Cross chain köprüleri güvenlik olayı incelemesi: 19 milyar dolardan fazla fon etkilendi, 1.55 milyar dolar tazminat veya geri alındı.
Blockchain ekosisteminde birçok kamu zinciri bulunmaktadır, ancak çoğu ana akım varlıklardan yoksun olduğu için Ethereum gibi ana kamu zincirlerinden varlık edinmek için cross-chain köprüleri aracılığıyla işlem yapılması gerekmektedir. Son zamanlarda, merkeziyetsiz finans ( DeFi ) alanında güvenlik kazaları sıkça meydana gelmekte, cross-chain köprüleri yüksek miktarda fon akışı nedeniyle saldırganların ana hedefi haline gelmektedir. Bu yazıda, geçmişte meydana gelen 10 büyük çaplı cross-chain köprü saldırı olayı gözden geçirilecektir; bu olaylar toplamda 1.9 milyar doların üzerinde fonu etkilemiş olup, yaklaşık 1.55 milyar dolarının tazmin edildiği veya geri alındığı kaydedilmiştir.
ChainSwap: 8 milyon dolar kayıp, tokenlerin yeniden ihraç edilmesiyle çözülüyor
2021 Temmuz'unda, ChainSwap sadece 9 gün içinde iki kez hacker saldırısına uğradı. İlk saldırı yaklaşık 800.000 dolar kayba neden oldu, ikinci saldırı ise daha ciddi oldu ve 8.000.000 dolara kadar çıktı, ChainSwap'ı cross-chain işlemleri için kullanan 20'den fazla projeyi etkiledi.
Araştırmalar, kazanın nedeninin protokolün imza geçerliliğini sıkı bir şekilde doğrulamaması olduğunu göstermektedir; bu da saldırganların kendi oluşturdukları imzaları kullanarak işlemi tamamlamalarına olanak tanımıştır. Kaybın esas olarak proje yöneticilerinin yönetim token'lerini kapsaması nedeniyle, ChainSwap da dahil olmak üzere etkilenen birçok proje, token sahiplerine ve likidite sağlayıcılarına tazminat vermek için anlık görüntü alma ve yeni token çıkarma kararı almıştır.
Poly Network: 6.1 milyon dolar çalınan fonların tamamı geri alındı
10 Ağustos 2021'de, cross-chain互操作协议 Poly Network büyük bir saldırıya uğradı ve Ethereum, Binance Smart Chain ve Polygon ağlarında sırasıyla 250 milyon, 270 milyon ve 85 milyon dolar tutarında varlık kaybı yaşandı. Toplamda yaklaşık 610 milyon dolar.
Saldırı, esas olarak Poly Network sözleşmesi yetki yönetim mantığındaki bir açığı kullandı. Saldırgan, hedef zincirdeki doğrulayıcı adresini başarıyla değiştirdi ve böylece varlık transfer işlemlerini kontrol altına aldı. Saldırgan başlangıçta gizlilik token'ları kullanarak fon hazırlasa da, sonunda çalınan tüm fonları geri iade etmeyi seçti. Poly Network sonrasında bunu "beyaz şapkalı" hacker olarak adlandırdı ve kendisini baş güvenlik danışmanı olarak işe almayı önerdi.
Multichain: 6 milyon dolar kayıp, bazı fonlar tazmin edildi
2022 yılının Ocak ayında, Multichain çeşitli tokenleri etkileyen önemli bir güvenlik açığı keşfetti. Güvenlik açığı düzeltilmiş olsa da, hala bazı kullanıcı varlıkları risk altındadır. Resmi rapora göre, toplamda 7962 kullanıcı adresi etkilenmiştir, bunlardan 3101 adres ise yetkileri zamanında iptal etmemiştir.
