Обзор инцидентов с безопасностью кроссчейн моста: пострадало более 1.9 миллиарда долларов, 1.55 миллиарда долларов были возмещены или возвращены
В экосистеме блокчейна существует множество публичных цепей, но из-за того, что большинство из них не имеют основных активов, необходимо использовать кроссчейн мост для получения активов с таких основных цепей, как Эфириум. В последнее время в области децентрализованных финансов (DeFi) часто происходят инциденты безопасности, и кроссчейн мосты стали главной целью атакующих из-за значительных объемов денежных потоков. В данной статье будет рассмотрено 10 крупных случаев атак на кроссчейн мосты, которые в общей сложности затронули более 1,9 миллиарда долларов США, из которых около 1,55 миллиарда долларов были выплачены или возвращены.
ChainSwap: убыток в 8 миллионов долларов, решённый путём повторного выпуска токенов
В июле 2021 года ChainSwap столкнулся с двумя хакерскими атаками всего за 9 дней. Первая привела к потерям около 800 тысяч долларов, вторая была более серьезной, составив 8 миллионов долларов, затронув более 20 проектов, использующих ChainSwap для кросс-чейн операций.
Исследование показывает, что причиной инцидента стало отсутствие строгой проверки действительности подписей в протоколе, что позволило злоумышленнику использовать сгенерированные им подписи для завершения транзакции. Поскольку убытки в основном касаются токенов управления со стороны проекта, включая ChainSwap, несколько пострадавших проектов решили сделать снимок и выпустить новые токены, чтобы компенсировать держателям токенов и поставщикам ликвидности.
Poly Network: Все украденные средства в размере 610 миллионов долларов возвращены
10 августа 2021 года кросс-чейн протокол интероперабельности Poly Network подвергся масштабной атаке, в результате которой было потеряно активов на сумму 250 миллионов долларов на Ethereum, 270 миллионов долларов на Binance Smart Chain и 85 миллионов долларов на сети Polygon, всего около 610 миллионов долларов.
Атака в основном использовала уязвимость в логике управления правами контрактов Poly Network. Нападающий успешно изменил адреса валидаторов в целевой цепочке, в результате чего контролировал операции по переводу активов. Несмотря на то, что нападающий изначально использовал приватные токены для подготовки средств, в конечном итоге он выбрал вернуть все украденные средства. Poly Network позже назвал его "белым хакером" и предложил нанять его в качестве главного консультанта по безопасности.
Multichain: убытки в размере 6 миллионов долларов, часть средств уже выплачена
В январе 2022 года Multichain обнаружил важную уязвимость, затрагивающую несколько токенов. Хотя уязвимость была исправлена, часть активов пользователей по-прежнему под угрозой. Согласно официальному отчету, было затронуто 7962 адреса пользователей, из которых 3101 адрес не отменил разрешение вовремя.
Украденные средства включают 1889.6612 WETH и 833.4191 AVAX, по текущему курсу это примерно 6 миллионов долларов. Анализ команды безопасности показал, что уязвимость возникла из-за небрежности Multichain при проверке легитимности вводимых пользователем токенов. На момент публикации отчета почти 50% украденных средств были возвращены. Multichain предложил вернуть эту часть средств пользователям, которые отменили авторизацию контракта, но не будет компенсировать последующие убытки.
QBridge: убытки в 80 миллионов долларов, только 2% получили компенсацию
28 января 2022 года кроссчейн мост QBridge платформы кредитования Qubit был атакован, что привело к потерям около 80 миллионов долларов. Злоумышленник воспользовался уязвимостью QBridge при обработке переводов токенов из белого списка, не осуществив повторную проверку нулевого адреса, и в сети BSC произвольно создал большое количество токенов xETH, а затем использовал эти токены для заимствования других активов из Qubit.
В настоящее время использование Qubit значительно снизилось, официальные данные показывают, что 98% украденных средств еще не были компенсированы.
Meter.io: убытки в 4,4 миллиона долларов, обязательство компенсировать за счет будущих доходов
6 февраля 2022 года кроссчейн мост Meter Passport подвергся атаке, в результате чего были понесены убытки в 4,4 миллиона долларов. Официальные лица заявили, что проблема заключалась в "ошибочном предположении доверия" в базовом коде, что позволило злоумышленникам подделывать переводы BNB и ETH.
Изначально Meter планировала компенсировать убытки пользователей с помощью токена MTRG, но позже решило выпустить новый токен PASS для компенсации и пообещало выкупить эти токены за счет будущих доходов. Однако, на данный момент никаких операций по выкупу не было проведено.
