Revisão de incidentes de segurança de pontes de cadeia cruzada: mais de 1,9 mil milhões de dólares em fundos afetados, 1,55 mil milhões de dólares recebidos como compensação ou recuperados
Existem muitas blockchains públicas no ecossistema de blockchain, mas devido à falta de ativos mainstream, é necessário obter ativos através de pontes de cadeia cruzada a partir de blockchains públicas principais, como a Ethereum. Recentemente, o campo das finanças descentralizadas ( DeFi ) tem enfrentado frequentes incidentes de segurança, e as pontes de cadeia cruzada tornaram-se o principal alvo dos atacantes devido ao seu grande fluxo de capital. Este artigo revisará os 10 maiores incidentes de ataque a pontes de cadeia cruzada que ocorreram no passado, totalizando mais de 1,9 bilhões de dólares em fundos, dos quais cerca de 1,55 bilhões de dólares já foram compensados ou recuperados.
ChainSwap: 8 milhões de dólares em perdas, resolvidas através da reemissão de tokens
Em julho de 2021, o ChainSwap sofreu dois ataques cibernéticos em apenas 9 dias. O primeiro causou uma perda de cerca de 800.000 dólares, enquanto o segundo teve um impacto ainda mais grave, chegando a 8 milhões de dólares, afetando mais de 20 projetos que utilizavam o ChainSwap para operações de cadeia cruzada.
A investigação mostra que a causa do acidente se deve ao fato de que o protocolo não verificou rigorosamente a validade da assinatura, permitindo que o atacante utilizasse uma assinatura gerada por ele para completar a transação. Como as perdas envolviam principalmente os tokens de governança do projeto, vários projetos afetados, incluindo o ChainSwap, optaram por fazer um snapshot e emitir novos tokens para compensar os detentores de tokens e provedores de liquidez.
Poly Network: 610 milhões de dólares em fundos roubados recuperados na totalidade
No dia 10 de agosto de 2021, o protocolo de interoperabilidade de cadeia cruzada Poly Network sofreu um ataque em grande escala, resultando na perda de 250 milhões, 270 milhões e 85 milhões de dólares em ativos nas redes Ethereum, Binance Smart Chain e Polygon, totalizando cerca de 610 milhões de dólares.
O ataque aproveitou principalmente a vulnerabilidade na lógica de gestão de permissões do contrato da Poly Network. O atacante conseguiu modificar o endereço dos validadores na cadeia-alvo, controlando assim as operações de transferência de ativos. Apesar de o atacante inicialmente ter utilizado tokens de privacidade para preparar os fundos, acabou por escolher devolver todo o dinheiro roubado. A Poly Network mais tarde referiu-se a ele como um hacker "white hat" e propôs contratá-lo como consultor de segurança principal.
Multichain: perda de 6 milhões de dólares, parte dos fundos já foi reembolsada
Em janeiro de 2022, a Multichain descobriu uma vulnerabilidade importante que afetava vários tokens. Embora a vulnerabilidade tenha sido corrigida, alguns ativos dos usuários ainda enfrentam riscos. Segundo o relatório oficial, um total de 7962 endereços de usuários foram afetados, dos quais 3101 endereços não revogaram a autorização a tempo.
Os fundos roubados incluem 1889.6612 WETH e 833.4191 AVAX, com um valor aproximado de 6 milhões de dólares segundo os preços da época. A equipe de segurança analisou e apontou que a vulnerabilidade se originou de uma negligência do Multichain ao verificar a legitimidade dos tokens inseridos pelos usuários. Até a publicação do relatório, quase 50% dos fundos roubados foram recuperados. O Multichain propôs devolver essa parte dos fundos aos usuários que revogaram a autorização do contrato, mas não irá compensar perdas futuras.
QBridge: 80 milhões de dólares em perdas, apenas 2% receberam compensação
No dia 28 de janeiro de 2022, a ponte de cadeia cruzada QBridge da plataforma de empréstimos Qubit foi atacada, resultando em uma perda de cerca de 80 milhões de dólares. O atacante explorou a falha do QBridge ao não verificar novamente o endereço zero ao processar transferências de tokens na lista branca, forjando uma grande quantidade de tokens xETH na rede BSC e utilizando esses tokens para emprestar outros ativos da Qubit.
