Огляд безпекових інцидентів кросчейн мостів: понад 1,9 мільярда доларів США постраждали, 1,55 мільярда доларів США відшкодовано або повернуто
У екосистемі блокчейнів існує безліч публічних ланцюгів, але оскільки більшість з них не має основних активів, необхідно отримувати активи через кросчейн міст з основних публічних ланцюгів, таких як Ethereum. Нещодавно у сфері децентралізованих фінансів (DeFi) часто трапляються інциденти безпеки, кросчейн мости стали основною метою атакуючих через великі обсяги фінансових потоків. У цій статті буде розглянуто 10 найбільших атак на кросчейн мости, які сталися в минулому, ці інциденти в сумі стосуються понад 1,9 мільярда доларів, з яких близько 1,55 мільярда доларів вже було відшкодовано або повернуто.
ChainSwap: втрата в 8 мільйонів доларів, вирішена шляхом повторної емісії токенів
У липні 2021 року ChainSwap зазнав двох хакерських атак всього за 9 днів. Перша призвела до втрат приблизно в 800 тисяч доларів, а друга була ще більш серйозною - до 8 мільйонів доларів, що вплинуло на понад 20 проектів, які використовували ChainSwap для крос-ланцюгових операцій.
Дослідження показали, що причиною інциденту стало те, що угода не була суворо перевірена на дійсність підпису, внаслідок чого зловмисник зміг використати самостійно згенерований підпис для завершення транзакції. Оскільки збитки в основному стосуються治理代币 проекту, багато постраждалих проектів, включаючи ChainSwap, вирішили провести знімок і випустити нові токени, щоб компенсувати тримачів токенів та постачальників ліквідності.
Poly Network: 6,1 мільярда доларів США вкрадених коштів повністю повернуто
10 серпня 2021 року крос-ланцюгова взаємодійна протокол Poly Network зазнав масштабної атаки, в результаті якої було втрачено активи на суму 250 мільйонів доларів на Ethereum, 270 мільйонів доларів на Binance Smart Chain та 85 мільйонів доларів на Polygon, що в сумі становить близько 610 мільйонів доларів.
Атака в основному використовувала вразливість логіки управління правами контракту Poly Network. Зловмисник успішно змінив адресу валідатора на цільовому ланцюгу, внаслідок чого контролював операції з переведення активів. Незважаючи на те, що зловмисник спочатку використовував приватні токени для підготовки коштів, врешті-решт вирішив повернути всі вкрадені кошти. Poly Network пізніше назвав його "білим капелюшком" і запропонував призначити його головним безпековим консультантом.
Multichain: втрата 6 мільйонів доларів США, частина коштів вже виплачена
У січні 2022 року Multichain виявив важливу уразливість, що вплинула на кілька токенів. Хоча уразливість була виправлена, деякі активи користувачів все ще під ризиком. За офіційним звітом, постраждали 7962 адреси користувачів, з яких 3101 адреса не скасувала авторизацію вчасно.
Вкрадені кошти включають 1889.6612 WETH та 833.4191 AVAX, що за тодішніми цінами оцінюється приблизно в 6 мільйонів доларів США. Аналіз команди безпеки вказав, що вразливість виникла через недбалість Multichain при перевірці законності токенів, введених користувачем. Станом на момент публікації звіту близько 50% вкрадених коштів було повернено. Multichain запропонував повернути цю частину коштів користувачам, які анулювали авторизацію контракту, але більше не буде компенсувати подальші втрати.
QBridge: збитки в 80 мільйонів доларів, лише 2% отримали компенсацію
28 січня 2022 року кросчейн міст QBridge платформи кредитування Qubit зазнав атаки, внаслідок якої було втрачено близько 80 мільйонів доларів. Зловмисники скористалися вразливістю QBridge, яка полягала в тому, що при обробці переказів токенів з білого списку не було повторної перевірки нульової адреси, створивши в мережі BSC велику кількість токенів xETH з повітря та використавши ці токени для позики інших активів з Qubit.
