Revisão de incidentes de segurança das pontes de cadeia cruzada: quase 2 bilhões de dólares em ativos afetados
Existem muitas blockchains públicas no ecossistema de blockchain, mas a maioria das cadeias carece de ativos mainstream. Para obter esses ativos, muitos projetos têm que depender de pontes de cadeia cruzada para transferir ativos de blockchains públicas importantes como Ethereum. No entanto, recentemente, ocorreram muitos acidentes de segurança no campo DeFi, e as pontes de cadeia cruzada, devido ao seu alto volume de fundos e operações frequentes, tornaram-se alvos populares para ataques de hackers. Este artigo irá revisar os 10 principais eventos de ataque a pontes de cadeia cruzada que ocorreram no passado, resumir as lições aprendidas, com o objetivo de alertar equipes de desenvolvimento e usuários a aumentarem a vigilância.
Vale a pena notar que projetos de pontes de cadeia cruzada com forte capacidade e bons antecedentes, após sofrerem acidentes de segurança, geralmente têm mais capacidade para recuperar ativos ou realizar compensações. Portanto, ao escolher uma ponte de cadeia cruzada, considerar projetos com capacidade pode ser uma opção mais segura.
1. ChainSwap: perda de 8 milhões de dólares, reemissão de tokens
Em julho de 2021, o ChainSwap sofreu dois ataques de hackers em apenas 9 dias. O primeiro resultou em uma perda de cerca de 800 mil dólares, enquanto o segundo causou uma perda de até 8 milhões de dólares, afetando mais de 20 projetos que utilizavam o ChainSwap para cadeia cruzada.
A causa do acidente foi a falha do protocolo em verificar rigorosamente a validade da assinatura, permitindo que o atacante usasse uma assinatura gerada por ele mesmo para assinar a transação. Como as perdas envolveram principalmente os tokens de governança do projeto, vários projetos, incluindo o ChainSwap, optaram por fazer um snapshot e emitir novos tokens para compensar os detentores de tokens e os provedores de liquidez.
2. Poly Network: 610 milhões de dólares foram roubados, sendo recuperados na totalidade.
No dia 10 de agosto de 2021, o protocolo de interoperabilidade de cadeia cruzada Poly Network foi alvo de um ataque hacker, resultando em uma perda total de cerca de 610 milhões de dólares em ativos nas redes Ethereum, Binance Smart Chain e Polygon.
Os atacantes exploraram a vulnerabilidade na lógica de gestão de permissões do contrato da Poly Network, conseguindo modificar os endereços dos validadores na cadeia alvo, controlando assim a operação de transferência de ativos. Embora a técnica de ataque tenha sido sofisticada, os hackers acabaram por devolver todos os fundos. A Poly Network posteriormente chamou-os de "hackers de chapéu branco" e propôs contratá-los como consultores de segurança da empresa.
3. Multichain: 6 milhões de dólares afetados, já compensados parcialmente
Em janeiro de 2022, a Multichain descobriu uma vulnerabilidade significativa que afetava vários tokens. Embora a vulnerabilidade tenha sido corrigida, alguns usuários ainda sofreram perdas devido à falta de revogação de autorizações em tempo hábil. Um total de aproximadamente 6,04 milhões de dólares em WETH e AVAX foram roubados.
A causa do acidente reside no fato de que o Multichain apresenta defeitos na validação da legitimidade dos Tokens enviados pelos usuários, não considerando que nem todos os tokens subjacentes implementaram a função permit. A equipe já recuperou quase 50% dos fundos roubados e apresentou um plano de compensação, mas este é limitado apenas aos usuários que revogaram a autorização do contrato antes da data especificada.
4. QBridge: 80 milhões de dólares em perdas, apenas 2% de compensação
No final de janeiro de 2022, a ponte de cadeia cruzada QBridge do protocolo de empréstimo Qubit foi atacada, resultando em uma perda de cerca de 80 milhões de dólares.
Os atacantes exploraram uma vulnerabilidade no QBridge que não verificou novamente se o endereço era zero ao processar transferências de tokens na lista branca, criando assim uma grande quantidade de tokens xETH do nada na BSC e utilizando-os como colateral para emprestar outros tokens do Qubit, resultando na exaustão da garantia do Qubit.