Atualmente, a taxa de utilização do Qubit caiu significativamente, e os dados oficiais mostram que 98% dos fundos roubados ainda não foram compensados.
Meter.io: perda de 4,4 milhões de dólares, compromisso de compensar com receitas futuras
No dia 6 de fevereiro de 2022, a ponte de cadeia cruzada Meter Passport foi atacada, resultando em uma perda de 4,4 milhões de dólares. A equipe oficial afirmou que o problema estava na "supondo confiança errônea" do código subjacente, permitindo que os atacantes falsificassem transferências de BNB e ETH.
A Meter inicialmente planejou compensar os usuários pelas perdas com o token MTRG, mas depois decidiu emitir um novo token PASS para a compensação, prometendo recomprar esses tokens com os lucros futuros. No entanto, até o momento, nenhuma operação de recompra foi realizada.
Ronin: 620 milhões de dólares em perdas, já pagos na totalidade
No final de março de 2022, a rede Ronin por trás do jogo de blockchain Axie Infinity sofreu um grave acidente de segurança, resultando em uma perda de cerca de 620 milhões de dólares. Os atacantes obtiveram o controle de 5 dos 9 nós de validação da rede Ronin através de engenharia social, manipulando assim a rede.
Embora os fundos roubados não tenham sido recuperados, a desenvolvedora do Axie Infinity, Sky Mavis, conseguiu angariar 150 milhões de dólares com a liderança da Binance para compensar as perdas dos usuários. No final de junho, a ponte Ronin foi relançada, permitindo que os usuários recebessem compensação. No entanto, devido à queda acentuada do preço do ETH durante este período, o valor real da compensação diminuiu significativamente.
Wormhole: 326 milhões de dólares em perdas, já totalmente compensadas
No início de fevereiro de 2022, o protocolo de cadeia cruzada Wormhole foi atacado, resultando na perda de cerca de 120.000 ETH, no valor de 326 milhões de dólares. O atacante explorou uma vulnerabilidade de verificação de assinatura no contrato principal do Wormhole na rede Solana, falsificando mensagens de "guardião" para cunhar uma grande quantidade de whETH.
Após o acidente, a Jump Crypto (compradora da Certus One, desenvolvedora do Wormhole) rapidamente injetou 120.000 ETH, compensando todas as perdas, e o Wormhole voltou a funcionar normalmente.
EvoDeFi: Estimativa de perdas superiores a dez milhões de dólares, sem solução.
No início de junho de 2022, o USDT na exchange descentralizada ValleySwap do ecossistema Oasis sofreu um desvio sério. Este problema decorreu da falta de liquidez na cadeia de origem da ponte de cadeia cruzada EVODeFi que estava sendo utilizada. Embora o montante exato da perda não tenha sido tornado público, estima-se que seja na ordem de dezenas de milhões de dólares.
Após o acidente, as reações foram diversas. A EVODeFi atribuiu a culpa ao pânico do mercado, enquanto a Oasis enfatizou que não tem relação com a ValleySwap e a EvoDeFi, e apontou que a EvoDeFi apresenta altos riscos. Até agora, os usuários não receberam qualquer compensação pelas perdas, e os projetos envolvidos parecem ter parado de operar.
Horizon: Perda de quase 100 milhões de dólares, plano de compensação ainda em discussão.
No dia 24 de junho de 2022, a ponte de cadeia cruzada oficial da blockchain Harmony, Horizon, foi atacada, resultando em uma perda de cerca de 100 milhões de dólares. O fundador da Harmony reconheceu posteriormente que o ataque pode ter origem em uma divulgação de chave privada. Os fundos roubados envolveram vários ativos nas cadeias Ethereum e BNB.
A Harmony inicialmente propôs aumentar a emissão de tokens ONE ao longo de 3 anos para compensar parcialmente as perdas dos usuários, mas não conseguiu obter o apoio unânime da comunidade. Atualmente, a equipe do projeto está reformulando o plano de compensação.
