Огляд безпекових подій кросчейн моста: постраждало активів на майже 2 мільярди доларів
У екосистемі блокчейну існує безліч публічних ланцюгів, але більшість ланцюгів не має основних активів. Щоб отримати ці активи, багатьом проектам доводиться покладатися на кросчейн мости для переміщення активів з основних публічних ланцюгів, таких як Ethereum. Однак нещодавно в секторі DeFi сталося багато інцидентів безпеки, кросчейн мости через великі обсяги фінансових потоків і часті операції стали популярними цілями для хакерських атак. У цій статті ми оглянемо 10 значних інцидентів атак на кросчейн мости, які сталися в минулому, підсумуємо уроки, щоб нагадати командам розробників та користувачам підвищити обізнаність.
Варто зазначити, що проекти кросчейн мостів з потужними ресурсами та хорошим бекграундом, як правило, мають більше можливостей для відшкодування активів або компенсації після виникнення інцидентів безпеки. Тому, обираючи кросчейн міст, користувачам може бути доцільніше віддавати перевагу надійним проектам.
1. ChainSwap: втрата 8 мільйонів доларів, повторна емісія токенів
У липні 2021 року ChainSwap зазнав двох хакерських атак всього за 9 днів. Перша призвела до збитків приблизно в 800 000 доларів США, друга — до збитків до 8 000 000 доларів США, що вплинуло на понад 20 проектів, які використовували ChainSwap для крос-ланцюг.
Причиною інциденту є те, що протокол не зміг суворо перевірити дійсність підпису, внаслідок чого зловмисник зміг використати самостійно згенерований підпис для підписання транзакції. Оскільки збитки в основному стосуються токенів управління проекту, кілька проектів, включаючи ChainSwap, вирішили зробити знімок і випустити нові токени для компенсації тримачів токенів та постачальників ліквідності.
2. Poly Network: 6,1 мільярда доларів було вкрадено, але в кінцевому підсумку було повернуто в повному обсязі
10 серпня 2021 року кросчейн-міст Poly Network зазнав хакерської атаки, внаслідок якої на трьох мережах – Ethereum, Binance Smart Chain та Polygon – було втрачено близько 610 мільйонів доларів активів.
Зловмисник використав вразливість логіки управління правами контракту Poly Network, успішно змінивши адресу валідатора на цільовому ланцюгу, а отже, контролюючи операції з переміщення активів. Незважаючи на витонченість методу атаки, хакер врешті-решт повернув усі кошти. Poly Network пізніше назвав його "білим капелюхом" хакера і запропонував найняти його на посаду головного консультанта з безпеки компанії.
3. Multichain: 6000000 доларів США під впливом, частково виплачено
У січні 2022 року Multichain виявив важливу уразливість, що вплинула на різні токени. Хоча уразливість була виправлена, деякі користувачі понесли збитки через несвоєчасне відкликання авторизації. Загалом було вкрадено близько 6,04 мільйона доларів США у WETH та AVAX.
Причина інциденту полягає в тому, що в Multichain під час перевірки законності токенів, що передаються користувачами, існує дефект, оскільки не всі основні токени реалізували функцію permit. Команда вже повернула близько 50% вкрадених коштів і запропонувала план компенсації, але його дія обмежується лише користувачами, які відкликали авторизацію контракту до зазначеної дати.
4. QBridge: збитки в 80 мільйонів доларів, виплата лише 2%
Наприкінці січня 2022 року кросчейн міст QBridge кредитного протоколу Qubit зазнав атаки, внаслідок якої було втрачено близько 80 мільйонів доларів.
Зловмисники використали вразливість QBridge, яка виникла під час обробки переказів токенів зі списку білих, не перевіряючи повторно, чи є адреса нульовою, щоб безкоштовно створити велику кількість токенів xETH на BSC та використали їх як заставу для отримання інших токенів від Qubit, що призвело до виснаження застави Qubit.
