Cầu nối Cross-chain sự kiện an toàn hồi tưởng: Hơn 1,9 tỷ USD quỹ bị ảnh hưởng, 1,55 tỷ USD đã được bồi thường hoặc thu hồi
Trong hệ sinh thái blockchain có nhiều chuỗi công cộng, nhưng do phần lớn thiếu tài sản chủ đạo, cần phải thông qua cầu nối Cross-chain để lấy tài sản từ các chuỗi công cộng chính như Ethereum. Gần đây, lĩnh vực tài chính phi tập trung (DeFi) đã xảy ra nhiều sự cố an ninh, cầu nối Cross-chain đã trở thành mục tiêu chính của kẻ tấn công do dòng tiền lớn. Bài viết này sẽ xem xét lại 10 sự kiện tấn công cầu nối Cross-chain quy mô lớn đã xảy ra trong quá khứ, trong đó tổng cộng liên quan đến hơn 1,9 tỷ USD, trong đó khoảng 1,55 tỷ USD đã được bồi thường hoặc thu hồi.
ChainSwap: Thiệt hại 8 triệu đô la, giải quyết bằng cách phát hành lại token
Vào tháng 7 năm 2021, ChainSwap đã gặp phải hai cuộc tấn công của hacker trong vòng chưa đầy 9 ngày. Cuộc tấn công đầu tiên gây ra thiệt hại khoảng 800.000 USD, cuộc tấn công thứ hai thiệt hại nghiêm trọng hơn, lên tới 8 triệu USD, ảnh hưởng đến hơn 20 dự án sử dụng ChainSwap để thực hiện các hoạt động chuỗi cross.
Cuộc khảo sát cho thấy, nguyên nhân vụ tai nạn là do hợp đồng không kiểm tra chặt chẽ tính hợp lệ của chữ ký, kẻ tấn công đã sử dụng chữ ký tự tạo của mình để hoàn thành giao dịch. Do thiệt hại chủ yếu liên quan đến token quản trị của dự án, bao gồm cả ChainSwap, nhiều dự án bị ảnh hưởng đã chọn thực hiện chụp nhanh và phát hành token mới để bù đắp cho các nhà nắm giữ token và nhà cung cấp thanh khoản.
Poly Network: 6,1 triệu USD bị đánh cắp đã được khôi phục hoàn toàn
Vào ngày 10 tháng 8 năm 2021, giao thức tương tác chuỗi cross Poly Network đã gặp phải một cuộc tấn công quy mô lớn, mất 250 triệu, 270 triệu và 85 triệu USD tài sản trên các mạng Ethereum, Binance Smart Chain và Polygon, tổng cộng khoảng 610 triệu USD.
Cuộc tấn công chủ yếu khai thác lỗ hổng trong logic quản lý quyền hợp đồng của Poly Network. Kẻ tấn công đã thành công trong việc sửa đổi địa chỉ người xác thực trên chuỗi mục tiêu, từ đó kiểm soát các hoạt động chuyển giao tài sản. Mặc dù kẻ tấn công ban đầu sử dụng token riêng tư để chuẩn bị vốn, nhưng cuối cùng đã chọn hoàn trả toàn bộ số tiền bị đánh cắp. Poly Network sau đó gọi họ là "hacker mũ trắng" và đề xuất thuê họ làm cố vấn an ninh chính.
Multichain: 600 triệu USD thiệt hại, một phần tiền đã được bồi thường
Vào tháng 1 năm 2022, Multichain đã phát hiện ra một lỗ hổng quan trọng ảnh hưởng đến nhiều loại tiền tệ. Mặc dù lỗ hổng đã được sửa chữa, nhưng một số tài sản của người dùng vẫn đang đối mặt với rủi ro. Theo báo cáo chính thức, có tổng cộng 7962 địa chỉ người dùng bị ảnh hưởng, trong đó 3101 địa chỉ chưa kịp thu hồi quyền truy cập.