В даний час використання Qubit суттєво знизилося, офіційні дані показують, що 98% вкрадених коштів ще не були компенсовані.
Meter.io: втрата 4,4 мільйона доларів, обіцянка компенсувати за рахунок майбутніх доходів
6 лютого 2022 року кросчейн міст Meter Passport зазнав атаки, внаслідок якої було завдано збитків у 4,4 мільйона доларів. Офіційні особи заявили, що проблема полягала в "помилковому довірчому припущенні" в базовому коді, що дозволило зловмисникам підробити перекази BNB і ETH.
Meter спочатку планував компенсувати втрати користувачів токенами MTRG, але пізніше вирішив випустити нові токени PASS для компенсації та пообіцяв викупити ці токени за рахунок майбутніх доходів. Однак, на даний момент не було проведено жодних операцій з викупу.
Ronin: 6,2 мільярда доларів США втрат, повна компенсація виплачена
В кінці березня 2022 року блокчейн-гра Axie Infinity зазнала серйозної безпекової аварії через мережу Ronin, в результаті якої було втрачено близько 620 мільйонів доларів. Зловмисники за допомогою соціальної інженерії отримали контроль над 5 з 9 верифікаційних вузлів мережі Ronin і, таким чином, маніпулювали мережею.
Хоча вкрадені кошти не були повернуті, розробник Axie Infinity Sky Mavis завершив фінансування в розмірі 150 мільйонів доларів під керівництвом Binance для компенсації втрат користувачів. Наприкінці червня кросчейн міст Ronin знову запрацював, і користувачі можуть отримати компенсацію. Однак через значне падіння ціни ETH за цей період фактична вартість компенсації значно знизилася.
Wormhole: збитки в 326 мільйонів доларів, вже повністю компенсовано
На початку лютого 2022 року кросчейн-протокол Wormhole зазнав атаки, внаслідок якої було втрачено близько 120 тисяч ETH на суму 3,26 мільярда доларів. Зловмисник скористався вразливістю в перевірці підписів у центральному контракті Wormhole на боці Solana, підробивши повідомлення "опікун" для випуску великої кількості whETH.
Після інциденту Jump Crypto (компанія, що придбала Wormhole, Certus One) швидко вклала 120 000 ETH, щоб компенсувати всі втрати, і Wormhole потім відновив нормальну роботу.
EvoDeFi: оцінювані збитки перевищують десять мільйонів доларів, проблема не вирішена
На початку червня 2022 року на децентралізованій біржі ValleySwap в екосистемі Oasis USDT зазнав серйозного викривлення. Ця проблема виникла через недостатню ліквідність на вихідному ланцюзі кросчейн моста EVODeFi. Хоча конкретна сума збитків не була оприлюднена, оцінюється, що вона складає десятки мільйонів доларів.
Після інциденту реакція була неоднозначною. EVODeFi звинувачує ринкову паніку, тоді як офіційні представники Oasis підкреслюють, що це не пов'язано з ValleySwap і EvoDeFi, і зазначають, що у EvoDeFi існують високі ризики. Користувачі досі не отримали жодних компенсацій за збитки, і схоже, що відповідні проєкти вже припинили свою діяльність.
Horizon: майже 100 мільйонів доларів збитків, план компенсації все ще обговорюється
24 червня 2022 року офіційний кросчейн міст Harmony Horizon зазнав атаки, в результаті якої було втрачено близько 100 мільйонів доларів. Засновник Harmony пізніше визнав, що атака могла бути викликана витоком приватного ключа. Вкрадені кошти включали різноманітні активи в мережах Ethereum та BNB.
Harmony спочатку запропонував часткову компенсацію збитків користувачів шляхом випуску додаткових токенів ONE протягом 3 років, але не зміг отримати одностайну підтримку спільноти. Наразі, команда проекту працює над новим планом компенсації.
