les opérations de transfert d'actifs. Bien que l'attaquant ait initialement utilisé des jetons de confidentialité pour préparer les fonds, il a finalement choisi de restituer l'intégralité des fonds volés. Poly Network a par la suite qualifié cela de "hackeur à chapeau blanc" et a proposé de l'engager en tant que conseiller en sécurité principal.
Multichain : 6 millions de dollars de pertes, une partie des fonds a été remboursée
En janvier 2022, Multichain a découvert une vulnérabilité importante affectant plusieurs jetons. Bien que la vulnérabilité ait été corrigée, certains actifs des utilisateurs restent exposés à des risques. Selon le rapport officiel, 7962 adresses d'utilisateurs ont été touchées, dont 3101 adresses n'ont pas révoqué leurs autorisations à temps.
Les fonds volés comprennent 1889,6612 WETH et 833,4191 AVAX, d'une valeur d'environ 6,04 millions de dollars selon les prix d'époque. L'équipe de sécurité a analysé que la faille provenait d'une négligence de Multichain lors de la vérification de la légitimité des tokens saisis par les utilisateurs. Au moment de la publication du rapport, près de 50 % des fonds volés avaient été récupérés. Multichain a proposé de restituer cette partie des fonds aux utilisateurs ayant annulé l'autorisation de contrat, mais ne compensera plus les pertes ultérieures.
QBridge : 80 millions de dollars de pertes, seulement 2 % indemnisés
Le 28 janvier 2022, le pont cross-chain QBridge de la plateforme de prêt Qubit a été attaqué, entraînant une perte d'environ 80 millions de dollars. L'attaquant a exploité une faille dans le traitement des transferts de jetons sur liste blanche par QBridge, en ne vérifiant pas deux fois l'adresse nulle, et a créé à partir de rien un grand nombre de jetons xETH sur le réseau BSC, qu'il a ensuite utilisés pour emprunter d'autres actifs de Qubit.
Actuellement, le taux d'utilisation de Qubit a considérablement diminué, les données officielles indiquent que 98 % des fonds volés n'ont pas encore été remboursés.
Meter.io : perte de 4,4 millions de dollars, engagement à rembourser avec les revenus futurs
Le 6 février 2022, le pont cross-chain Meter Passport a été attaqué, entraînant une perte de 4,4 millions de dollars. Les responsables ont déclaré que le problème provenait d'une "hypothèse de confiance erronée" dans le code sous-jacent, permettant aux attaquants de falsifier les transferts de BNB et d'ETH.
Meter avait initialement prévu d'indemniser les utilisateurs pour leurs pertes avec le jeton MTRG, mais a ensuite décidé d'émettre un nouveau jeton PASS pour compenser, promettant de racheter ces jetons avec des bénéfices futurs. Cependant, aucune opération de rachat n'a encore été effectuée à ce jour.
Ronin : 620 millions de dollars de pertes, déjà remboursés intégralement
Fin mars 2022, le réseau Ronin derrière le jeu blockchain Axie Infinity a subi un grave incident de sécurité, entraînant une perte d'environ 620 millions de dollars. Les attaquants ont obtenu le contrôle de 5 des 9 nœuds de validation du réseau Ronin par des moyens d'ingénierie sociale, manipulant ainsi le réseau.
Bien que les fonds volés n'aient pas pu être récupérés, le développeur d'Axie Infinity, Sky Mavis, a complété un financement de 150 millions de dollars sous la direction de Binance pour indemniser les pertes des utilisateurs. À la fin juin, le pont Ronin a été remis en ligne, et les utilisateurs peuvent recevoir une indemnisation. Cependant, en raison de la forte baisse du prix de l'ETH pendant cette période, la valeur réelle de l'indemnisation a considérablement diminué.
Wormhole : 326 millions de dollars de pertes, remboursement intégral effectué
Début février 2022, le protocole cross-chain Wormhole a subi une attaque, entraînant une perte d'environ 120 000 ETH, d'une valeur de 326 millions de dollars. L'attaquant a exploité une vulnérabilité de vérification de signature dans le contrat principal Wormhole côté Solana pour falsifier un message "gardien" et frapper une grande quantité de whETH.
Après l'accident, Jump Crypto (l'acheteur de Certus One, la société de développement de Wormhole) a rapidement injecté 120 000 ETH, compensant ainsi toutes les pertes, et Wormhole a ensuite repris son fonctionnement normal.