Çalınan fonlar, o zamanki fiyatlara göre yaklaşık 6.04 milyon dolar değerinde olan 1889.6612 WETH ve 833.4191 AVAX'ı içermektedir. Güvenlik ekibi, açığın Multichain'in kullanıcı giriş token'larının geçerliliğini doğrularken gösterdiği ihmalden kaynaklandığını belirtti. Raporun yayınlanması itibarıyla çalınan fonların neredeyse %50'si geri alındı. Multichain, bu fonların, yetkilerini iptal eden kullanıcılara iade edilmesini önermektedir, ancak gelecekteki kayıplar için tazminat ödemeyecektir.
QBridge: 80 milyon $ zarar, yalnızca %2'si tazminat aldı
28 Ocak 2022'de, borç verme platformu Qubit'in cross-chain köprüleri QBridge saldırıya uğradı ve yaklaşık 80 milyon dolar kaybedildi. Saldırgan, QBridge'in beyaz liste token transferlerini işlerken sıfır adresini ikinci kez kontrol etmemesi açığını kullanarak, BSC ağında çok sayıda xETH tokenı yaratmış ve bu tokenlarla Qubit'ten diğer varlıkları ödünç almıştır.
Şu anda Qubit kullanım oranı büyük ölçüde düşmüştür, resmi verilere göre çalınan fonların %98'i henüz tazmin edilmemiştir.
Meter.io: 4.4 milyon $ kayıp, gelecekteki kazançlarla tazminat sözü
6 Şubat 2022'de, Meter Passport Cross chain köprüleri bir saldırıya uğradı ve 4.4 milyon dolar zarar oluştu. Resmi olarak, sorunun "yanlış güven varsayımı" nedeniyle temel kodda olduğu belirtildi ve bu durum saldırganların BNB ve ETH transferlerini sahte olarak gerçekleştirmesine olanak tanıdı.
Meter başlangıçta MTRG token'leri ile kullanıcı kayıplarını tazmin etmeyi planladı, ancak daha sonra tazminat için yeni PASS token'lerini çıkarmaya karar verdi ve bu token'leri geri almak için gelecekteki kazançları kullanacağına söz verdi. Ancak, şu ana kadar herhangi bir geri alım işlemi gerçekleştirilmedi.
Ronin: 6.2 milyar dolar kayıp, tamamen tazmin edildi
2022 yılının Mart ayı sonunda, blok zinciri oyunu Axie Infinity'nin arkasındaki Ronin ağı büyük bir güvenlik kazasıyla karşılaştı ve yaklaşık 620 milyon dolar kaybetti. Saldırganlar sosyal mühendislik yöntemleri ile Ronin ağındaki 9 doğrulayıcı düğümden 5'inin kontrolünü ele geçirerek ağı manipüle ettiler.
Çalınan fonlar geri alınamasa da, Axie Infinity geliştiricisi Sky Mavis, Binance'ın liderliğinde 150 milyon dolarlık bir finansman sağladı ve bu fon kullanıcı kayıplarını tazmin etmek için kullanılacak. Haziran ayı sonunda, Ronin köprüsü yeniden çevrimiçi oldu ve kullanıcılar tazminat alabilecek. Ancak, bu süre zarfında ETH fiyatının önemli ölçüde düşmesi nedeniyle, tazminatın gerçek değeri büyük ölçüde azaldı.
Wormhole: 3.26 milyon dolar kayıp, tamamı ödenmiştir
2022 yılının Şubat ayının başında, cross-chain protokolü Wormhole saldırıya uğradı ve yaklaşık 120.000 ETH, değeri 326 milyon dolar kaybedildi. Saldırganlar, Solana tarafındaki Wormhole ana sözleşmesindeki imza doğrulama açığını kullanarak, sahte "koruyucu" mesajları ile çok sayıda whETH bastı.
Kazanın ardından, Jump Crypto (Wormhole'un geliştirme şirketi Certus One'un satın alımcısı) hızla 120.000 ETH enjekte etti ve tüm kayıpları telafi etti, Wormhole ardından normal çalışmaya geri döndü.