Nomad: 190 milhões de dólares em perdas, parte dos fundos pode ser recuperada
No início de agosto de 2022, a ponte Nomad sofreu uma súbita falta de liquidez, resultando numa perda de cerca de 190 milhões de dólares. A análise mostrou que o problema se originou de um erro trivial numa atualização de contrato, que permitiu que qualquer pessoa retirasse fundos da ponte.
Este evento afetou 1251 endereços ETH, dos quais 12 endereços ENS representam 38% da perda total. Embora a equipe do projeto ainda não tenha apresentado um plano de compensação claro, alguns hackers éticos já se mostraram dispostos a devolver os fundos.
Resumo
A frequência de acidentes de segurança em pontes de cadeia cruzada destaca a alta risco desse setor. Vale a pena notar que até mesmo as pontes com alta classificação de liquidez, como Multichain, Wormhole e Poly Network, já enfrentaram problemas de segurança, o que indica que qualquer ponte de cadeia cruzada pode estar sujeita a ameaças de segurança.
No entanto, projetos com um forte respaldo e poder financeiro geralmente têm mais vantagens ao lidar com acidentes de segurança. Por exemplo, a Poly Network, a Ronin Network e a Wormhole, após sofrerem grandes roubos de fundos, conseguiram recuperar os fundos ou realizar o reembolso total através de várias maneiras.
Além disso, a monitorização em tempo real e a resposta rápida também são fundamentais para prevenir ataques. Como o Hop Protocol e o StarGate tomaram rapidamente medidas após detectar atividades suspeitas, conseguiram impedir ataques potenciais.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
12 Curtidas
Recompensa
12
4
Compartilhar
Comentário
0/400
0xInsomnia
· 07-25 12:27
Veja, já disse que as pontes de cadeia cruzada são perigosas.
Ver originalResponder0
MetaverseVagabond
· 07-23 16:02
Os rapazes não se atrevem a usar cadeia cruzada.
Ver originalResponder0
blocksnark
· 07-23 15:51
1,5 bilhões de prejuízo? Grande perda, tudo bem.
Ver originalResponder0
WealthCoffee
· 07-23 15:49
O moedeiro apanhado na lixeira da escola perdeu tudo.
Resumo do incidente de ataque de pontes de cadeia cruzada: 1,9 mil milhões de dólares afetados, 1,55 mil milhões já reembolsados.
Revisão de incidentes de segurança de pontes de cadeia cruzada: mais de 1,9 mil milhões de dólares em fundos afetados, 1,55 mil milhões de dólares recebidos como compensação ou recuperados
Existem muitas blockchains públicas no ecossistema de blockchain, mas devido à falta de ativos mainstream, é necessário obter ativos através de pontes de cadeia cruzada a partir de blockchains públicas principais, como a Ethereum. Recentemente, o campo das finanças descentralizadas ( DeFi ) tem enfrentado frequentes incidentes de segurança, e as pontes de cadeia cruzada tornaram-se o principal alvo dos atacantes devido ao seu grande fluxo de capital. Este artigo revisará os 10 maiores incidentes de ataque a pontes de cadeia cruzada que ocorreram no passado, totalizando mais de 1,9 bilhões de dólares em fundos, dos quais cerca de 1,55 bilhões de dólares já foram compensados ou recuperados.
ChainSwap: 8 milhões de dólares em perdas, resolvidas através da reemissão de tokens
Em julho de 2021, o ChainSwap sofreu dois ataques cibernéticos em apenas 9 dias. O primeiro causou uma perda de cerca de 800.000 dólares, enquanto o segundo teve um impacto ainda mais grave, chegando a 8 milhões de dólares, afetando mais de 20 projetos que utilizavam o ChainSwap para operações de cadeia cruzada.
A investigação mostra que a causa do acidente se deve ao fato de que o protocolo não verificou rigorosamente a validade da assinatura, permitindo que o atacante utilizasse uma assinatura gerada por ele para completar a transação. Como as perdas envolviam principalmente os tokens de governança do projeto, vários projetos afetados, incluindo o ChainSwap, optaram por fazer um snapshot e emitir novos tokens para compensar os detentores de tokens e provedores de liquidez.
