Revue des incidents d'attaque de ponts cross-chain : dix cas impliquant près de 2 milliards de dollars de pertes
Avec le développement de la technologie blockchain, les bridges cross-chain sont devenus une infrastructure fondamentale pour connecter différents écosystèmes de chaînes publiques. Cependant, en raison de leur capacité à gérer d'importants fonds et à effectuer fréquemment des opérations cross-chain, les bridges cross-chain sont également devenus des cibles populaires pour les attaques de hackers. Cet article passera en revue les dix principales attaques de bridges cross-chain survenues ces dernières années, en résumant les leçons et les enseignements à en tirer.
ChainSwap : deux attaques subies, pertes d'environ 8,8 millions de dollars
En juillet 2021, ChainSwap a subi deux attaques de hackers en seulement 9 jours. La première attaque a entraîné une perte d'environ 800 000 dollars, la deuxième attaque étant plus grave, avec des pertes atteignant 8 millions de dollars, affectant plus de 20 projets utilisant ChainSwap pour des bridges cross-chain.
Une enquête révèle que l'attaque provient de l'incapacité du protocole à vérifier strictement la validité des signatures, permettant ainsi aux attaquants d'utiliser des signatures générées par leurs soins pour effectuer des transactions. Étant donné que la principale perte concerne les jetons de gouvernance, ChainSwap et plusieurs projets affectés ont choisi de réaliser un instantané et de réémettre des jetons pour compenser les pertes des détenteurs et des fournisseurs de liquidités.
Poly Network : 6,1 millions de dollars d'actifs volés récupérés intégralement
En août 2021, le protocole d'interopérabilité cross-chain Poly Network a subi la plus grande attaque DeFi de l'époque, entraînant une perte d'environ 610 millions de dollars d'actifs sur trois réseaux : Ethereum, Binance Smart Chain et Polygon.
La principale raison de l'attaque est qu'il existe une faille dans la logique de gestion des autorisations du contrat. L'attaquant a réussi à modifier l'adresse du validateur de la chaîne cible, lui permettant de signer et de vérifier les opérations de retrait d'actifs. Bien que l'ampleur de l'attaque ait été énorme, l'attaquant a finalement restitué tous les fonds, et Poly Network a également qualifié cela de "hackeur à chapeau blanc" et a proposé de l'engager en tant que conseiller en sécurité principal.
Multichain : 6 millions de dollars d'actifs volés, près de 50 % récupérés
En janvier 2022, Multichain a découvert une vulnérabilité importante affectant plusieurs tokens. Bien que la vulnérabilité ait été corrigée, environ 6 millions de dollars de WETH et d'AVAX ont été volés.
L'analyse de sécurité montre que l'attaque provient d'un problème dans Multichain lors de la vérification de la légitimité des tokens d'entrée des utilisateurs, n'ayant pas pris en compte que tous les tokens sous-jacents n'implémentent pas la fonction permit. L'équipe a réussi à récupérer près de 50 % des fonds volés et a proposé un plan d'indemnisation, mais elle n'est plus responsable des pertes des utilisateurs qui n'ont pas révoqué leur autorisation à temps.
QBridge : 80 millions de dollars de pertes, seulement 2 % remboursés
Fin janvier 2022, le pont cross-chain QBridge du protocole de prêt Qubit a été attaqué, entraînant une perte d'environ 80 millions de dollars. L'attaquant a exploité une vulnérabilité dans le traitement des transferts de jetons sur liste blanche par QBridge, ne vérifiant pas à nouveau l'adresse nulle, et a réussi à créer massivement des jetons xETH sur BSC, utilisant ces jetons pour emprunter d'autres actifs depuis Qubit.
Actuellement, le taux d'utilisation de Qubit a considérablement diminué, et les données officielles montrent qu'il reste 98 % des fonds volés non remboursés.
Meter.io : perte de 4,4 millions de dollars, engagement à indemniser avec les bénéfices futurs
En février 2022, le pont cross-chain Meter Passport a été attaqué, entraînant une perte de 4,4 millions de dollars. Les responsables ont indiqué que le problème provenait d'une "hypothèse de confiance erronée" dans le code sous-jacent, permettant aux hackers de falsifier des transferts de BNB et d'ETH.
L'équipe de Meter avait initialement prévu d'indemniser les pertes avec le jeton MTRG, mais après un vote de la communauté, il a été décidé d'émettre un nouveau jeton PASS pour compenser, et il a été promis d'utiliser les bénéfices futurs pour racheter le PASS. Cependant, aucune opération de rachat n'a encore été effectuée.