Наразі використання Qubit майже дорівнює нулю, офіційні дані свідчать, що 98% вкрадених коштів ще не були компенсовані.
5. Meter.io: збитки в розмірі 4,4 мільйона доларів, обіцянка компенсувати з майбутніх доходів
У лютому 2022 року кросчейн міст Meter Passport був використаний хакерами через "помилкове припущення довіри", що призвело до збитків у розмірі 4,4 мільйона доларів. Атакуючі здійснили атаку, підробивши перекази BNB та ETH.
Команда Meter спочатку планувала компенсувати втрати користувачів за допомогою токенів MTRG, але пізніше вирішила випустити нові токени PASS для виплат і пообіцяла викупити ці токени за рахунок майбутніх доходів. Проте станом на сьогодні не було проведено жодної операції з викупу.
6. Ronin: вкрадено 620 мільйонів доларів, вже виплачено в повному обсязі
У березні 2022 року блокчейн-гра Axie Infinity, що працює на Ronin-ланцюзі, зазнала суттєвої атаки, внаслідок якої було втрачено близько 620 мільйонів доларів. Ця атака насправді сталася 23 березня, але була виявлена лише через 6 днів.
Зловмисники, використовуючи соціальну інженерію, маскувались під рекрутингову компанію, контактували з працівниками Sky Mavis і в підсумку змогли проникнути в мережу Ronin і контролювати кілька вузлів перевірки. Хоча вкрадені кошти не вдалося повернути, Sky Mavis залучила 150 мільйонів доларів через новий раунд фінансування для компенсації втрат користувачів.
7. Wormhole: збитки в 326 мільйонів доларів, вже повністю компенсовано
На початку лютого 2022 року кросчейн міст Wormhole зазнав хакерської атаки, внаслідок якої було втрачено близько 120 тисяч ETH на суму 3,26 мільярда доларів.
Причина атаки полягає в помилці в коді перевірки підпису основного контракту Wormhole на стороні Solana, що дозволило зловмисникам підробити повідомлення від опікунів для випуску whETH. Після інциденту Jump Crypto швидко інвестував 120 тисяч ETH у Wormhole, щоб компенсувати всі втрати, що дозволило Wormhole відновити свою роботу.
8. EvoDeFi: оцінкові збитки понад 10 мільйонів доларів, не були оброблені
У червні 2022 року на DEX ValleySwap в екосистемі Oasis відбулося серйозне девальвація USDT. Хоча точна сума збитків невідома, але оцінюється на рівні десятків мільйонів доларів.
Проблема полягає в тому, що кросчейн міст EVODeFi, що використовується ValleySwap, має недостатню ліквідність на вихідному ланцюзі. EVODeFi стверджує, що це викликане панікою через FUD, але це пояснення не є переконливим. Офіційний представник Oasis підкреслює, що вони не мають жодного зв'язку з ValleySwap і EvoDeFi, і зазначає, що EvoDeFi є високоризиковим, неаудованим та закритим проектом.
Станом на тепер, втрати користувачів ще не отримали жодного рішення, а зацікавлені сторони, здається, припинили подальше спілкування.
9. Horizon: збитки майже 100 мільйонів доларів, план компенсації все ще розробляється
24 червня 2022 року офіційний кросчейн міст Harmony Horizon зазнав атаки, внаслідок якої було втрачено близько 100 мільйонів доларів.
Засновник Harmony Стівен Це визнали, що атака могла бути викликана "витоком приватного ключа". Вкрадені кошти торкнулися кількох мереж і різних криптовалют. Після інциденту Horizon підвищив поріг для багаторазового підпису, але цей захід не зміг компенсувати завдані збитки.
Harmony раніше пропонував компенсувати збитки користувачів шляхом поступового випуску токенів ONE протягом 3 років, але цей план не отримав одностайної підтримки спільноти. Наразі команда працює над новим планом компенсації.