Poly Network: 610 milhões de dólares em fundos roubados recuperados na totalidade
No dia 10 de agosto de 2021, o protocolo de interoperabilidade de cadeia cruzada Poly Network sofreu um ataque em grande escala, resultando na perda de 250 milhões, 270 milhões e 85 milhões de dólares em ativos nas redes Ethereum, Binance Smart Chain e Polygon, totalizando cerca de 610 milhões de dólares.
O ataque aproveitou principalmente a vulnerabilidade na lógica de gestão de permissões do contrato da Poly Network. O atacante conseguiu modificar o endereço dos validadores na cadeia-alvo, controlando assim as operações de transferência de ativos. Apesar de o atacante inicialmente ter utilizado tokens de privacidade para preparar os fundos, acabou por escolher devolver todo o dinheiro roubado. A Poly Network mais tarde referiu-se a ele como um hacker "white hat" e propôs contratá-lo como consultor de segurança principal.
Multichain: perda de 6 milhões de dólares, parte dos fundos já foi reembolsada
Em janeiro de 2022, a Multichain descobriu uma vulnerabilidade importante que afetava vários tokens. Embora a vulnerabilidade tenha sido corrigida, alguns ativos dos usuários ainda enfrentam riscos. Segundo o relatório oficial, um total de 7962 endereços de usuários foram afetados, dos quais 3101 endereços não revogaram a autorização a tempo.
Os fundos roubados incluem 1889.6612 WETH e 833.4191 AVAX, com um valor aproximado de 6 milhões de dólares segundo os preços da época. A equipe de segurança analisou e apontou que a vulnerabilidade se originou de uma negligência do Multichain ao verificar a legitimidade dos tokens inseridos pelos usuários. Até a publicação do relatório, quase 50% dos fundos roubados foram recuperados. O Multichain propôs devolver essa parte dos fundos aos usuários que revogaram a autorização do contrato, mas não irá compensar perdas futuras.
QBridge: 80 milhões de dólares em perdas, apenas 2% receberam compensação
No dia 28 de janeiro de 2022, a ponte de cadeia cruzada QBridge da plataforma de empréstimos Qubit foi atacada, resultando em uma perda de cerca de 80 milhões de dólares. O atacante explorou a falha do QBridge ao não verificar novamente o endereço zero ao processar transferências de tokens na lista branca, forjando uma grande quantidade de tokens xETH na rede BSC e utilizando esses tokens para emprestar outros ativos da Qubit.
Atualmente, a taxa de utilização do Qubit caiu significativamente, e os dados oficiais mostram que 98% dos fundos roubados ainda não foram compensados.
Meter.io: perda de 4,4 milhões de dólares, compromisso de compensar com receitas futuras
No dia 6 de fevereiro de 2022, a ponte de cadeia cruzada Meter Passport foi atacada, resultando em uma perda de 4,4 milhões de dólares. A equipe oficial afirmou que o problema estava na "supondo confiança errônea" do código subjacente, permitindo que os atacantes falsificassem transferências de BNB e ETH.
A Meter inicialmente planejou compensar os usuários pelas perdas com o token MTRG, mas depois decidiu emitir um novo token PASS para a compensação, prometendo recomprar esses tokens com os lucros futuros. No entanto, até o momento, nenhuma operação de recompra foi realizada.
Ronin: 620 milhões de dólares em perdas, já pagos na totalidade
No final de março de 2022, a rede Ronin por trás do jogo de blockchain Axie Infinity sofreu um grave acidente de segurança, resultando em uma perda de cerca de 620 milhões de dólares. Os atacantes obtiveram o controle de 5 dos 9 nós de validação da rede Ronin através de engenharia social, manipulando assim a rede.
Embora os fundos roubados não tenham sido recuperados, a desenvolvedora do Axie Infinity, Sky Mavis, conseguiu angariar 150 milhões de dólares com a liderança da Binance para compensar as perdas dos usuários. No final de junho, a ponte Ronin foi relançada, permitindo que os usuários recebessem compensação. No entanto, devido à queda acentuada do preço do ETH durante este período, o valor real da compensação diminuiu significativamente.