Ronin : 620 millions de dollars volés, remboursement intégral effectué
En mars 2022, la chaîne Ronin derrière Axie Infinity a subi une attaque majeure, avec des pertes atteignant 620 millions de dollars. Fait intéressant, l'attaque a eu lieu le 23 mars, mais n'a été découverte que six jours plus tard.
Une enquête montre que l'attaque provient d'une attaque d'ingénierie sociale soigneusement planifiée. Les attaquants ont réussi à gagner la confiance des employés de Sky Mavis en se faisant passer pour une société de recrutement, et ont finalement contrôlé plusieurs nœuds de validation du réseau Ronin.
Bien que les fonds volés n'aient pas pu être récupérés, Sky Mavis a levé 150 millions de dollars lors d'un nouveau tour de financement pour indemniser les pertes des utilisateurs. Il convient de noter qu'en raison de la forte baisse du prix de l'ETH pendant la période d'indemnisation, la valeur réelle des paiements est bien inférieure à la valeur des actifs au moment du vol.
Wormhole : 326 millions de dollars de pertes, obtention d'une indemnisation rapide
Début février 2022, le protocole d'interopérabilité cross-chain Wormhole a été attaqué, entraînant une perte d'environ 120 000 ETH, d'une valeur de 326 millions de dollars. L'attaquant a exploité une vulnérabilité de vérification de signature dans le contrat principal de Wormhole sur Solana, réussissant à falsifier un message "gardien" pour frapper une grande quantité de whETH.
Heureusement, Jump Crypto a rapidement injecté 120 000 ETH dans Wormhole, compensant ainsi toutes les pertes et permettant à Wormhole de reprendre rapidement ses opérations.
EvoDeFi : pertes estimées à plusieurs millions de dollars, non résolues
En juin 2022, l'USDT sur le DEX ValleySwap de l'écosystème Oasis a connu un grave dépegging. La racine du problème réside dans le manque de liquidité sur la chaîne source du pont cross-chain EVODeFi utilisé.
Bien que le montant exact des pertes ne soit pas clair, il est estimé à plusieurs millions de dollars. Il est regrettable que les parties concernées n'aient fourni aucune solution efficace. Les comptes de médias sociaux officiels de ValleySwap et d'EVODeFi ont également cessé de publier des mises à jour après l'incident, ce qui équivaut en réalité à un abandon du projet.
Horizon : pertes proches de 100 millions de dollars, le plan d'indemnisation est toujours en cours d'élaboration.
En juin 2022, le pont cross-chain Horizon de Harmony a été attaqué, entraînant une perte d'environ 100 millions de dollars. Le fondateur de Harmony a reconnu que l'attaque pourrait être due à une fuite de clé privée.
Harmony avait proposé de compenser les pertes des utilisateurs par une émission supplémentaire de jetons sur une période de 3 ans, mais n’a pas réussi à obtenir l’accord unanime de la communauté. Actuellement, l’équipe est en train de redéfinir le plan d’indemnisation.
Nomad : 1,9 milliard de dollars volés, une partie des fonds pourrait être récupérée
En août 2022, le pont cross-chain Nomad a subi un grave incident de sécurité, entraînant la perte de 190 millions de dollars de fonds. Les analyses montrent que le problème provient d'une erreur d'initialisation lors d'une mise à niveau de contrat, permettant à quiconque de retirer facilement des fonds du pont.
L'attaque implique 1251 adresses, dont les adresses ENS représentent 38 % du montant total. Bien que l'équipe du projet n'ait pas encore fourni de plan de remboursement clair, certains hackers éthiques ont déjà exprimé leur volonté de restituer des fonds, apportant une lueur d'espoir pour la résolution du problème.
Résumé et enseignements
En examinant ces incidents d'attaques de bridges cross-chain, nous pouvons tirer les enseignements suivants :
Les ponts cross-chain sont des domaines à haut risque, même les projets connus peuvent présenter des vulnérabilités de sécurité.
Une équipe de développement puissante et un soutien financier adéquat sont essentiels pour la gestion post-incident. Des projets comme Poly Network, Ronin et Wormhole, après avoir subi des pertes importantes, ont pu récupérer rapidement des actifs ou procéder à un remboursement intégral.