Atualmente, a taxa de utilização do Qubit está quase a zero, e os dados oficiais mostram que 98% dos fundos roubados ainda não foram compensados.
5. Meter.io: Perda de 4,4 milhões de dólares, promessa de compensar com receitas futuras
Em fevereiro de 2022, a ponte de cadeia cruzada Meter Passport foi explorada por hackers devido a uma "suposição de confiança errada", resultando em uma perda de 4,4 milhões de dólares. Os atacantes realizaram o ataque falsificando transferências de BNB e ETH.
A equipe Meter inicialmente planejou compensar os usuários com o token MTRG, mas depois decidiu emitir um novo token PASS para a compensação, prometendo recomprar esses tokens com os lucros futuros. No entanto, até o momento, nenhuma operação de recompra foi realizada.
6. Ronin: 6,2 milhões de dólares roubados, já totalmente compensados
Em março de 2022, a cadeia Ronin por trás do jogo de blockchain Axie Infinity sofreu um ataque significativo, resultando em perdas de cerca de 620 milhões de dólares. O ataque ocorreu efetivamente no dia 23 de março, mas só foi descoberto seis dias depois.
Os atacantes, através de engenharia social, disfarçaram-se como uma empresa de recrutamento para contactar os funcionários da Sky Mavis, conseguindo, assim, infiltrar-se na rede Ronin e controlar vários nós de validação. Embora os fundos roubados não tenham sido recuperados, a Sky Mavis levantou 150 milhões de dólares através de uma nova ronda de financiamento para compensar as perdas dos usuários.
7. Wormhole: 326 milhões de dólares em perdas, já pagos na totalidade
No início de fevereiro de 2022, o protocolo de interoperabilidade de cadeia cruzada Wormhole foi atacado por hackers, resultando em uma perda de cerca de 120 mil ETH, no valor de 326 milhões de dólares.
A razão do ataque foi um erro no código de verificação de assinatura do contrato central do Wormhole na rede Solana, que permitiu que os atacantes falsificassem mensagens de guardiões para cunhar whETH. Após o incidente, a Jump Crypto rapidamente injetou 120.000 ETH no Wormhole, compensando todas as perdas e permitindo que o Wormhole voltasse a operar.
8. EvoDeFi: perda estimada de milhões de dólares, não tratada
Em junho de 2022, ocorreu uma grave desanexação do USDT na DEX ValleySwap do ecossistema Oasis. Embora o valor exato da perda não seja conhecido, estima-se que esteja na casa das dezenas de milhões de dólares.
A raiz do problema está na falta de liquidez da ponte de cadeia cruzada EVODeFi utilizada pelo ValleySwap na cadeia de origem. A EVODeFi afirma que a situação foi causada por pânico gerado por FUD, mas essa explicação não é convincente. A Oasis, por sua vez, enfatiza que não tem ligação com o ValleySwap e a EvoDeFi, e aponta que a EvoDeFi é um projeto de alto risco, não auditado e não aberto.
Até agora, as perdas dos usuários ainda não foram resolvidas, e as partes envolvidas parecem ter interrompido a comunicação adicional.
9. Horizon: perda de quase 100 milhões de dólares, plano de compensação ainda em elaboração.
No dia 24 de junho de 2022, a ponte de cadeia cruzada Horizon da Harmony foi atacada, causando uma perda de cerca de 100 milhões de dólares em fundos.
O fundador da Harmony, Stephen Tse, admitiu que o ataque pode ter sido causado por "vazamento de chave privada". Os fundos roubados envolvem várias redes e múltiplas criptomoedas. Após o incidente, a Horizon aumentou o limite de assinatura múltipla, mas essa medida não conseguiu recuperar as perdas já causadas.
Harmony propôs compensar as perdas dos usuários ao longo de três anos por meio da emissão adicional de tokens ONE, mas essa proposta não obteve a aceitação unânime da comunidade. Atualmente, a equipe está reformulando o plano de compensação.
10. Nomad: 1,9 milhões de dólares afetados, processamento em andamento
No início de agosto de 2022, a ponte de cadeia cruzada Nomad sofreu um grave acidente de segurança, resultando na rápida perda de 190 milhões de dólares em liquidez. Este evento também afetou indiretamente outro protocolo de interoperabilidade Layer2, Connext, causando uma perda associada de cerca de 3,34 milhões de dólares.