Các khoản tiền bị đánh cắp bao gồm 1889.6612 WETH và 833.4191 AVAX, ước tính khoảng 6 triệu USD theo giá trị vào thời điểm đó. Đội ngũ an ninh phân tích chỉ ra rằng lỗ hổng nguồn gốc từ sự sơ suất của Multichain trong việc xác thực tính hợp pháp của mã thông báo đầu vào của người dùng. Tính đến thời điểm báo cáo được công bố, gần 50% số tiền bị đánh cắp đã được thu hồi. Multichain đề xuất hoàn trả phần tiền này cho những người dùng đã hủy quyền hợp đồng, nhưng sẽ không bồi thường cho các tổn thất tiếp theo.
QBridge: 80 triệu đô la thiệt hại, chỉ 2% được bồi thường
Ngày 28 tháng 1 năm 2022, cầu nối Cross-chain QBridge của nền tảng cho vay Qubit đã bị tấn công, gây thiệt hại khoảng 80 triệu đô la. Kẻ tấn công đã lợi dụng lỗ hổng trong việc xử lý chuyển khoản token trong danh sách trắng của QBridge mà không kiểm tra lại địa chỉ không, đã tạo ra một lượng lớn token xETH trên mạng BSC và sử dụng những token này để vay các tài sản khác từ Qubit.
Hiện tại, tỷ lệ sử dụng Qubit đã giảm mạnh, dữ liệu chính thức cho thấy 98% số tiền bị đánh cắp vẫn chưa được bồi thường.
Meter.io: Lỗ 4,4 triệu đô la, cam kết bồi thường bằng lợi nhuận tương lai
Vào ngày 6 tháng 2 năm 2022, cầu nối Cross-chain Meter Passport đã bị tấn công, gây thiệt hại 4,4 triệu đô la. Chính thức cho biết vấn đề nằm ở "giả định tin cậy sai lầm" trong mã nguồn cơ bản, cho phép kẻ tấn công giả mạo các giao dịch BNB và ETH.
Meter ban đầu dự định bồi thường thiệt hại cho người dùng bằng token MTRG, nhưng sau đó quyết định phát hành token mới PASS để bồi thường và hứa hẹn sẽ mua lại những token này bằng lợi nhuận trong tương lai. Tuy nhiên, đến thời điểm hiện tại vẫn chưa thực hiện bất kỳ hoạt động mua lại nào.
Ronin: 6.2 triệu đô la Mỹ thiệt hại, đã bồi thường đầy đủ
Cuối tháng 3 năm 2022, mạng Ronin đứng sau trò chơi blockchain Axie Infinity đã gặp phải một sự cố an ninh lớn, thiệt hại khoảng 620 triệu USD. Kẻ tấn công đã sử dụng các phương pháp kỹ thuật xã hội để giành quyền kiểm soát 5 trong số 9 nút xác thực của mạng Ronin, từ đó thao túng mạng lưới.
Mặc dù số tiền bị đánh cắp không thể thu hồi, nhưng nhà phát triển Axie Infinity, Sky Mavis, đã hoàn thành vòng tài trợ 150 triệu USD với sự dẫn dắt của Binance để bồi thường cho người dùng. Cuối tháng 6, cầu nối Ronin đã được khởi động lại, người dùng có thể nhận được bồi thường. Tuy nhiên, do giá ETH đã giảm mạnh trong thời gian này, giá trị thực của khoản bồi thường đã giảm đáng kể.
Wormhole: 3.26 triệu đô la Mỹ thiệt hại, đã hoàn trả toàn bộ
Vào đầu tháng 2 năm 2022, giao thức chuỗi cross Wormhole đã bị tấn công, gây thiệt hại khoảng 120.000 ETH, trị giá 326 triệu đô la Mỹ. Kẻ tấn công đã lợi dụng lỗ hổng xác minh chữ ký trong hợp đồng cốt lõi Wormhole ở đầu Solana, giả mạo thông điệp "người giám hộ" để đúc ra một lượng lớn whETH.
Sau khi sự cố xảy ra, Jump Crypto (người mua Certus One, công ty phát triển Wormhole) đã nhanh chóng bơm 120,000 ETH để bù đắp cho toàn bộ thiệt hại, Wormhole sau đó đã khôi phục hoạt động bình thường.