Nomad: збитки в 1,9 мільярда доларів, частину коштів можна повернути
На початку серпня 2022 року міст Nomad раптово зазнав виснаження ліквідності, втративши приблизно 190 мільйонів доларів США. Аналіз показав, що проблема виникла через недолік у низькорівневій помилці під час оновлення контракту, що призвело до того, що будь-хто міг вилучити кошти з моста.
Ця подія вплинула на 1251 ETH-адресу, з яких 12 ENS-адрес становлять 38% від загальних втрат. Хоча команда проекту ще не представила чіткий план компенсації, деякі білих капелюшків уже висловили готовність повернути кошти.
Підсумок
Часті інциденти безпеки кросчейн мостів підкреслюють високу ризикованість цієї сфери. Варто зазначити, що навіть найбільш ліквідні мости, такі як Multichain, Wormhole і Poly Network, стикалися з проблемами безпеки, що свідчить про те, що будь-який кросчейн міст може стикатися з загрозами безпеки.
Однак проекти з потужним бекграундом та фінансовими ресурсами часто мають перевагу при вирішенні проблем безпеки. Наприклад, Poly Network, Ronin Network і Wormhole після масштабних крадіжок коштів змогли повернути їх або компенсувати повну суму різними способами.
Крім того, моніторинг у реальному часі та швидка реакція є ключовими для запобігання атакам. Наприклад, Hop Protocol та StarGate швидко вжили заходів після виявлення підозрілої активності, що дозволило успішно зупинити потенційні атаки.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
12 лайків
Нагородити
12
4
Поділіться
Прокоментувати
0/400
0xInsomnia
· 07-25 12:27
Дивись, я вже казав, що кросчейн міст небезпечний
Переглянути оригіналвідповісти на0
MetaverseVagabond
· 07-23 16:02
Братику, навіть не наважуються використовувати крос-ланцюг.
Переглянути оригіналвідповісти на0
blocksnark
· 07-23 15:51
15 мільярдів програли? Великий збиток, гаразд.
Переглянути оригіналвідповісти на0
WealthCoffee
· 07-23 15:49
Всі монети, які я підібрав у сміттєвому відрі в школі, повністю програв.
Короткий підсумок події з величезною атакою на кросчейн міст: 1,9 мільярда доларів під загрозою, 1,55 мільярда вже виплачено.
Огляд безпекових інцидентів кросчейн мостів: понад 1,9 мільярда доларів США постраждали, 1,55 мільярда доларів США відшкодовано або повернуто
У екосистемі блокчейнів існує безліч публічних ланцюгів, але оскільки більшість з них не має основних активів, необхідно отримувати активи через кросчейн міст з основних публічних ланцюгів, таких як Ethereum. Нещодавно у сфері децентралізованих фінансів (DeFi) часто трапляються інциденти безпеки, кросчейн мости стали основною метою атакуючих через великі обсяги фінансових потоків. У цій статті буде розглянуто 10 найбільших атак на кросчейн мости, які сталися в минулому, ці інциденти в сумі стосуються понад 1,9 мільярда доларів, з яких близько 1,55 мільярда доларів вже було відшкодовано або повернуто.
ChainSwap: втрата в 8 мільйонів доларів, вирішена шляхом повторної емісії токенів
У липні 2021 року ChainSwap зазнав двох хакерських атак всього за 9 днів. Перша призвела до втрат приблизно в 800 тисяч доларів, а друга була ще більш серйозною - до 8 мільйонів доларів, що вплинуло на понад 20 проектів, які використовували ChainSwap для крос-ланцюгових операцій.
Дослідження показали, що причиною інциденту стало те, що угода не була суворо перевірена на дійсність підпису, внаслідок чого зловмисник зміг використати самостійно згенерований підпис для завершення транзакції. Оскільки збитки в основному стосуються治理代币 проекту, багато постраждалих проектів, включаючи ChainSwap, вирішили провести знімок і випустити нові токени, щоб компенсувати тримачів токенів та постачальників ліквідності.