Segundo especialistas, o acidente foi causado pelo fato de a Nomad ter inicializado a raiz de confiança como 0x00 durante uma atualização de contrato, o que permitiu que qualquer pessoa substituísse o endereço e retirasse fundos usando transações válidas.
O ataque envolveu 1251 endereços ETH, dos quais os endereços ENS representam 38% do montante total. Até agora, a equipe do projeto não apresentou um plano de compensação claro, mas alguns hackers éticos já se mostraram dispostos a devolver os fundos.
Conclusão
A frequência dos acidentes de segurança nas pontes de cadeia cruzada deve ser motivo de alta preocupação para a indústria. Mesmo as pontes com as três melhores classificações de liquidez, como Multichain, Portal (Wormhole) e Poly Network, já enfrentaram problemas de segurança, o que indica que o campo das pontes de cadeia cruzada ainda apresenta riscos elevados, e qualquer projeto pode novamente ter falhas de segurança.
Analisando casos anteriores, os projetos de pontes de cadeia cruzada com um sólido histórico e forte capacidade financeira, frequentemente conseguem recuperar ativos de forma mais eficaz ou oferecer compensação aos usuários após um incidente de segurança. Por exemplo, após grandes incidentes de roubo de fundos, a Poly Network, a Ronin Network e a Wormhole conseguiram ou recuperar os fundos ou realizaram reembolsos totais.
Além disso, a capacidade de monitoramento em tempo real e resposta rápida da equipe também é crucial. Projetos como o Hop Protocol e o StarGate conseguem agir rapidamente após receberem relatórios de atividades suspeitas, efetivamente bloqueando ataques potenciais.
Ver original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
18 Curtidas
Recompensa
18
7
Compartilhar
Comentário
0/400
TerraNeverForget
· 1h atrás
É importante gastar dinheiro para garantir a segurança.
Ver originalResponder0
CoinBasedThinking
· 07-02 18:19
Hacker é realmente fácil de ganhar dinheiro
Ver originalResponder0
faded_wojak.eth
· 07-02 15:40
pessoas idiotas em primeiro lugar para salvar a vida
pontes de cadeia cruzada Hacker atacou, resultando em perdas de quase 2 bilhões de dólares. O risco de segurança ainda é alto.
Revisão de incidentes de segurança das pontes de cadeia cruzada: quase 2 bilhões de dólares em ativos afetados
Existem muitas blockchains públicas no ecossistema de blockchain, mas a maioria das cadeias carece de ativos mainstream. Para obter esses ativos, muitos projetos têm que depender de pontes de cadeia cruzada para transferir ativos de blockchains públicas importantes como Ethereum. No entanto, recentemente, ocorreram muitos acidentes de segurança no campo DeFi, e as pontes de cadeia cruzada, devido ao seu alto volume de fundos e operações frequentes, tornaram-se alvos populares para ataques de hackers. Este artigo irá revisar os 10 principais eventos de ataque a pontes de cadeia cruzada que ocorreram no passado, resumir as lições aprendidas, com o objetivo de alertar equipes de desenvolvimento e usuários a aumentarem a vigilância.
Vale a pena notar que projetos de pontes de cadeia cruzada com forte capacidade e bons antecedentes, após sofrerem acidentes de segurança, geralmente têm mais capacidade para recuperar ativos ou realizar compensações. Portanto, ao escolher uma ponte de cadeia cruzada, considerar projetos com capacidade pode ser uma opção mais segura.
1. ChainSwap: perda de 8 milhões de dólares, reemissão de tokens
Em julho de 2021, o ChainSwap sofreu dois ataques de hackers em apenas 9 dias. O primeiro resultou em uma perda de cerca de 800 mil dólares, enquanto o segundo causou uma perda de até 8 milhões de dólares, afetando mais de 20 projetos que utilizavam o ChainSwap para cadeia cruzada.