Wormhole: 326 milhões de dólares em perdas, já totalmente compensadas
No início de fevereiro de 2022, o protocolo de cadeia cruzada Wormhole foi atacado, resultando na perda de cerca de 120.000 ETH, no valor de 326 milhões de dólares. O atacante explorou uma vulnerabilidade de verificação de assinatura no contrato principal do Wormhole na rede Solana, falsificando mensagens de "guardião" para cunhar uma grande quantidade de whETH.
Após o acidente, a Jump Crypto (compradora da Certus One, desenvolvedora do Wormhole) rapidamente injetou 120.000 ETH, compensando todas as perdas, e o Wormhole voltou a funcionar normalmente.
EvoDeFi: Estimativa de perdas superiores a dez milhões de dólares, sem solução.
No início de junho de 2022, o USDT na exchange descentralizada ValleySwap do ecossistema Oasis sofreu um desvio sério. Este problema decorreu da falta de liquidez na cadeia de origem da ponte de cadeia cruzada EVODeFi que estava sendo utilizada. Embora o montante exato da perda não tenha sido tornado público, estima-se que seja na ordem de dezenas de milhões de dólares.
Após o acidente, as reações foram diversas. A EVODeFi atribuiu a culpa ao pânico do mercado, enquanto a Oasis enfatizou que não tem relação com a ValleySwap e a EvoDeFi, e apontou que a EvoDeFi apresenta altos riscos. Até agora, os usuários não receberam qualquer compensação pelas perdas, e os projetos envolvidos parecem ter parado de operar.
Horizon: Perda de quase 100 milhões de dólares, plano de compensação ainda em discussão.
No dia 24 de junho de 2022, a ponte de cadeia cruzada oficial da blockchain Harmony, Horizon, foi atacada, resultando em uma perda de cerca de 100 milhões de dólares. O fundador da Harmony reconheceu posteriormente que o ataque pode ter origem em uma divulgação de chave privada. Os fundos roubados envolveram vários ativos nas cadeias Ethereum e BNB.
A Harmony inicialmente propôs aumentar a emissão de tokens ONE ao longo de 3 anos para compensar parcialmente as perdas dos usuários, mas não conseguiu obter o apoio unânime da comunidade. Atualmente, a equipe do projeto está reformulando o plano de compensação.
Nomad: 190 milhões de dólares em perdas, parte dos fundos pode ser recuperada
No início de agosto de 2022, a ponte Nomad sofreu uma súbita falta de liquidez, resultando numa perda de cerca de 190 milhões de dólares. A análise mostrou que o problema se originou de um erro trivial numa atualização de contrato, que permitiu que qualquer pessoa retirasse fundos da ponte.
Este evento afetou 1251 endereços ETH, dos quais 12 endereços ENS representam 38% da perda total. Embora a equipe do projeto ainda não tenha apresentado um plano de compensação claro, alguns hackers éticos já se mostraram dispostos a devolver os fundos.
Resumo
A frequência de acidentes de segurança em pontes de cadeia cruzada destaca a alta risco desse setor. Vale a pena notar que até mesmo as pontes com alta classificação de liquidez, como Multichain, Wormhole e Poly Network, já enfrentaram problemas de segurança, o que indica que qualquer ponte de cadeia cruzada pode estar sujeita a ameaças de segurança.
No entanto, projetos com um forte respaldo e poder financeiro geralmente têm mais vantagens ao lidar com acidentes de segurança. Por exemplo, a Poly Network, a Ronin Network e a Wormhole, após sofrerem grandes roubos de fundos, conseguiram recuperar os fundos ou realizar o reembolso total através de várias maneiras.
Além disso, a monitorização em tempo real e a resposta rápida também são fundamentais para prevenir ataques. Como o Hop Protocol e o StarGate tomaram rapidamente medidas após detectar atividades suspeitas, conseguiram impedir ataques potenciais.