Poly Network: 6,1 мільярда доларів США вкрадених коштів повністю повернуто
10 серпня 2021 року крос-ланцюгова взаємодійна протокол Poly Network зазнав масштабної атаки, в результаті якої було втрачено активи на суму 250 мільйонів доларів на Ethereum, 270 мільйонів доларів на Binance Smart Chain та 85 мільйонів доларів на Polygon, що в сумі становить близько 610 мільйонів доларів.
Атака в основному використовувала вразливість логіки управління правами контракту Poly Network. Зловмисник успішно змінив адресу валідатора на цільовому ланцюгу, внаслідок чого контролював операції з переведення активів. Незважаючи на те, що зловмисник спочатку використовував приватні токени для підготовки коштів, врешті-решт вирішив повернути всі вкрадені кошти. Poly Network пізніше назвав його "білим капелюшком" і запропонував призначити його головним безпековим консультантом.
Multichain: втрата 6 мільйонів доларів США, частина коштів вже виплачена
У січні 2022 року Multichain виявив важливу уразливість, що вплинула на кілька токенів. Хоча уразливість була виправлена, деякі активи користувачів все ще під ризиком. За офіційним звітом, постраждали 7962 адреси користувачів, з яких 3101 адреса не скасувала авторизацію вчасно.
Вкрадені кошти включають 1889.6612 WETH та 833.4191 AVAX, що за тодішніми цінами оцінюється приблизно в 6 мільйонів доларів США. Аналіз команди безпеки вказав, що вразливість виникла через недбалість Multichain при перевірці законності токенів, введених користувачем. Станом на момент публікації звіту близько 50% вкрадених коштів було повернено. Multichain запропонував повернути цю частину коштів користувачам, які анулювали авторизацію контракту, але більше не буде компенсувати подальші втрати.
QBridge: збитки в 80 мільйонів доларів, лише 2% отримали компенсацію
28 січня 2022 року кросчейн міст QBridge платформи кредитування Qubit зазнав атаки, внаслідок якої було втрачено близько 80 мільйонів доларів. Зловмисники скористалися вразливістю QBridge, яка полягала в тому, що при обробці переказів токенів з білого списку не було повторної перевірки нульової адреси, створивши в мережі BSC велику кількість токенів xETH з повітря та використавши ці токени для позики інших активів з Qubit.
В даний час використання Qubit суттєво знизилося, офіційні дані показують, що 98% вкрадених коштів ще не були компенсовані.
Meter.io: втрата 4,4 мільйона доларів, обіцянка компенсувати за рахунок майбутніх доходів
6 лютого 2022 року кросчейн міст Meter Passport зазнав атаки, внаслідок якої було завдано збитків у 4,4 мільйона доларів. Офіційні особи заявили, що проблема полягала в "помилковому довірчому припущенні" в базовому коді, що дозволило зловмисникам підробити перекази BNB і ETH.
Meter спочатку планував компенсувати втрати користувачів токенами MTRG, але пізніше вирішив випустити нові токени PASS для компенсації та пообіцяв викупити ці токени за рахунок майбутніх доходів. Однак, на даний момент не було проведено жодних операцій з викупу.
Ronin: 6,2 мільярда доларів США втрат, повна компенсація виплачена
В кінці березня 2022 року блокчейн-гра Axie Infinity зазнала серйозної безпекової аварії через мережу Ronin, в результаті якої було втрачено близько 620 мільйонів доларів. Зловмисники за допомогою соціальної інженерії отримали контроль над 5 з 9 верифікаційних вузлів мережі Ronin і, таким чином, маніпулювали мережею.