La surveillance en temps réel et les mécanismes de réponse rapide sont très importants. Certains projets comme Hop Protocol et StarGate ont réussi à empêcher des attaques potentielles en détectant et en traitant rapidement les activités suspectes.
Les utilisateurs doivent être prudents lorsqu'ils choisissent des bridges cross-chain, en privilégiant les projets développés par des équipes solides afin de réduire les risques financiers.
Des audits de sécurité réguliers et des programmes de récompenses pour la découverte de vulnérabilités sont essentiels pour identifier et corriger les problèmes potentiels.
L'équipe de développement des bridges cross-chain devrait continuellement apprendre des cas d'attaques passés, améliorer les mesures de sécurité, en particulier en ce qui concerne la mise à niveau des contrats et la gestion des autorisations.
En somme, avec l'augmentation de la demande pour le cross-chain, la sécurité des bridges cross-chain continuera d'être un sujet important dans l'industrie de la blockchain. Les développeurs, les utilisateurs et l'ensemble de l'écosystème doivent travailler ensemble pour construire une infrastructure cross-chain plus sécurisée et fiable.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Revue des dix principales attaques de ponts cross-chain : leçons et enseignements des pertes de près de 2 milliards de dollars
Revue des incidents d'attaque de ponts cross-chain : dix cas impliquant près de 2 milliards de dollars de pertes
Avec le développement de la technologie blockchain, les bridges cross-chain sont devenus une infrastructure fondamentale pour connecter différents écosystèmes de chaînes publiques. Cependant, en raison de leur capacité à gérer d'importants fonds et à effectuer fréquemment des opérations cross-chain, les bridges cross-chain sont également devenus des cibles populaires pour les attaques de hackers. Cet article passera en revue les dix principales attaques de bridges cross-chain survenues ces dernières années, en résumant les leçons et les enseignements à en tirer.
ChainSwap : deux attaques subies, pertes d'environ 8,8 millions de dollars
En juillet 2021, ChainSwap a subi deux attaques de hackers en seulement 9 jours. La première attaque a entraîné une perte d'environ 800 000 dollars, la deuxième attaque étant plus grave, avec des pertes atteignant 8 millions de dollars, affectant plus de 20 projets utilisant ChainSwap pour des bridges cross-chain.
Une enquête révèle que l'attaque provient de l'incapacité du protocole à vérifier strictement la validité des signatures, permettant ainsi aux attaquants d'utiliser des signatures générées par leurs soins pour effectuer des transactions. Étant donné que la principale perte concerne les jetons de gouvernance, ChainSwap et plusieurs projets affectés ont choisi de réaliser un instantané et de réémettre des jetons pour compenser les pertes des détenteurs et des fournisseurs de liquidités.
Poly Network : 6,1 millions de dollars d'actifs volés récupérés intégralement
En août 2021, le protocole d'interopérabilité cross-chain Poly Network a subi la plus grande attaque DeFi de l'époque, entraînant une perte d'environ 610 millions de dollars d'actifs sur trois réseaux : Ethereum, Binance Smart Chain et Polygon.
La principale raison de l'attaque est qu'il existe une faille dans la logique de gestion des autorisations du contrat. L'attaquant a réussi à modifier l'adresse du validateur de la chaîne cible, lui permettant de signer et de vérifier les opérations de retrait d'actifs. Bien que l'ampleur de l'attaque ait été énorme, l'attaquant a finalement restitué tous les fonds, et Poly Network a également qualifié cela de "hackeur à chapeau blanc" et a proposé de l'engager en tant que conseiller en sécurité principal.
Multichain : 6 millions de dollars d'actifs volés, près de 50 % récupérés
En janvier 2022, Multichain a découvert une vulnérabilité importante affectant plusieurs tokens. Bien que la vulnérabilité ait été corrigée, environ 6 millions de dollars de WETH et d'AVAX ont été volés.
L'analyse de sécurité montre que l'attaque provient d'un problème dans Multichain lors de la vérification de la légitimité des tokens d'entrée des utilisateurs, n'ayant pas pris en compte que tous les tokens sous-jacents n'implémentent pas la fonction permit. L'équipe a réussi à récupérer près de 50 % des fonds volés et a proposé un plan d'indemnisation, mais elle n'est plus responsable des pertes des utilisateurs qui n'ont pas révoqué leur autorisation à temps.