EvoDeFi: Tahmini kayıplar on milyonlarca dolar, çözülmedi.
2022'nin Haziran ayının başında, Oasis ekosistemindeki merkeziyetsiz borsa ValleySwap'ta USDT ciddi bir değer kaybı yaşadı. Bu sorun, kullanılan cross-chain köprüleri EVODeFi'nin kaynak zincirindeki likidite yetersizliğinden kaynaklanıyor. Kesin zarar miktarı açıklanmamış olsa da, on milyonlarca dolar seviyesinde olduğu tahmin ediliyor.
Kaza sonrası tarafların tepkileri birbirinden farklıydı. EVODeFi, piyasa paniklerini suçlarken, Oasis yetkilileri ValleySwap ve EvoDeFi ile bir ilgilerinin olmadığını vurguladı ve EvoDeFi'nin yüksek risk taşıdığını belirtti. Kullanıcıların kayıpları henüz herhangi bir tazminat almadı ve ilgili proje sahiplerinin faaliyetlerini durdurmuş gibi görünüyor.
Horizon: Yaklaşık 100 milyon dolar kayıp, tazminat planı hâlâ tartışılıyor.
24 Haziran 2022'de, Harmony blok zincirinin resmi cross chain köprüleri Horizon saldırıya uğradı ve yaklaşık 100 milyon dolar kaybedildi. Harmony'nin kurucusu daha sonra, saldırının özel anahtar sızıntısından kaynaklanmış olabileceğini kabul etti. Çalınan fonlar, Ethereum ve BNB zincirindeki çeşitli varlıkları içeriyordu.
Harmony, başlangıçta kullanıcı kayıplarını kısmen telafi etmek için 3 yıl içinde ONE tokenlarının artırılmasını önerdi, ancak topluluğun oy birliği desteğini alamadı. Şu anda, proje ekibi tazminat planını yeniden düzenliyor.
Nomad: 1.9 milyon dolar kayıp, bazı fonların geri alınması umuluyor
2022 yılının Ağustos ayının başlarında, Nomad köprüsü aniden likidite sıkıntısı yaşadı ve yaklaşık 190 milyon dolar kaybedildi. Analizler, sorunun bir sözleşme güncellemesi sırasında yapılan basit bir hata nedeniyle ortaya çıktığını ve bu durumun herkesin köprüden para çekmesine neden olduğunu gösteriyor.
Bu olay, 1251 ETH adresini etkiledi ve bunlardan 12 ENS adresi toplam kaybın %38'ini oluşturuyor. Proje ekibi henüz net bir tazminat planı sunmadı, ancak bazı beyaz şapkalı hackerlar fonları geri vermeye istekli olduklarını belirtti.
Özet
Cross chain köprüleri güvenlik kazalarının sık yaşanması, bu alandaki yüksek riskleri ortaya koymaktadır. Dikkate değer bir nokta, likidite sıralamasında ön sıralarda yer alan köprülerin, Multichain, Wormhole ve Poly Network gibi, güvenlik sorunlarıyla karşılaşmış olmalarıdır; bu da herhangi bir cross-chain köprüsünün güvenlik tehdidiyle karşılaşabileceğini göstermektedir.
Ancak, güçlü bir arka plana ve finansal güce sahip projeler, güvenlik kazalarını ele alırken genellikle daha avantajlıdır. Örneğin, Poly Network, Ronin Network ve Wormhole, büyük ölçekli fon çalınması olaylarıyla karşılaştıklarında, fonları geri almak veya tam tazminat sağlamak için çeşitli yollar bulabildiler.
Ayrıca, gerçek zamanlı izleme ve hızlı yanıt verme, saldırıları önlemede de kritik öneme sahiptir. Hop Protocol ve StarGate, şüpheli faaliyetleri tespit ettiklerinde hızlı bir şekilde harekete geçerek olası saldırıları başarıyla engelledi.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Cross chain köprüleri devasa saldırı olayı özeti: 1.9 milyar dolar etkilendi, 1.55 milyar doları tazmin edildi.