Ronin: убытки в 620 миллионов долларов, полностью компенсированы
В конце марта 2022 года блокчейн-игра Axie Infinity, стоящая за сетью Ronin, столкнулась с серьезной проблемой безопасности, в результате чего потеряла около 620 миллионов долларов. Злоумышленники использовали социальную инженерию, чтобы получить контроль над 5 из 9 узлов верификации сети Ronin и тем самым манипулировать сетью.
Хотя украденные средства не были возвращены, разработчик Axie Infinity Sky Mavis завершил финансирование в размере 150 миллионов долларов под руководством Binance для возмещения убытков пользователей. В конце июня мост Ronin был повторно запущен, и пользователи могут получить компенсацию. Однако из-за резкого падения цены ETH за этот период фактическая стоимость компенсации значительно уменьшилась.
Wormhole: убытки в 326 миллионов долларов, полностью возмещены
В начале февраля 2022 года кроссчейн протокол Wormhole подвергся атаке, в результате которой было потеряно около 120 000 ETH на сумму 326 миллионов долларов. Злоумышленник использовал уязвимость проверки подписи в основном контракте Wormhole на стороне Solana, подделав сообщение "опекуна" для создания большого количества whETH.
После инцидента Jump Crypto (покупатель Certus One, разработчика Wormhole) быстро вложил 120,000 ETH, чтобы покрыть все убытки, после чего Wormhole восстановил нормальную работу.
EvoDeFi: оценка убытков превышает десять миллионов долларов, не решено.
В начале июня 2022 года на децентрализованной бирже ValleySwap в экосистеме Oasis произошел серьезный раскол USDT. Эта проблема возникла из-за недостаточной ликвидности на исходной цепи у используемого кроссчейн моста EVODeFi. Хотя конкретная сумма убытков не была обнародована, предполагается, что она составляет десятки миллионов долларов.
После происшествия реакции сторон были разными. EVODeFi обвиняет в этом рыночную панику, в то время как официальные представители Oasis подчеркивают, что это не имеет отношения к ValleySwap и EvoDeFi, и указывают на высокие риски, связанные с EvoDeFi. Пользователи до сих пор не получили никакой компенсации за свои убытки, и, похоже, соответствующие проекты приостановили свою деятельность.
Horizon: Убытки почти на 100 миллионов долларов, схема компенсации все еще обсуждается.
24 июня 2022 года официальный кроссчейн мост Horizon блокчейна Harmony был атакован, в результате чего был потерян около 100 миллионов долларов. Основатель Harmony затем признал, что атака могла быть вызвана утечкой приватного ключа. Украденные средства включали различные активы на Ethereum и BNB.
Harmony изначально предложил частично компенсировать убытки пользователей за счет эмиссии токенов ONE на протяжении 3 лет, но не смог получить единогласную поддержку сообщества. В настоящее время команда проекта пересматривает план компенсации.
Nomad: убытки в 190 миллионов долларов, часть средств может быть возвращена
В начале августа 2022 года мост Nomad внезапно столкнулся с исчерпанием ликвидности, потеряв около 190 миллионов долларов. Анализ показал, что проблема возникла из-за низкоуровневой ошибки в процессе обновления контракта, что позволило любому человеку извлекать средства из моста.
Это событие затронуло 1251 адрес ETH, из которых 12 адресов ENS составили 38% от общих потерь. Хотя команда проекта пока не представила четкого плана компенсации, некоторые белые хакеры уже выразили готовность вернуть средства.
Резюме
Частые инциденты с безопасностью кроссчейн моста подчеркивают высокие риски в этой области. Стоит отметить, что даже такие мосты с высоким рейтингом ликвидности, как Multichain, Wormhole и Poly Network, также сталкивались с проблемами безопасности, что указывает на то, что любой кроссчейн мост может столкнуться с угрозами безопасности.
Однако проекты с мощным фоном и сильными финансовыми возможностями часто имеют больше преимуществ при управлении инцидентами безопасности. Например, Poly Network, Ronin Network и Wormhole смогли вернуть средства или полностью компенсировать потери различными способами после того, как столкнулись с крупномасштабным盗ством средств.
Кроме того, мониторинг в реальном времени и быстрая реакция также являются ключевыми факторами в предотвращении атак. Например, Hop Protocol и StarGate быстро предприняли действия после обнаружения подозрительной активности, успешно предотвратив потенциальные атаки.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
12 Лайков
Награда
12
4
Репост
Поделиться
комментарий
0/400
0xInsomnia
· 07-25 12:27
Смотри, я же говорил, что кроссчейн мост опасен.
Посмотреть ОригиналОтветить0
MetaverseVagabond
· 07-23 16:02
Братан, даже не осмеливается использовать кросс-чейн.