A causa do acidente foi a falha do protocolo em verificar rigorosamente a validade da assinatura, permitindo que o atacante usasse uma assinatura gerada por ele mesmo para assinar a transação. Como as perdas envolveram principalmente os tokens de governança do projeto, vários projetos, incluindo o ChainSwap, optaram por fazer um snapshot e emitir novos tokens para compensar os detentores de tokens e os provedores de liquidez.
2. Poly Network: 610 milhões de dólares foram roubados, sendo recuperados na totalidade.
No dia 10 de agosto de 2021, o protocolo de interoperabilidade de cadeia cruzada Poly Network foi alvo de um ataque hacker, resultando em uma perda total de cerca de 610 milhões de dólares em ativos nas redes Ethereum, Binance Smart Chain e Polygon.
Os atacantes exploraram a vulnerabilidade na lógica de gestão de permissões do contrato da Poly Network, conseguindo modificar os endereços dos validadores na cadeia alvo, controlando assim a operação de transferência de ativos. Embora a técnica de ataque tenha sido sofisticada, os hackers acabaram por devolver todos os fundos. A Poly Network posteriormente chamou-os de "hackers de chapéu branco" e propôs contratá-los como consultores de segurança da empresa.
3. Multichain: 6 milhões de dólares afetados, já compensados parcialmente
Em janeiro de 2022, a Multichain descobriu uma vulnerabilidade significativa que afetava vários tokens. Embora a vulnerabilidade tenha sido corrigida, alguns usuários ainda sofreram perdas devido à falta de revogação de autorizações em tempo hábil. Um total de aproximadamente 6,04 milhões de dólares em WETH e AVAX foram roubados.
A causa do acidente reside no fato de que o Multichain apresenta defeitos na validação da legitimidade dos Tokens enviados pelos usuários, não considerando que nem todos os tokens subjacentes implementaram a função permit. A equipe já recuperou quase 50% dos fundos roubados e apresentou um plano de compensação, mas este é limitado apenas aos usuários que revogaram a autorização do contrato antes da data especificada.
4. QBridge: 80 milhões de dólares em perdas, apenas 2% de compensação
No final de janeiro de 2022, a ponte de cadeia cruzada QBridge do protocolo de empréstimo Qubit foi atacada, resultando em uma perda de cerca de 80 milhões de dólares.
Os atacantes exploraram uma vulnerabilidade no QBridge que não verificou novamente se o endereço era zero ao processar transferências de tokens na lista branca, criando assim uma grande quantidade de tokens xETH do nada na BSC e utilizando-os como colateral para emprestar outros tokens do Qubit, resultando na exaustão da garantia do Qubit.
Atualmente, a taxa de utilização do Qubit está quase a zero, e os dados oficiais mostram que 98% dos fundos roubados ainda não foram compensados.
5. Meter.io: Perda de 4,4 milhões de dólares, promessa de compensar com receitas futuras
Em fevereiro de 2022, a ponte de cadeia cruzada Meter Passport foi explorada por hackers devido a uma "suposição de confiança errada", resultando em uma perda de 4,4 milhões de dólares. Os atacantes realizaram o ataque falsificando transferências de BNB e ETH.
A equipe Meter inicialmente planejou compensar os usuários com o token MTRG, mas depois decidiu emitir um novo token PASS para a compensação, prometendo recomprar esses tokens com os lucros futuros. No entanto, até o momento, nenhuma operação de recompra foi realizada.
6. Ronin: 6,2 milhões de dólares roubados, já totalmente compensados
Em março de 2022, a cadeia Ronin por trás do jogo de blockchain Axie Infinity sofreu um ataque significativo, resultando em perdas de cerca de 620 milhões de dólares. O ataque ocorreu efetivamente no dia 23 de março, mas só foi descoberto seis dias depois.
Os atacantes, através de engenharia social, disfarçaram-se como uma empresa de recrutamento para contactar os funcionários da Sky Mavis, conseguindo, assim, infiltrar-se na rede Ronin e controlar vários nós de validação. Embora os fundos roubados não tenham sido recuperados, a Sky Mavis levantou 150 milhões de dólares através de uma nova ronda de financiamento para compensar as perdas dos usuários.
7. Wormhole: 326 milhões de dólares em perdas, já pagos na totalidade
No início de fevereiro de 2022, o protocolo de interoperabilidade de cadeia cruzada Wormhole foi atacado por hackers, resultando em uma perda de cerca de 120 mil ETH, no valor de 326 milhões de dólares.