Cross chain köprüleri güvenlik olayı incelemesi: 19 milyar dolardan fazla fon etkilendi, 1.55 milyar dolar tazminat veya geri alındı.
Blockchain ekosisteminde birçok kamu zinciri bulunmaktadır, ancak çoğu ana akım varlıklardan yoksun olduğu için Ethereum gibi ana kamu zincirlerinden varlık edinmek için cross-chain köprüleri aracılığıyla işlem yapılması gerekmektedir. Son zamanlarda, merkeziyetsiz finans ( DeFi ) alanında güvenlik kazaları sıkça meydana gelmekte, cross-chain köprüleri yüksek miktarda fon akışı nedeniyle saldırganların ana hedefi haline gelmektedir. Bu yazıda, geçmişte meydana gelen 10 büyük çaplı cross-chain köprü saldırı olayı gözden geçirilecektir; bu olaylar toplamda 1.9 milyar doların üzerinde fonu etkilemiş olup, yaklaşık 1.55 milyar dolarının tazmin edildiği veya geri alındığı kaydedilmiştir.
ChainSwap: 8 milyon dolar kayıp, tokenlerin yeniden ihraç edilmesiyle çözülüyor
2021 Temmuz'unda, ChainSwap sadece 9 gün içinde iki kez hacker saldırısına uğradı. İlk saldırı yaklaşık 800.000 dolar kayba neden oldu, ikinci saldırı ise daha ciddi oldu ve 8.000.000 dolara kadar çıktı, ChainSwap'ı cross-chain işlemleri için kullanan 20'den fazla projeyi etkiledi.
Araştırmalar, kazanın nedeninin protokolün imza geçerliliğini sıkı bir şekilde doğrulamaması olduğunu göstermektedir; bu da saldırganların kendi oluşturdukları imzaları kullanarak işlemi tamamlamalarına olanak tanımıştır. Kaybın esas olarak proje yöneticilerinin yönetim token'lerini kapsaması nedeniyle, ChainSwap da dahil olmak üzere etkilenen birçok proje, token sahiplerine ve likidite sağlayıcılarına tazminat vermek için anlık görüntü alma ve yeni token çıkarma kararı almıştır.
Poly Network: 6.1 milyon dolar çalınan fonların tamamı geri alındı
10 Ağustos 2021'de, cross-chain互操作协议 Poly Network büyük bir saldırıya uğradı ve Ethereum, Binance Smart Chain ve Polygon ağlarında sırasıyla 250 milyon, 270 milyon ve 85 milyon dolar tutarında varlık kaybı yaşandı. Toplamda yaklaşık 610 milyon dolar.
Saldırı, esas olarak Poly Network sözleşmesi yetki yönetim mantığındaki bir açığı kullandı. Saldırgan, hedef zincirdeki doğrulayıcı adresini başarıyla değiştirdi ve böylece varlık transfer işlemlerini kontrol altına aldı. Saldırgan başlangıçta gizlilik token'ları kullanarak fon hazırlasa da, sonunda çalınan tüm fonları geri iade etmeyi seçti. Poly Network sonrasında bunu "beyaz şapkalı" hacker olarak adlandırdı ve kendisini baş güvenlik danışmanı olarak işe almayı önerdi.
Multichain: 6 milyon dolar kayıp, bazı fonlar tazmin edildi
2022 yılının Ocak ayında, Multichain çeşitli tokenleri etkileyen önemli bir güvenlik açığı keşfetti. Güvenlik açığı düzeltilmiş olsa da, hala bazı kullanıcı varlıkları risk altındadır. Resmi rapora göre, toplamda 7962 kullanıcı adresi etkilenmiştir, bunlardan 3101 adres ise yetkileri zamanında iptal etmemiştir.