Посмотреть ОригиналОтветить0
blocksnark
· 07-23 15:51
15 миллиардов потеряно? Огромные убытки, ладно.
Посмотреть ОригиналОтветить0
WealthCoffee
· 07-23 15:49
Все токены, которые я подобрал в мусорном ведре школы, были потеряны.
Сводка о крупной атаке на кроссчейн мост: 1,9 миллиарда долларов пострадали, 1,55 миллиарда уже выплачены.
Обзор инцидентов с безопасностью кроссчейн моста: пострадало более 1.9 миллиарда долларов, 1.55 миллиарда долларов были возмещены или возвращены
В экосистеме блокчейна существует множество публичных цепей, но из-за того, что большинство из них не имеют основных активов, необходимо использовать кроссчейн мост для получения активов с таких основных цепей, как Эфириум. В последнее время в области децентрализованных финансов (DeFi) часто происходят инциденты безопасности, и кроссчейн мосты стали главной целью атакующих из-за значительных объемов денежных потоков. В данной статье будет рассмотрено 10 крупных случаев атак на кроссчейн мосты, которые в общей сложности затронули более 1,9 миллиарда долларов США, из которых около 1,55 миллиарда долларов были выплачены или возвращены.
ChainSwap: убыток в 8 миллионов долларов, решённый путём повторного выпуска токенов
В июле 2021 года ChainSwap столкнулся с двумя хакерскими атаками всего за 9 дней. Первая привела к потерям около 800 тысяч долларов, вторая была более серьезной, составив 8 миллионов долларов, затронув более 20 проектов, использующих ChainSwap для кросс-чейн операций.
Исследование показывает, что причиной инцидента стало отсутствие строгой проверки действительности подписей в протоколе, что позволило злоумышленнику использовать сгенерированные им подписи для завершения транзакции. Поскольку убытки в основном касаются токенов управления со стороны проекта, включая ChainSwap, несколько пострадавших проектов решили сделать снимок и выпустить новые токены, чтобы компенсировать держателям токенов и поставщикам ликвидности.
Poly Network: Все украденные средства в размере 610 миллионов долларов возвращены
10 августа 2021 года кросс-чейн протокол интероперабельности Poly Network подвергся масштабной атаке, в результате которой было потеряно активов на сумму 250 миллионов долларов на Ethereum, 270 миллионов долларов на Binance Smart Chain и 85 миллионов долларов на сети Polygon, всего около 610 миллионов долларов.
Атака в основном использовала уязвимость в логике управления правами контрактов Poly Network. Нападающий успешно изменил адреса валидаторов в целевой цепочке, в результате чего контролировал операции по переводу активов. Несмотря на то, что нападающий изначально использовал приватные токены для подготовки средств, в конечном итоге он выбрал вернуть все украденные средства. Poly Network позже назвал его "белым хакером" и предложил нанять его в качестве главного консультанта по безопасности.
Multichain: убытки в размере 6 миллионов долларов, часть средств уже выплачена
В январе 2022 года Multichain обнаружил важную уязвимость, затрагивающую несколько токенов. Хотя уязвимость была исправлена, часть активов пользователей по-прежнему под угрозой. Согласно официальному отчету, было затронуто 7962 адреса пользователей, из которых 3101 адрес не отменил разрешение вовремя.
Украденные средства включают 1889.6612 WETH и 833.4191 AVAX, по текущему курсу это примерно 6 миллионов долларов. Анализ команды безопасности показал, что уязвимость возникла из-за небрежности Multichain при проверке легитимности вводимых пользователем токенов. На момент публикации отчета почти 50% украденных средств были возвращены. Multichain предложил вернуть эту часть средств пользователям, которые отменили авторизацию контракта, но не будет компенсировать последующие убытки.
QBridge: убытки в 80 миллионов долларов, только 2% получили компенсацию
28 января 2022 года кроссчейн мост QBridge платформы кредитования Qubit был атакован, что привело к потерям около 80 миллионов долларов. Злоумышленник воспользовался уязвимостью QBridge при обработке переводов токенов из белого списка, не осуществив повторную проверку нулевого адреса, и в сети BSC произвольно создал большое количество токенов xETH, а затем использовал эти токены для заимствования других активов из Qubit.
В настоящее время использование Qubit значительно снизилось, официальные данные показывают, что 98% украденных средств еще не были компенсированы.
Meter.io: убытки в 4,4 миллиона долларов, обязательство компенсировать за счет будущих доходов
6 февраля 2022 года кроссчейн мост Meter Passport подвергся атаке, в результате чего были понесены убытки в 4,4 миллиона долларов. Официальные лица заявили, что проблема заключалась в "ошибочном предположении доверия" в базовом коде, что позволило злоумышленникам подделывать переводы BNB и ETH.