EvoDeFi: Ước tính tổn thất lên đến hàng triệu đô la, chưa được giải quyết
Vào đầu tháng 6 năm 2022, USDT trên sàn giao dịch phi tập trung ValleySwap trong hệ sinh thái Oasis đã xảy ra tình trạng mất giá nghiêm trọng. Vấn đề này xuất phát từ cầu nối Cross-chain EVODeFi mà nó sử dụng gặp phải tình trạng thanh khoản không đủ trên chuỗi nguồn. Mặc dù số tiền thiệt hại cụ thể chưa được công bố, nhưng ước tính ở mức hàng chục triệu đô la.
Sau khi tai nạn xảy ra, các bên phản ứng không giống nhau. EVODeFi quy trách nhiệm cho sự hoảng loạn của thị trường, trong khi Oasis chính thức nhấn mạnh rằng họ không liên quan đến ValleySwap và EvoDeFi, đồng thời chỉ ra rằng EvoDeFi có rủi ro cao. Người dùng đến nay vẫn chưa nhận được bất kỳ khoản bồi thường nào, và các bên liên quan dường như đã ngừng hoạt động.
Horizon: Gần 100 triệu USD thiệt hại, kế hoạch bồi thường vẫn đang trong quá trình thảo luận
Ngày 24 tháng 6 năm 2022, cầu nối Cross-chain chính thức Horizon của chuỗi công khai Harmony đã bị tấn công, thiệt hại khoảng 100 triệu USD. Người sáng lập Harmony sau đó thừa nhận, cuộc tấn công có thể xuất phát từ việc lộ khóa riêng. Các khoản tiền bị đánh cắp liên quan đến nhiều tài sản trên chuỗi Ethereum và BNB.
Harmony ban đầu đề xuất phát hành thêm token ONE trong vòng 3 năm để bù đắp một phần thiệt hại cho người dùng, nhưng đã không nhận được sự đồng thuận từ cộng đồng. Hiện tại, nhóm dự án đang xây dựng lại kế hoạch bồi thường.
Nomad: 1,9 triệu USD thiệt hại, một phần quỹ có khả năng được thu hồi
Vào đầu tháng 8 năm 2022, cầu nối Nomad đột ngột cạn kiệt thanh khoản, mất khoảng 190 triệu USD. Phân tích cho thấy, vấn đề xuất phát từ một lỗi cấp thấp trong quá trình nâng cấp hợp đồng, cho phép bất kỳ ai cũng có thể rút tiền từ cầu nối.
Sự kiện này đã ảnh hưởng đến 1251 địa chỉ ETH, trong đó 12 địa chỉ ENS chiếm 38% tổng thiệt hại. Mặc dù nhóm dự án chưa đưa ra kế hoạch bồi thường rõ ràng, nhưng một số hacker mũ trắng đã bày tỏ sẵn sàng hoàn lại tiền.
Tóm tắt
Sự gia tăng các sự cố an ninh của cầu nối Cross-chain đã làm nổi bật tính rủi ro cao trong lĩnh vực này. Đáng chú ý là ngay cả những cầu nối có xếp hạng thanh khoản hàng đầu như Multichain, Wormhole và Poly Network cũng đã gặp phải vấn đề về an ninh, điều này cho thấy bất kỳ cầu nối Cross-chain nào cũng có thể đối mặt với mối đe dọa an ninh.
Tuy nhiên, các dự án có nền tảng vững mạnh và năng lực tài chính mạnh mẽ thường có lợi thế hơn trong việc xử lý sự cố an ninh. Chẳng hạn, Poly Network, Ronin Network và Wormhole đều có thể tìm lại tiền hoặc bồi thường toàn bộ sau khi gặp phải vụ trộm tiền lớn.
Ngoài ra, việc giám sát thời gian thực và phản hồi nhanh chóng cũng là chìa khóa để phòng ngừa tấn công. Như Hop Protocol và StarGate đã nhanh chóng hành động sau khi phát hiện hoạt động nghi vấn, ngăn chặn thành công các cuộc tấn công tiềm tàng.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
12 thích
Phần thưởng
12
4
Chia sẻ
Bình luận
0/400
0xInsomnia
· 07-25 12:27
Xem đi, đã nói cầu nối Cross-chain nguy hiểm từ lâu.
Xem bản gốcTrả lời0
MetaverseVagabond
· 07-23 16:02
Bạn bè không dám sử dụng chuỗi cross.