Çalınan fonlar, o zamanki fiyatlara göre yaklaşık 6.04 milyon dolar değerinde olan 1889.6612 WETH ve 833.4191 AVAX'ı içermektedir. Güvenlik ekibi, açığın Multichain'in kullanıcı giriş token'larının geçerliliğini doğrularken gösterdiği ihmalden kaynaklandığını belirtti. Raporun yayınlanması itibarıyla çalınan fonların neredeyse %50'si geri alındı. Multichain, bu fonların, yetkilerini iptal eden kullanıcılara iade edilmesini önermektedir, ancak gelecekteki kayıplar için tazminat ödemeyecektir.
QBridge: 80 milyon $ zarar, yalnızca %2'si tazminat aldı
28 Ocak 2022'de, borç verme platformu Qubit'in cross-chain köprüleri QBridge saldırıya uğradı ve yaklaşık 80 milyon dolar kaybedildi. Saldırgan, QBridge'in beyaz liste token transferlerini işlerken sıfır adresini ikinci kez kontrol etmemesi açığını kullanarak, BSC ağında çok sayıda xETH tokenı yaratmış ve bu tokenlarla Qubit'ten diğer varlıkları ödünç almıştır.
Şu anda Qubit kullanım oranı büyük ölçüde düşmüştür, resmi verilere göre çalınan fonların %98'i henüz tazmin edilmemiştir.
Meter.io: 4.4 milyon $ kayıp, gelecekteki kazançlarla tazminat sözü
6 Şubat 2022'de, Meter Passport Cross chain köprüleri bir saldırıya uğradı ve 4.4 milyon dolar zarar oluştu. Resmi olarak, sorunun "yanlış güven varsayımı" nedeniyle temel kodda olduğu belirtildi ve bu durum saldırganların BNB ve ETH transferlerini sahte olarak gerçekleştirmesine olanak tanıdı.
Meter başlangıçta MTRG token'leri ile kullanıcı kayıplarını tazmin etmeyi planladı, ancak daha sonra tazminat için yeni PASS token'lerini çıkarmaya karar verdi ve bu token'leri geri almak için gelecekteki kazançları kullanacağına söz verdi. Ancak, şu ana kadar herhangi bir geri alım işlemi gerçekleştirilmedi.
Ronin: 6.2 milyar dolar kayıp, tamamen tazmin edildi
2022 yılının Mart ayı sonunda, blok zinciri oyunu Axie Infinity'nin arkasındaki Ronin ağı büyük bir güvenlik kazasıyla karşılaştı ve yaklaşık 620 milyon dolar kaybetti. Saldırganlar sosyal mühendislik yöntemleri ile Ronin ağındaki 9 doğrulayıcı düğümden 5'inin kontrolünü ele geçirerek ağı manipüle ettiler.
Çalınan fonlar geri alınamasa da, Axie Infinity geliştiricisi Sky Mavis, Binance'ın liderliğinde 150 milyon dolarlık bir finansman sağladı ve bu fon kullanıcı kayıplarını tazmin etmek için kullanılacak. Haziran ayı sonunda, Ronin köprüsü yeniden çevrimiçi oldu ve kullanıcılar tazminat alabilecek. Ancak, bu süre zarfında ETH fiyatının önemli ölçüde düşmesi nedeniyle, tazminatın gerçek değeri büyük ölçüde azaldı.
Wormhole: 3.26 milyon dolar kayıp, tamamı ödenmiştir
2022 yılının Şubat ayının başında, cross-chain protokolü Wormhole saldırıya uğradı ve yaklaşık 120.000 ETH, değeri 326 milyon dolar kaybedildi. Saldırganlar, Solana tarafındaki Wormhole ana sözleşmesindeki imza doğrulama açığını kullanarak, sahte "koruyucu" mesajları ile çok sayıda whETH bastı.
Kazanın ardından, Jump Crypto (Wormhole'un geliştirme şirketi Certus One'un satın alımcısı) hızla 120.000 ETH enjekte etti ve tüm kayıpları telafi etti, Wormhole ardından normal çalışmaya geri döndü.