Хоча вкрадені кошти не були повернуті, розробник Axie Infinity Sky Mavis завершив фінансування в розмірі 150 мільйонів доларів під керівництвом Binance для компенсації втрат користувачів. Наприкінці червня кросчейн міст Ronin знову запрацював, і користувачі можуть отримати компенсацію. Однак через значне падіння ціни ETH за цей період фактична вартість компенсації значно знизилася.
Wormhole: збитки в 326 мільйонів доларів, вже повністю компенсовано
На початку лютого 2022 року кросчейн-протокол Wormhole зазнав атаки, внаслідок якої було втрачено близько 120 тисяч ETH на суму 3,26 мільярда доларів. Зловмисник скористався вразливістю в перевірці підписів у центральному контракті Wormhole на боці Solana, підробивши повідомлення "опікун" для випуску великої кількості whETH.
Після інциденту Jump Crypto (компанія, що придбала Wormhole, Certus One) швидко вклала 120 000 ETH, щоб компенсувати всі втрати, і Wormhole потім відновив нормальну роботу.
EvoDeFi: оцінювані збитки перевищують десять мільйонів доларів, проблема не вирішена
На початку червня 2022 року на децентралізованій біржі ValleySwap в екосистемі Oasis USDT зазнав серйозного викривлення. Ця проблема виникла через недостатню ліквідність на вихідному ланцюзі кросчейн моста EVODeFi. Хоча конкретна сума збитків не була оприлюднена, оцінюється, що вона складає десятки мільйонів доларів.
Після інциденту реакція була неоднозначною. EVODeFi звинувачує ринкову паніку, тоді як офіційні представники Oasis підкреслюють, що це не пов'язано з ValleySwap і EvoDeFi, і зазначають, що у EvoDeFi існують високі ризики. Користувачі досі не отримали жодних компенсацій за збитки, і схоже, що відповідні проєкти вже припинили свою діяльність.
Horizon: майже 100 мільйонів доларів збитків, план компенсації все ще обговорюється
24 червня 2022 року офіційний кросчейн міст Harmony Horizon зазнав атаки, в результаті якої було втрачено близько 100 мільйонів доларів. Засновник Harmony пізніше визнав, що атака могла бути викликана витоком приватного ключа. Вкрадені кошти включали різноманітні активи в мережах Ethereum та BNB.
Harmony спочатку запропонував часткову компенсацію збитків користувачів шляхом випуску додаткових токенів ONE протягом 3 років, але не зміг отримати одностайну підтримку спільноти. Наразі, команда проекту працює над новим планом компенсації.
Nomad: збитки в 1,9 мільярда доларів, частину коштів можна повернути
На початку серпня 2022 року міст Nomad раптово зазнав виснаження ліквідності, втративши приблизно 190 мільйонів доларів США. Аналіз показав, що проблема виникла через недолік у низькорівневій помилці під час оновлення контракту, що призвело до того, що будь-хто міг вилучити кошти з моста.
Ця подія вплинула на 1251 ETH-адресу, з яких 12 ENS-адрес становлять 38% від загальних втрат. Хоча команда проекту ще не представила чіткий план компенсації, деякі білих капелюшків уже висловили готовність повернути кошти.
Підсумок
Часті інциденти безпеки кросчейн мостів підкреслюють високу ризикованість цієї сфери. Варто зазначити, що навіть найбільш ліквідні мости, такі як Multichain, Wormhole і Poly Network, стикалися з проблемами безпеки, що свідчить про те, що будь-який кросчейн міст може стикатися з загрозами безпеки.
Однак проекти з потужним бекграундом та фінансовими ресурсами часто мають перевагу при вирішенні проблем безпеки. Наприклад, Poly Network, Ronin Network і Wormhole після масштабних крадіжок коштів змогли повернути їх або компенсувати повну суму різними способами.
Крім того, моніторинг у реальному часі та швидка реакція є ключовими для запобігання атакам. Наприклад, Hop Protocol та StarGate швидко вжили заходів після виявлення підозрілої активності, що дозволило успішно зупинити потенційні атаки.