EvoDeFi : pertes estimées à plusieurs millions de dollars, non résolues
Début juin 2022, l'USDT a connu un sérieux décrochage sur l'échange décentralisé ValleySwap de l'écosystème Oasis. Ce problème provient du manque de liquidité sur la chaîne source du pont cross-chain EVODeFi utilisé. Bien que le montant exact des pertes n'ait pas été rendu public, il est estimé à plusieurs millions de dollars.
Après l'accident, les réactions ont été diverses. EVODeFi blâme la panique du marché, tandis que les responsables d'Oasis soulignent qu'il n'y a aucun lien avec ValleySwap et EvoDeFi, et notent qu'EvoDeFi présente des risques élevés. Les utilisateurs n'ont jusqu'à présent reçu aucune compensation pour leurs pertes, et il semble que les projets concernés aient cessé leurs activités.
Horizon : pertes de près de 100 millions de dollars, le plan d'indemnisation est toujours en discussion.
Le 24 juin 2022, le pont cross-chain Horizon de la blockchain Harmony a été attaqué, entraînant une perte d'environ 100 millions de dollars. Le fondateur de Harmony a ensuite admis que l'attaque pourrait provenir d'une fuite de clé privée. Les fonds volés impliquent divers actifs sur les chaînes Ethereum et BNB.
Harmony a initialement proposé d'indemniser partiellement les utilisateurs en émettant des jetons ONE supplémentaires sur une période de 3 ans, mais n'a pas réussi à obtenir le soutien unanime de la communauté. Actuellement, l'équipe du projet est en train de redéfinir le plan d'indemnisation.
Nomad : 1,9 milliard de dollars de pertes, une partie des fonds pourrait être récupérée
Début août 2022, le pont Nomad a soudainement épuisé sa liquidité, entraînant une perte d'environ 190 millions de dollars. Les analyses montrent que le problème provient d'une erreur de bas niveau lors d'une mise à jour de contrat, permettant à quiconque de retirer des fonds du pont.
Cet événement a affecté 1251 adresses ETH, dont 12 adresses ENS représentent 38 % des pertes totales. Bien que l'équipe du projet n'ait pas encore proposé de plan de remboursement clair, certains hackers éthiques ont déjà exprimé leur volonté de restituer les fonds.
Résumé
La fréquence des accidents de sécurité des ponts cross-chain met en évidence le risque élevé dans ce domaine. Il est à noter que même des ponts figurant parmi les mieux classés en termes de liquidité, tels que Multichain, Wormhole et Poly Network, ont également rencontré des problèmes de sécurité, ce qui indique que tout pont cross-chain peut être confronté à des menaces de sécurité.
Cependant, les projets ayant un solide soutien et une forte capacité financière ont souvent un avantage lorsqu'il s'agit de gérer des incidents de sécurité. Par exemple, Poly Network, Ronin Network et Wormhole ont pu récupérer des fonds ou effectuer des remboursements complets de différentes manières après avoir été confrontés à un vol massif de fonds.
De plus, la surveillance en temps réel et la réponse rapide sont également essentielles pour prévenir les attaques. Par exemple, le Hop Protocol et StarGate ont rapidement agi après avoir détecté des activités suspectes, réussissant à empêcher des attaques potentielles.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
12 J'aime
Récompense
12
4
Partager
Commentaire
0/400
0xInsomnia
· 07-25 12:27
Regarde, j'ai déjà dit que les bridges cross-chain sont dangereux.
Voir l'originalRépondre0
MetaverseVagabond
· 07-23 16:02
Les gars n'osent même plus utiliser le cross-chain.
Voir l'originalRépondre0
blocksnark
· 07-23 15:51
1,5 milliard perdu ? Grosse perte d'accord.
Voir l'originalRépondre0
WealthCoffee
· 07-23 15:49
Les jetons récupérés dans la poubelle de l'école ont tous été perdus.
Résumé des événements d'attaque massive sur les bridges cross-chain : 1,9 milliard de dollars affectés, 1,55 milliard déjà indemnisé.
Revue des incidents de sécurité des ponts cross-chain : plus de 1,9 milliard de dollars de fonds affectés, 1,55 milliard de dollars indemnisés ou récupérés
Il existe de nombreuses blockchains publiques dans l'écosystème blockchain, mais en raison du manque d'actifs mainstream, il est nécessaire d'obtenir des actifs via des bridges cross-chain à partir de blockchains publiques majeures comme Ethereum. Récemment, le domaine de la finance décentralisée (DeFi) a connu de fréquents incidents de sécurité, et les bridges cross-chain sont devenus la principale cible des attaquants en raison de leur fort mouvement de fonds. Cet article passera en revue les 10 plus grandes attaques de bridges cross-chain qui se sont produites dans le passé, ces événements impliquant un total de plus de 1,9 milliard de dollars de fonds, dont environ 1,55 milliard de dollars ont été indemnisés ou récupérés.