EvoDeFi: Tahmini kayıplar on milyonlarca dolar, çözülmedi.
2022'nin Haziran ayının başında, Oasis ekosistemindeki merkeziyetsiz borsa ValleySwap'ta USDT ciddi bir değer kaybı yaşadı. Bu sorun, kullanılan cross-chain köprüleri EVODeFi'nin kaynak zincirindeki likidite yetersizliğinden kaynaklanıyor. Kesin zarar miktarı açıklanmamış olsa da, on milyonlarca dolar seviyesinde olduğu tahmin ediliyor.
Kaza sonrası tarafların tepkileri birbirinden farklıydı. EVODeFi, piyasa paniklerini suçlarken, Oasis yetkilileri ValleySwap ve EvoDeFi ile bir ilgilerinin olmadığını vurguladı ve EvoDeFi'nin yüksek risk taşıdığını belirtti. Kullanıcıların kayıpları henüz herhangi bir tazminat almadı ve ilgili proje sahiplerinin faaliyetlerini durdurmuş gibi görünüyor.
Horizon: Yaklaşık 100 milyon dolar kayıp, tazminat planı hâlâ tartışılıyor.
24 Haziran 2022'de, Harmony blok zincirinin resmi cross chain köprüleri Horizon saldırıya uğradı ve yaklaşık 100 milyon dolar kaybedildi. Harmony'nin kurucusu daha sonra, saldırının özel anahtar sızıntısından kaynaklanmış olabileceğini kabul etti. Çalınan fonlar, Ethereum ve BNB zincirindeki çeşitli varlıkları içeriyordu.
Harmony, başlangıçta kullanıcı kayıplarını kısmen telafi etmek için 3 yıl içinde ONE tokenlarının artırılmasını önerdi, ancak topluluğun oy birliği desteğini alamadı. Şu anda, proje ekibi tazminat planını yeniden düzenliyor.
Nomad: 1.9 milyon dolar kayıp, bazı fonların geri alınması umuluyor
2022 yılının Ağustos ayının başlarında, Nomad köprüsü aniden likidite sıkıntısı yaşadı ve yaklaşık 190 milyon dolar kaybedildi. Analizler, sorunun bir sözleşme güncellemesi sırasında yapılan basit bir hata nedeniyle ortaya çıktığını ve bu durumun herkesin köprüden para çekmesine neden olduğunu gösteriyor.
Bu olay, 1251 ETH adresini etkiledi ve bunlardan 12 ENS adresi toplam kaybın %38'ini oluşturuyor. Proje ekibi henüz net bir tazminat planı sunmadı, ancak bazı beyaz şapkalı hackerlar fonları geri vermeye istekli olduklarını belirtti.
Özet
Cross chain köprüleri güvenlik kazalarının sık yaşanması, bu alandaki yüksek riskleri ortaya koymaktadır. Dikkate değer bir nokta, likidite sıralamasında ön sıralarda yer alan köprülerin, Multichain, Wormhole ve Poly Network gibi, güvenlik sorunlarıyla karşılaşmış olmalarıdır; bu da herhangi bir cross-chain köprüsünün güvenlik tehdidiyle karşılaşabileceğini göstermektedir.
Ancak, güçlü bir arka plana ve finansal güce sahip projeler, güvenlik kazalarını ele alırken genellikle daha avantajlıdır. Örneğin, Poly Network, Ronin Network ve Wormhole, büyük ölçekli fon çalınması olaylarıyla karşılaştıklarında, fonları geri almak veya tam tazminat sağlamak için çeşitli yollar bulabildiler.
Ayrıca, gerçek zamanlı izleme ve hızlı yanıt verme, saldırıları önlemede de kritik öneme sahiptir. Hop Protocol ve StarGate, şüpheli faaliyetleri tespit ettiklerinde hızlı bir şekilde harekete geçerek olası saldırıları başarıyla engelledi.