Xem bản gốcTrả lời0
blocksnark
· 07-23 15:51
15 tỷ bị mất? Lỗ lớn thôi được.
Xem bản gốcTrả lời0
WealthCoffee
· 07-23 15:49
Tiền xu nhặt được trong thùng rác ở trường đã mất hết.
Tổng kết sự kiện tấn công lớn cầu nối Cross-chain: 1,9 tỷ USD bị ảnh hưởng, 1,55 tỷ đã được bồi thường.
Cầu nối Cross-chain sự kiện an toàn hồi tưởng: Hơn 1,9 tỷ USD quỹ bị ảnh hưởng, 1,55 tỷ USD đã được bồi thường hoặc thu hồi
Trong hệ sinh thái blockchain có nhiều chuỗi công cộng, nhưng do phần lớn thiếu tài sản chủ đạo, cần phải thông qua cầu nối Cross-chain để lấy tài sản từ các chuỗi công cộng chính như Ethereum. Gần đây, lĩnh vực tài chính phi tập trung (DeFi) đã xảy ra nhiều sự cố an ninh, cầu nối Cross-chain đã trở thành mục tiêu chính của kẻ tấn công do dòng tiền lớn. Bài viết này sẽ xem xét lại 10 sự kiện tấn công cầu nối Cross-chain quy mô lớn đã xảy ra trong quá khứ, trong đó tổng cộng liên quan đến hơn 1,9 tỷ USD, trong đó khoảng 1,55 tỷ USD đã được bồi thường hoặc thu hồi.
ChainSwap: Thiệt hại 8 triệu đô la, giải quyết bằng cách phát hành lại token
Vào tháng 7 năm 2021, ChainSwap đã gặp phải hai cuộc tấn công của hacker trong vòng chưa đầy 9 ngày. Cuộc tấn công đầu tiên gây ra thiệt hại khoảng 800.000 USD, cuộc tấn công thứ hai thiệt hại nghiêm trọng hơn, lên tới 8 triệu USD, ảnh hưởng đến hơn 20 dự án sử dụng ChainSwap để thực hiện các hoạt động chuỗi cross.
Cuộc khảo sát cho thấy, nguyên nhân vụ tai nạn là do hợp đồng không kiểm tra chặt chẽ tính hợp lệ của chữ ký, kẻ tấn công đã sử dụng chữ ký tự tạo của mình để hoàn thành giao dịch. Do thiệt hại chủ yếu liên quan đến token quản trị của dự án, bao gồm cả ChainSwap, nhiều dự án bị ảnh hưởng đã chọn thực hiện chụp nhanh và phát hành token mới để bù đắp cho các nhà nắm giữ token và nhà cung cấp thanh khoản.
Poly Network: 6,1 triệu USD bị đánh cắp đã được khôi phục hoàn toàn
Vào ngày 10 tháng 8 năm 2021, giao thức tương tác chuỗi cross Poly Network đã gặp phải một cuộc tấn công quy mô lớn, mất 250 triệu, 270 triệu và 85 triệu USD tài sản trên các mạng Ethereum, Binance Smart Chain và Polygon, tổng cộng khoảng 610 triệu USD.
Cuộc tấn công chủ yếu khai thác lỗ hổng trong logic quản lý quyền hợp đồng của Poly Network. Kẻ tấn công đã thành công trong việc sửa đổi địa chỉ người xác thực trên chuỗi mục tiêu, từ đó kiểm soát các hoạt động chuyển giao tài sản. Mặc dù kẻ tấn công ban đầu sử dụng token riêng tư để chuẩn bị vốn, nhưng cuối cùng đã chọn hoàn trả toàn bộ số tiền bị đánh cắp. Poly Network sau đó gọi họ là "hacker mũ trắng" và đề xuất thuê họ làm cố vấn an ninh chính.
Multichain: 600 triệu USD thiệt hại, một phần tiền đã được bồi thường
Vào tháng 1 năm 2022, Multichain đã phát hiện ra một lỗ hổng quan trọng ảnh hưởng đến nhiều loại tiền tệ. Mặc dù lỗ hổng đã được sửa chữa, nhưng một số tài sản của người dùng vẫn đang đối mặt với rủi ro. Theo báo cáo chính thức, có tổng cộng 7962 địa chỉ người dùng bị ảnh hưởng, trong đó 3101 địa chỉ chưa kịp thu hồi quyền truy cập.