Изначально Meter планировала компенсировать убытки пользователей с помощью токена MTRG, но позже решило выпустить новый токен PASS для компенсации и пообещало выкупить эти токены за счет будущих доходов. Однако, на данный момент никаких операций по выкупу не было проведено.
Ronin: убытки в 620 миллионов долларов, полностью компенсированы
В конце марта 2022 года блокчейн-игра Axie Infinity, стоящая за сетью Ronin, столкнулась с серьезной проблемой безопасности, в результате чего потеряла около 620 миллионов долларов. Злоумышленники использовали социальную инженерию, чтобы получить контроль над 5 из 9 узлов верификации сети Ronin и тем самым манипулировать сетью.
Хотя украденные средства не были возвращены, разработчик Axie Infinity Sky Mavis завершил финансирование в размере 150 миллионов долларов под руководством Binance для возмещения убытков пользователей. В конце июня мост Ronin был повторно запущен, и пользователи могут получить компенсацию. Однако из-за резкого падения цены ETH за этот период фактическая стоимость компенсации значительно уменьшилась.
Wormhole: убытки в 326 миллионов долларов, полностью возмещены
В начале февраля 2022 года кроссчейн протокол Wormhole подвергся атаке, в результате которой было потеряно около 120 000 ETH на сумму 326 миллионов долларов. Злоумышленник использовал уязвимость проверки подписи в основном контракте Wormhole на стороне Solana, подделав сообщение "опекуна" для создания большого количества whETH.
После инцидента Jump Crypto (покупатель Certus One, разработчика Wormhole) быстро вложил 120,000 ETH, чтобы покрыть все убытки, после чего Wormhole восстановил нормальную работу.
EvoDeFi: оценка убытков превышает десять миллионов долларов, не решено.
В начале июня 2022 года на децентрализованной бирже ValleySwap в экосистеме Oasis произошел серьезный раскол USDT. Эта проблема возникла из-за недостаточной ликвидности на исходной цепи у используемого кроссчейн моста EVODeFi. Хотя конкретная сумма убытков не была обнародована, предполагается, что она составляет десятки миллионов долларов.
После происшествия реакции сторон были разными. EVODeFi обвиняет в этом рыночную панику, в то время как официальные представители Oasis подчеркивают, что это не имеет отношения к ValleySwap и EvoDeFi, и указывают на высокие риски, связанные с EvoDeFi. Пользователи до сих пор не получили никакой компенсации за свои убытки, и, похоже, соответствующие проекты приостановили свою деятельность.
Horizon: Убытки почти на 100 миллионов долларов, схема компенсации все еще обсуждается.
24 июня 2022 года официальный кроссчейн мост Horizon блокчейна Harmony был атакован, в результате чего был потерян около 100 миллионов долларов. Основатель Harmony затем признал, что атака могла быть вызвана утечкой приватного ключа. Украденные средства включали различные активы на Ethereum и BNB.
Harmony изначально предложил частично компенсировать убытки пользователей за счет эмиссии токенов ONE на протяжении 3 лет, но не смог получить единогласную поддержку сообщества. В настоящее время команда проекта пересматривает план компенсации.
Nomad: убытки в 190 миллионов долларов, часть средств может быть возвращена
В начале августа 2022 года мост Nomad внезапно столкнулся с исчерпанием ликвидности, потеряв около 190 миллионов долларов. Анализ показал, что проблема возникла из-за низкоуровневой ошибки в процессе обновления контракта, что позволило любому человеку извлекать средства из моста.
Это событие затронуло 1251 адрес ETH, из которых 12 адресов ENS составили 38% от общих потерь. Хотя команда проекта пока не представила четкого плана компенсации, некоторые белые хакеры уже выразили готовность вернуть средства.
Резюме
Частые инциденты с безопасностью кроссчейн моста подчеркивают высокие риски в этой области. Стоит отметить, что даже такие мосты с высоким рейтингом ликвидности, как Multichain, Wormhole и Poly Network, также сталкивались с проблемами безопасности, что указывает на то, что любой кроссчейн мост может столкнуться с угрозами безопасности.
Однако проекты с мощным фоном и сильными финансовыми возможностями часто имеют больше преимуществ при управлении инцидентами безопасности. Например, Poly Network, Ronin Network и Wormhole смогли вернуть средства или полностью компенсировать потери различными способами после того, как столкнулись с крупномасштабным盗ством средств.
Кроме того, мониторинг в реальном времени и быстрая реакция также являются ключевыми факторами в предотвращении атак. Например, Hop Protocol и StarGate быстро предприняли действия после обнаружения подозрительной активности, успешно предотвратив потенциальные атаки.