ChainSwap : perte de 8 millions de dollars, résolue par la réémission de jetons
En juillet 2021, ChainSwap a été victime de deux attaques de hackers en l'espace de seulement 9 jours. La première a entraîné une perte d'environ 800 000 dollars, la seconde a été encore plus grave, atteignant 8 millions de dollars, affectant plus de 20 projets utilisant ChainSwap pour des opérations de bridges cross-chain.
Une enquête montre que la cause de l'accident réside dans le fait que le protocole n'a pas strictement vérifié la validité des signatures, permettant ainsi à l'attaquant d'utiliser une signature auto-générée pour réaliser la transaction. Étant donné que les pertes concernent principalement les jetons de gouvernance des projets, plusieurs projets touchés, y compris ChainSwap, ont choisi de procéder à un instantané et d'émettre de nouveaux jetons pour indemniser les détenteurs de jetons et les fournisseurs de liquidités.
Poly Network : 6,1 millions de dollars de fonds volés récupérés intégralement
Le 10 août 2021, le protocole d'interopérabilité cross-chain Poly Network a subi une attaque massive, perdant respectivement 250 millions, 270 millions et 85 millions de dollars d'actifs sur Ethereum, Binance Smart Chain et le réseau Polygon, soit un total d'environ 610 millions de dollars.
L'attaque a principalement exploité une vulnérabilité dans la logique de gestion des droits des contrats de Poly Network. L'attaquant a réussi à modifier l'adresse des validateurs sur la chaîne cible, contrôlant ainsi les opérations de transfert d'actifs. Bien que l'attaquant ait initialement utilisé des jetons de confidentialité pour préparer les fonds, il a finalement choisi de restituer l'intégralité des fonds volés. Poly Network a par la suite qualifié cela de "hackeur à chapeau blanc" et a proposé de l'engager en tant que conseiller en sécurité principal.
Multichain : 6 millions de dollars de pertes, une partie des fonds a été remboursée
En janvier 2022, Multichain a découvert une vulnérabilité importante affectant plusieurs jetons. Bien que la vulnérabilité ait été corrigée, certains actifs des utilisateurs restent exposés à des risques. Selon le rapport officiel, 7962 adresses d'utilisateurs ont été touchées, dont 3101 adresses n'ont pas révoqué leurs autorisations à temps.
Les fonds volés comprennent 1889,6612 WETH et 833,4191 AVAX, d'une valeur d'environ 6,04 millions de dollars selon les prix d'époque. L'équipe de sécurité a analysé que la faille provenait d'une négligence de Multichain lors de la vérification de la légitimité des tokens saisis par les utilisateurs. Au moment de la publication du rapport, près de 50 % des fonds volés avaient été récupérés. Multichain a proposé de restituer cette partie des fonds aux utilisateurs ayant annulé l'autorisation de contrat, mais ne compensera plus les pertes ultérieures.
QBridge : 80 millions de dollars de pertes, seulement 2 % indemnisés
Le 28 janvier 2022, le pont cross-chain QBridge de la plateforme de prêt Qubit a été attaqué, entraînant une perte d'environ 80 millions de dollars. L'attaquant a exploité une faille dans le traitement des transferts de jetons sur liste blanche par QBridge, en ne vérifiant pas deux fois l'adresse nulle, et a créé à partir de rien un grand nombre de jetons xETH sur le réseau BSC, qu'il a ensuite utilisés pour emprunter d'autres actifs de Qubit.
Actuellement, le taux d'utilisation de Qubit a considérablement diminué, les données officielles indiquent que 98 % des fonds volés n'ont pas encore été remboursés.
Meter.io : perte de 4,4 millions de dollars, engagement à rembourser avec les revenus futurs
Le 6 février 2022, le pont cross-chain Meter Passport a été attaqué, entraînant une perte de 4,4 millions de dollars. Les responsables ont déclaré que le problème provenait d'une "hypothèse de confiance erronée" dans le code sous-jacent, permettant aux attaquants de falsifier les transferts de BNB et d'ETH.
Meter avait initialement prévu d'indemniser les utilisateurs pour leurs pertes avec le jeton MTRG, mais a ensuite décidé d'émettre un nouveau jeton PASS pour compenser, promettant de racheter ces jetons avec des bénéfices futurs. Cependant, aucune opération de rachat n'a encore été effectuée à ce jour.