Các khoản tiền bị đánh cắp bao gồm 1889.6612 WETH và 833.4191 AVAX, ước tính khoảng 6 triệu USD theo giá trị vào thời điểm đó. Đội ngũ an ninh phân tích chỉ ra rằng lỗ hổng nguồn gốc từ sự sơ suất của Multichain trong việc xác thực tính hợp pháp của mã thông báo đầu vào của người dùng. Tính đến thời điểm báo cáo được công bố, gần 50% số tiền bị đánh cắp đã được thu hồi. Multichain đề xuất hoàn trả phần tiền này cho những người dùng đã hủy quyền hợp đồng, nhưng sẽ không bồi thường cho các tổn thất tiếp theo.
QBridge: 80 triệu đô la thiệt hại, chỉ 2% được bồi thường
Ngày 28 tháng 1 năm 2022, cầu nối Cross-chain QBridge của nền tảng cho vay Qubit đã bị tấn công, gây thiệt hại khoảng 80 triệu đô la. Kẻ tấn công đã lợi dụng lỗ hổng trong việc xử lý chuyển khoản token trong danh sách trắng của QBridge mà không kiểm tra lại địa chỉ không, đã tạo ra một lượng lớn token xETH trên mạng BSC và sử dụng những token này để vay các tài sản khác từ Qubit.
Hiện tại, tỷ lệ sử dụng Qubit đã giảm mạnh, dữ liệu chính thức cho thấy 98% số tiền bị đánh cắp vẫn chưa được bồi thường.
Meter.io: Lỗ 4,4 triệu đô la, cam kết bồi thường bằng lợi nhuận tương lai
Vào ngày 6 tháng 2 năm 2022, cầu nối Cross-chain Meter Passport đã bị tấn công, gây thiệt hại 4,4 triệu đô la. Chính thức cho biết vấn đề nằm ở "giả định tin cậy sai lầm" trong mã nguồn cơ bản, cho phép kẻ tấn công giả mạo các giao dịch BNB và ETH.
Meter ban đầu dự định bồi thường thiệt hại cho người dùng bằng token MTRG, nhưng sau đó quyết định phát hành token mới PASS để bồi thường và hứa hẹn sẽ mua lại những token này bằng lợi nhuận trong tương lai. Tuy nhiên, đến thời điểm hiện tại vẫn chưa thực hiện bất kỳ hoạt động mua lại nào.
Ronin: 6.2 triệu đô la Mỹ thiệt hại, đã bồi thường đầy đủ
Cuối tháng 3 năm 2022, mạng Ronin đứng sau trò chơi blockchain Axie Infinity đã gặp phải một sự cố an ninh lớn, thiệt hại khoảng 620 triệu USD. Kẻ tấn công đã sử dụng các phương pháp kỹ thuật xã hội để giành quyền kiểm soát 5 trong số 9 nút xác thực của mạng Ronin, từ đó thao túng mạng lưới.
Mặc dù số tiền bị đánh cắp không thể thu hồi, nhưng nhà phát triển Axie Infinity, Sky Mavis, đã hoàn thành vòng tài trợ 150 triệu USD với sự dẫn dắt của Binance để bồi thường cho người dùng. Cuối tháng 6, cầu nối Ronin đã được khởi động lại, người dùng có thể nhận được bồi thường. Tuy nhiên, do giá ETH đã giảm mạnh trong thời gian này, giá trị thực của khoản bồi thường đã giảm đáng kể.
Wormhole: 3.26 triệu đô la Mỹ thiệt hại, đã hoàn trả toàn bộ
Vào đầu tháng 2 năm 2022, giao thức chuỗi cross Wormhole đã bị tấn công, gây thiệt hại khoảng 120.000 ETH, trị giá 326 triệu đô la Mỹ. Kẻ tấn công đã lợi dụng lỗ hổng xác minh chữ ký trong hợp đồng cốt lõi Wormhole ở đầu Solana, giả mạo thông điệp "người giám hộ" để đúc ra một lượng lớn whETH.