10. Nomad: 190 мільйонів доларів США під впливом, обробка триває
На початку серпня 2022 року мост крос-ланцюг Nomad зазнав серйозної аварії безпеки, що призвело до швидкої втрати ліквідності в розмірі 190 мільйонів доларів. Ця подія також непрямо вплинула на ще один протокол взаємодії Layer2 Connext, спричинивши близько 334 тисяч доларів США супутніх збитків.
Згідно з оцінками фахівців, цей інцидент стався через те, що Nomad під час оновлення контракту ініціалізував корінь довіри як 0x00, що дало можливість будь-кому використовувати дійсні транзакції для заміни адреси та вилучення коштів.
Атака охоплює 1251 ETH-адресу, з яких ENS-адреси складають 38% від загальної суми. На даний момент проект ще не представив чіткий план компенсації, але деякі білих капелюшків вже висловили готовність повернути кошти.
Висновок
Часті випадки безпекових інцидентів з кросчейн містами повинні викликати високу увагу в індустрії. Навіть мости з трьома найвищими рейтингами ліквідності, такі як Multichain, Portal (Wormhole) та Poly Network, також стикалися з проблемами безпеки, що свідчить про те, що в сфері кросчейн міст існує високий ризик, і будь-який проект може знову зіткнутися з безпековими вразливостями.
З огляду на попередні випадки, ті проекти кросчейн мостів з потужним бекграундом та фінансовими можливостями, як правило, можуть ефективніше відшкодувати активи або надати компенсацію користувачам після інцидентів безпеки. Наприклад, Poly Network, Ronin Network та Wormhole змогли або повернути кошти, або здійснили повну компенсацію після крадіжки великих сум.
Крім того, важливими є можливості команди щодо моніторингу в реальному часі та швидкої реакції. Такі проекти, як Hop Protocol і StarGate, можуть швидко реагувати на повідомлення про підозрілу діяльність, ефективно запобігаючи потенційним атакам.
Переглянути оригінал
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
кросчейн міст Хакер атака втратила майже 20 мільярдів доларів Безпекові ризики все ще високі
Огляд безпекових подій кросчейн моста: постраждало активів на майже 2 мільярди доларів
У екосистемі блокчейну існує безліч публічних ланцюгів, але більшість ланцюгів не має основних активів. Щоб отримати ці активи, багатьом проектам доводиться покладатися на кросчейн мости для переміщення активів з основних публічних ланцюгів, таких як Ethereum. Однак нещодавно в секторі DeFi сталося багато інцидентів безпеки, кросчейн мости через великі обсяги фінансових потоків і часті операції стали популярними цілями для хакерських атак. У цій статті ми оглянемо 10 значних інцидентів атак на кросчейн мости, які сталися в минулому, підсумуємо уроки, щоб нагадати командам розробників та користувачам підвищити обізнаність.
Варто зазначити, що проекти кросчейн мостів з потужними ресурсами та хорошим бекграундом, як правило, мають більше можливостей для відшкодування активів або компенсації після виникнення інцидентів безпеки. Тому, обираючи кросчейн міст, користувачам може бути доцільніше віддавати перевагу надійним проектам.
1. ChainSwap: втрата 8 мільйонів доларів, повторна емісія токенів
У липні 2021 року ChainSwap зазнав двох хакерських атак всього за 9 днів. Перша призвела до збитків приблизно в 800 000 доларів США, друга — до збитків до 8 000 000 доларів США, що вплинуло на понад 20 проектів, які використовували ChainSwap для крос-ланцюг.
Причиною інциденту є те, що протокол не зміг суворо перевірити дійсність підпису, внаслідок чого зловмисник зміг використати самостійно згенерований підпис для підписання транзакції. Оскільки збитки в основному стосуються токенів управління проекту, кілька проектів, включаючи ChainSwap, вирішили зробити знімок і випустити нові токени для компенсації тримачів токенів та постачальників ліквідності.