Ronin : 620 millions de dollars de pertes, déjà remboursés intégralement
Fin mars 2022, le réseau Ronin derrière le jeu blockchain Axie Infinity a subi un grave incident de sécurité, entraînant une perte d'environ 620 millions de dollars. Les attaquants ont obtenu le contrôle de 5 des 9 nœuds de validation du réseau Ronin par des moyens d'ingénierie sociale, manipulant ainsi le réseau.
Bien que les fonds volés n'aient pas pu être récupérés, le développeur d'Axie Infinity, Sky Mavis, a complété un financement de 150 millions de dollars sous la direction de Binance pour indemniser les pertes des utilisateurs. À la fin juin, le pont Ronin a été remis en ligne, et les utilisateurs peuvent recevoir une indemnisation. Cependant, en raison de la forte baisse du prix de l'ETH pendant cette période, la valeur réelle de l'indemnisation a considérablement diminué.
Wormhole : 326 millions de dollars de pertes, remboursement intégral effectué
Début février 2022, le protocole cross-chain Wormhole a subi une attaque, entraînant une perte d'environ 120 000 ETH, d'une valeur de 326 millions de dollars. L'attaquant a exploité une vulnérabilité de vérification de signature dans le contrat principal Wormhole côté Solana pour falsifier un message "gardien" et frapper une grande quantité de whETH.
Après l'accident, Jump Crypto (l'acheteur de Certus One, la société de développement de Wormhole) a rapidement injecté 120 000 ETH, compensant ainsi toutes les pertes, et Wormhole a ensuite repris son fonctionnement normal.
EvoDeFi : pertes estimées à plusieurs millions de dollars, non résolues
Début juin 2022, l'USDT a connu un sérieux décrochage sur l'échange décentralisé ValleySwap de l'écosystème Oasis. Ce problème provient du manque de liquidité sur la chaîne source du pont cross-chain EVODeFi utilisé. Bien que le montant exact des pertes n'ait pas été rendu public, il est estimé à plusieurs millions de dollars.
Après l'accident, les réactions ont été diverses. EVODeFi blâme la panique du marché, tandis que les responsables d'Oasis soulignent qu'il n'y a aucun lien avec ValleySwap et EvoDeFi, et notent qu'EvoDeFi présente des risques élevés. Les utilisateurs n'ont jusqu'à présent reçu aucune compensation pour leurs pertes, et il semble que les projets concernés aient cessé leurs activités.
Horizon : pertes de près de 100 millions de dollars, le plan d'indemnisation est toujours en discussion.
Le 24 juin 2022, le pont cross-chain Horizon de la blockchain Harmony a été attaqué, entraînant une perte d'environ 100 millions de dollars. Le fondateur de Harmony a ensuite admis que l'attaque pourrait provenir d'une fuite de clé privée. Les fonds volés impliquent divers actifs sur les chaînes Ethereum et BNB.
Harmony a initialement proposé d'indemniser partiellement les utilisateurs en émettant des jetons ONE supplémentaires sur une période de 3 ans, mais n'a pas réussi à obtenir le soutien unanime de la communauté. Actuellement, l'équipe du projet est en train de redéfinir le plan d'indemnisation.
Nomad : 1,9 milliard de dollars de pertes, une partie des fonds pourrait être récupérée
Début août 2022, le pont Nomad a soudainement épuisé sa liquidité, entraînant une perte d'environ 190 millions de dollars. Les analyses montrent que le problème provient d'une erreur de bas niveau lors d'une mise à jour de contrat, permettant à quiconque de retirer des fonds du pont.
Cet événement a affecté 1251 adresses ETH, dont 12 adresses ENS représentent 38 % des pertes totales. Bien que l'équipe du projet n'ait pas encore proposé de plan de remboursement clair, certains hackers éthiques ont déjà exprimé leur volonté de restituer les fonds.
Résumé
La fréquence des accidents de sécurité des ponts cross-chain met en évidence le risque élevé dans ce domaine. Il est à noter que même des ponts figurant parmi les mieux classés en termes de liquidité, tels que Multichain, Wormhole et Poly Network, ont également rencontré des problèmes de sécurité, ce qui indique que tout pont cross-chain peut être confronté à des menaces de sécurité.
Cependant, les projets ayant un solide soutien et une forte capacité financière ont souvent un avantage lorsqu'il s'agit de gérer des incidents de sécurité. Par exemple, Poly Network, Ronin Network et Wormhole ont pu récupérer des fonds ou effectuer des remboursements complets de différentes manières après avoir été confrontés à un vol massif de fonds.
De plus, la surveillance en temps réel et la réponse rapide sont également essentielles pour prévenir les attaques. Par exemple, le Hop Protocol et StarGate ont rapidement agi après avoir détecté des activités suspectes, réussissant à empêcher des attaques potentielles.