Sau khi sự cố xảy ra, Jump Crypto (người mua Certus One, công ty phát triển Wormhole) đã nhanh chóng bơm 120,000 ETH để bù đắp cho toàn bộ thiệt hại, Wormhole sau đó đã khôi phục hoạt động bình thường.
EvoDeFi: Ước tính tổn thất lên đến hàng triệu đô la, chưa được giải quyết
Vào đầu tháng 6 năm 2022, USDT trên sàn giao dịch phi tập trung ValleySwap trong hệ sinh thái Oasis đã xảy ra tình trạng mất giá nghiêm trọng. Vấn đề này xuất phát từ cầu nối Cross-chain EVODeFi mà nó sử dụng gặp phải tình trạng thanh khoản không đủ trên chuỗi nguồn. Mặc dù số tiền thiệt hại cụ thể chưa được công bố, nhưng ước tính ở mức hàng chục triệu đô la.
Sau khi tai nạn xảy ra, các bên phản ứng không giống nhau. EVODeFi quy trách nhiệm cho sự hoảng loạn của thị trường, trong khi Oasis chính thức nhấn mạnh rằng họ không liên quan đến ValleySwap và EvoDeFi, đồng thời chỉ ra rằng EvoDeFi có rủi ro cao. Người dùng đến nay vẫn chưa nhận được bất kỳ khoản bồi thường nào, và các bên liên quan dường như đã ngừng hoạt động.
Horizon: Gần 100 triệu USD thiệt hại, kế hoạch bồi thường vẫn đang trong quá trình thảo luận
Ngày 24 tháng 6 năm 2022, cầu nối Cross-chain chính thức Horizon của chuỗi công khai Harmony đã bị tấn công, thiệt hại khoảng 100 triệu USD. Người sáng lập Harmony sau đó thừa nhận, cuộc tấn công có thể xuất phát từ việc lộ khóa riêng. Các khoản tiền bị đánh cắp liên quan đến nhiều tài sản trên chuỗi Ethereum và BNB.
Harmony ban đầu đề xuất phát hành thêm token ONE trong vòng 3 năm để bù đắp một phần thiệt hại cho người dùng, nhưng đã không nhận được sự đồng thuận từ cộng đồng. Hiện tại, nhóm dự án đang xây dựng lại kế hoạch bồi thường.
Nomad: 1,9 triệu USD thiệt hại, một phần quỹ có khả năng được thu hồi
Vào đầu tháng 8 năm 2022, cầu nối Nomad đột ngột cạn kiệt thanh khoản, mất khoảng 190 triệu USD. Phân tích cho thấy, vấn đề xuất phát từ một lỗi cấp thấp trong quá trình nâng cấp hợp đồng, cho phép bất kỳ ai cũng có thể rút tiền từ cầu nối.
Sự kiện này đã ảnh hưởng đến 1251 địa chỉ ETH, trong đó 12 địa chỉ ENS chiếm 38% tổng thiệt hại. Mặc dù nhóm dự án chưa đưa ra kế hoạch bồi thường rõ ràng, nhưng một số hacker mũ trắng đã bày tỏ sẵn sàng hoàn lại tiền.
Tóm tắt
Sự gia tăng các sự cố an ninh của cầu nối Cross-chain đã làm nổi bật tính rủi ro cao trong lĩnh vực này. Đáng chú ý là ngay cả những cầu nối có xếp hạng thanh khoản hàng đầu như Multichain, Wormhole và Poly Network cũng đã gặp phải vấn đề về an ninh, điều này cho thấy bất kỳ cầu nối Cross-chain nào cũng có thể đối mặt với mối đe dọa an ninh.
Tuy nhiên, các dự án có nền tảng vững mạnh và năng lực tài chính mạnh mẽ thường có lợi thế hơn trong việc xử lý sự cố an ninh. Chẳng hạn, Poly Network, Ronin Network và Wormhole đều có thể tìm lại tiền hoặc bồi thường toàn bộ sau khi gặp phải vụ trộm tiền lớn.
Ngoài ra, việc giám sát thời gian thực và phản hồi nhanh chóng cũng là chìa khóa để phòng ngừa tấn công. Như Hop Protocol và StarGate đã nhanh chóng hành động sau khi phát hiện hoạt động nghi vấn, ngăn chặn thành công các cuộc tấn công tiềm tàng.