2. Poly Network: 6,1 мільярда доларів було вкрадено, але в кінцевому підсумку було повернуто в повному обсязі
10 серпня 2021 року кросчейн-міст Poly Network зазнав хакерської атаки, внаслідок якої на трьох мережах – Ethereum, Binance Smart Chain та Polygon – було втрачено близько 610 мільйонів доларів активів.
Зловмисник використав вразливість логіки управління правами контракту Poly Network, успішно змінивши адресу валідатора на цільовому ланцюгу, а отже, контролюючи операції з переміщення активів. Незважаючи на витонченість методу атаки, хакер врешті-решт повернув усі кошти. Poly Network пізніше назвав його "білим капелюхом" хакера і запропонував найняти його на посаду головного консультанта з безпеки компанії.
3. Multichain: 6000000 доларів США під впливом, частково виплачено
У січні 2022 року Multichain виявив важливу уразливість, що вплинула на різні токени. Хоча уразливість була виправлена, деякі користувачі понесли збитки через несвоєчасне відкликання авторизації. Загалом було вкрадено близько 6,04 мільйона доларів США у WETH та AVAX.
Причина інциденту полягає в тому, що в Multichain під час перевірки законності токенів, що передаються користувачами, існує дефект, оскільки не всі основні токени реалізували функцію permit. Команда вже повернула близько 50% вкрадених коштів і запропонувала план компенсації, але його дія обмежується лише користувачами, які відкликали авторизацію контракту до зазначеної дати.
4. QBridge: збитки в 80 мільйонів доларів, виплата лише 2%
Наприкінці січня 2022 року кросчейн міст QBridge кредитного протоколу Qubit зазнав атаки, внаслідок якої було втрачено близько 80 мільйонів доларів.
Зловмисники використали вразливість QBridge, яка виникла під час обробки переказів токенів зі списку білих, не перевіряючи повторно, чи є адреса нульовою, щоб безкоштовно створити велику кількість токенів xETH на BSC та використали їх як заставу для отримання інших токенів від Qubit, що призвело до виснаження застави Qubit.
Наразі використання Qubit майже дорівнює нулю, офіційні дані свідчать, що 98% вкрадених коштів ще не були компенсовані.
5. Meter.io: збитки в розмірі 4,4 мільйона доларів, обіцянка компенсувати з майбутніх доходів
У лютому 2022 року кросчейн міст Meter Passport був використаний хакерами через "помилкове припущення довіри", що призвело до збитків у розмірі 4,4 мільйона доларів. Атакуючі здійснили атаку, підробивши перекази BNB та ETH.
Команда Meter спочатку планувала компенсувати втрати користувачів за допомогою токенів MTRG, але пізніше вирішила випустити нові токени PASS для виплат і пообіцяла викупити ці токени за рахунок майбутніх доходів. Проте станом на сьогодні не було проведено жодної операції з викупу.
6. Ronin: вкрадено 620 мільйонів доларів, вже виплачено в повному обсязі
У березні 2022 року блокчейн-гра Axie Infinity, що працює на Ronin-ланцюзі, зазнала суттєвої атаки, внаслідок якої було втрачено близько 620 мільйонів доларів. Ця атака насправді сталася 23 березня, але була виявлена лише через 6 днів.
Зловмисники, використовуючи соціальну інженерію, маскувались під рекрутингову компанію, контактували з працівниками Sky Mavis і в підсумку змогли проникнути в мережу Ronin і контролювати кілька вузлів перевірки. Хоча вкрадені кошти не вдалося повернути, Sky Mavis залучила 150 мільйонів доларів через новий раунд фінансування для компенсації втрат користувачів.
7. Wormhole: збитки в 326 мільйонів доларів, вже повністю компенсовано
На початку лютого 2022 року кросчейн міст Wormhole зазнав хакерської атаки, внаслідок якої було втрачено близько 120 тисяч ETH на суму 3,26 мільярда доларів.