A razão do ataque foi um erro no código de verificação de assinatura do contrato central do Wormhole na rede Solana, que permitiu que os atacantes falsificassem mensagens de guardiões para cunhar whETH. Após o incidente, a Jump Crypto rapidamente injetou 120.000 ETH no Wormhole, compensando todas as perdas e permitindo que o Wormhole voltasse a operar.
8. EvoDeFi: perda estimada de milhões de dólares, não tratada
Em junho de 2022, ocorreu uma grave desanexação do USDT na DEX ValleySwap do ecossistema Oasis. Embora o valor exato da perda não seja conhecido, estima-se que esteja na casa das dezenas de milhões de dólares.
A raiz do problema está na falta de liquidez da ponte de cadeia cruzada EVODeFi utilizada pelo ValleySwap na cadeia de origem. A EVODeFi afirma que a situação foi causada por pânico gerado por FUD, mas essa explicação não é convincente. A Oasis, por sua vez, enfatiza que não tem ligação com o ValleySwap e a EvoDeFi, e aponta que a EvoDeFi é um projeto de alto risco, não auditado e não aberto.
Até agora, as perdas dos usuários ainda não foram resolvidas, e as partes envolvidas parecem ter interrompido a comunicação adicional.
9. Horizon: perda de quase 100 milhões de dólares, plano de compensação ainda em elaboração.
No dia 24 de junho de 2022, a ponte de cadeia cruzada Horizon da Harmony foi atacada, causando uma perda de cerca de 100 milhões de dólares em fundos.
O fundador da Harmony, Stephen Tse, admitiu que o ataque pode ter sido causado por "vazamento de chave privada". Os fundos roubados envolvem várias redes e múltiplas criptomoedas. Após o incidente, a Horizon aumentou o limite de assinatura múltipla, mas essa medida não conseguiu recuperar as perdas já causadas.
Harmony propôs compensar as perdas dos usuários ao longo de três anos por meio da emissão adicional de tokens ONE, mas essa proposta não obteve a aceitação unânime da comunidade. Atualmente, a equipe está reformulando o plano de compensação.
10. Nomad: 1,9 milhões de dólares afetados, processamento em andamento
No início de agosto de 2022, a ponte de cadeia cruzada Nomad sofreu um grave acidente de segurança, resultando na rápida perda de 190 milhões de dólares em liquidez. Este evento também afetou indiretamente outro protocolo de interoperabilidade Layer2, Connext, causando uma perda associada de cerca de 3,34 milhões de dólares.
Segundo especialistas, o acidente foi causado pelo fato de a Nomad ter inicializado a raiz de confiança como 0x00 durante uma atualização de contrato, o que permitiu que qualquer pessoa substituísse o endereço e retirasse fundos usando transações válidas.
O ataque envolveu 1251 endereços ETH, dos quais os endereços ENS representam 38% do montante total. Até agora, a equipe do projeto não apresentou um plano de compensação claro, mas alguns hackers éticos já se mostraram dispostos a devolver os fundos.
Conclusão
A frequência dos acidentes de segurança nas pontes de cadeia cruzada deve ser motivo de alta preocupação para a indústria. Mesmo as pontes com as três melhores classificações de liquidez, como Multichain, Portal (Wormhole) e Poly Network, já enfrentaram problemas de segurança, o que indica que o campo das pontes de cadeia cruzada ainda apresenta riscos elevados, e qualquer projeto pode novamente ter falhas de segurança.
Analisando casos anteriores, os projetos de pontes de cadeia cruzada com um sólido histórico e forte capacidade financeira, frequentemente conseguem recuperar ativos de forma mais eficaz ou oferecer compensação aos usuários após um incidente de segurança. Por exemplo, após grandes incidentes de roubo de fundos, a Poly Network, a Ronin Network e a Wormhole conseguiram ou recuperar os fundos ou realizaram reembolsos totais.
Além disso, a capacidade de monitoramento em tempo real e resposta rápida da equipe também é crucial. Projetos como o Hop Protocol e o StarGate conseguem agir rapidamente após receberem relatórios de atividades suspeitas, efetivamente bloqueando ataques potenciais.