Причина атаки полягає в помилці в коді перевірки підпису основного контракту Wormhole на стороні Solana, що дозволило зловмисникам підробити повідомлення від опікунів для випуску whETH. Після інциденту Jump Crypto швидко інвестував 120 тисяч ETH у Wormhole, щоб компенсувати всі втрати, що дозволило Wormhole відновити свою роботу.
8. EvoDeFi: оцінкові збитки понад 10 мільйонів доларів, не були оброблені
У червні 2022 року на DEX ValleySwap в екосистемі Oasis відбулося серйозне девальвація USDT. Хоча точна сума збитків невідома, але оцінюється на рівні десятків мільйонів доларів.
Проблема полягає в тому, що кросчейн міст EVODeFi, що використовується ValleySwap, має недостатню ліквідність на вихідному ланцюзі. EVODeFi стверджує, що це викликане панікою через FUD, але це пояснення не є переконливим. Офіційний представник Oasis підкреслює, що вони не мають жодного зв'язку з ValleySwap і EvoDeFi, і зазначає, що EvoDeFi є високоризиковим, неаудованим та закритим проектом.
Станом на тепер, втрати користувачів ще не отримали жодного рішення, а зацікавлені сторони, здається, припинили подальше спілкування.
9. Horizon: збитки майже 100 мільйонів доларів, план компенсації все ще розробляється
24 червня 2022 року офіційний кросчейн міст Harmony Horizon зазнав атаки, внаслідок якої було втрачено близько 100 мільйонів доларів.
Засновник Harmony Стівен Це визнали, що атака могла бути викликана "витоком приватного ключа". Вкрадені кошти торкнулися кількох мереж і різних криптовалют. Після інциденту Horizon підвищив поріг для багаторазового підпису, але цей захід не зміг компенсувати завдані збитки.
Harmony раніше пропонував компенсувати збитки користувачів шляхом поступового випуску токенів ONE протягом 3 років, але цей план не отримав одностайної підтримки спільноти. Наразі команда працює над новим планом компенсації.
10. Nomad: 190 мільйонів доларів США під впливом, обробка триває
На початку серпня 2022 року мост крос-ланцюг Nomad зазнав серйозної аварії безпеки, що призвело до швидкої втрати ліквідності в розмірі 190 мільйонів доларів. Ця подія також непрямо вплинула на ще один протокол взаємодії Layer2 Connext, спричинивши близько 334 тисяч доларів США супутніх збитків.
Згідно з оцінками фахівців, цей інцидент стався через те, що Nomad під час оновлення контракту ініціалізував корінь довіри як 0x00, що дало можливість будь-кому використовувати дійсні транзакції для заміни адреси та вилучення коштів.
Атака охоплює 1251 ETH-адресу, з яких ENS-адреси складають 38% від загальної суми. На даний момент проект ще не представив чіткий план компенсації, але деякі білих капелюшків вже висловили готовність повернути кошти.
Висновок
Часті випадки безпекових інцидентів з кросчейн містами повинні викликати високу увагу в індустрії. Навіть мости з трьома найвищими рейтингами ліквідності, такі як Multichain, Portal (Wormhole) та Poly Network, також стикалися з проблемами безпеки, що свідчить про те, що в сфері кросчейн міст існує високий ризик, і будь-який проект може знову зіткнутися з безпековими вразливостями.
З огляду на попередні випадки, ті проекти кросчейн мостів з потужним бекграундом та фінансовими можливостями, як правило, можуть ефективніше відшкодувати активи або надати компенсацію користувачам після інцидентів безпеки. Наприклад, Poly Network, Ronin Network та Wormhole змогли або повернути кошти, або здійснили повну компенсацію після крадіжки великих сум.
Крім того, важливими є можливості команди щодо моніторингу в реальному часі та швидкої реакції. Такі проекти, як Hop Protocol і StarGate, можуть швидко реагувати на повідомлення про підозрілу діяльність, ефективно запобігаючи потенційним атакам.