QBridge : 80 millions de dollars de pertes, seulement 2 % remboursés
Fin janvier 2022, le pont cross-chain QBridge du protocole de prêt Qubit a été attaqué, entraînant une perte d'environ 80 millions de dollars. L'attaquant a exploité une vulnérabilité dans le traitement des transferts de jetons sur liste blanche par QBridge, ne vérifiant pas à nouveau l'adresse nulle, et a réussi à créer massivement des jetons xETH sur BSC, utilisant ces jetons pour emprunter d'autres actifs depuis Qubit.
Actuellement, le taux d'utilisation de Qubit a considérablement diminué, et les données officielles montrent qu'il reste 98 % des fonds volés non remboursés.
Meter.io : perte de 4,4 millions de dollars, engagement à indemniser avec les bénéfices futurs
En février 2022, le pont cross-chain Meter Passport a été attaqué, entraînant une perte de 4,4 millions de dollars. Les responsables ont indiqué que le problème provenait d'une "hypothèse de confiance erronée" dans le code sous-jacent, permettant aux hackers de falsifier des transferts de BNB et d'ETH.
L'équipe de Meter avait initialement prévu d'indemniser les pertes avec le jeton MTRG, mais après un vote de la communauté, il a été décidé d'émettre un nouveau jeton PASS pour compenser, et il a été promis d'utiliser les bénéfices futurs pour racheter le PASS. Cependant, aucune opération de rachat n'a encore été effectuée.
Ronin : 620 millions de dollars volés, remboursement intégral effectué
En mars 2022, la chaîne Ronin derrière Axie Infinity a subi une attaque majeure, avec des pertes atteignant 620 millions de dollars. Fait intéressant, l'attaque a eu lieu le 23 mars, mais n'a été découverte que six jours plus tard.
Une enquête montre que l'attaque provient d'une attaque d'ingénierie sociale soigneusement planifiée. Les attaquants ont réussi à gagner la confiance des employés de Sky Mavis en se faisant passer pour une société de recrutement, et ont finalement contrôlé plusieurs nœuds de validation du réseau Ronin.
Bien que les fonds volés n'aient pas pu être récupérés, Sky Mavis a levé 150 millions de dollars lors d'un nouveau tour de financement pour indemniser les pertes des utilisateurs. Il convient de noter qu'en raison de la forte baisse du prix de l'ETH pendant la période d'indemnisation, la valeur réelle des paiements est bien inférieure à la valeur des actifs au moment du vol.
Wormhole : 326 millions de dollars de pertes, obtention d'une indemnisation rapide
Début février 2022, le protocole d'interopérabilité cross-chain Wormhole a été attaqué, entraînant une perte d'environ 120 000 ETH, d'une valeur de 326 millions de dollars. L'attaquant a exploité une vulnérabilité de vérification de signature dans le contrat principal de Wormhole sur Solana, réussissant à falsifier un message "gardien" pour frapper une grande quantité de whETH.
Heureusement, Jump Crypto a rapidement injecté 120 000 ETH dans Wormhole, compensant ainsi toutes les pertes et permettant à Wormhole de reprendre rapidement ses opérations.
EvoDeFi : pertes estimées à plusieurs millions de dollars, non résolues
En juin 2022, l'USDT sur le DEX ValleySwap de l'écosystème Oasis a connu un grave dépegging. La racine du problème réside dans le manque de liquidité sur la chaîne source du pont cross-chain EVODeFi utilisé.
Bien que le montant exact des pertes ne soit pas clair, il est estimé à plusieurs millions de dollars. Il est regrettable que les parties concernées n'aient fourni aucune solution efficace. Les comptes de médias sociaux officiels de ValleySwap et d'EVODeFi ont également cessé de publier des mises à jour après l'incident, ce qui équivaut en réalité à un abandon du projet.
Horizon : pertes proches de 100 millions de dollars, le plan d'indemnisation est toujours en cours d'élaboration.
En juin 2022, le pont cross-chain Horizon de Harmony a été attaqué, entraînant une perte d'environ 100 millions de dollars. Le fondateur de Harmony a reconnu que l'attaque pourrait être due à une fuite de clé privée.
Harmony avait proposé de compenser les pertes des utilisateurs par une émission supplémentaire de jetons sur une période de 3 ans, mais n’a pas réussi à obtenir l’accord unanime de la communauté. Actuellement, l’équipe est en train de redéfinir le plan d’indemnisation.
Nomad : 1,9 milliard de dollars volés, une partie des fonds pourrait être récupérée
En août 2022, le pont cross-chain Nomad a subi un grave incident de sécurité, entraînant la perte de 190 millions de dollars de fonds. Les analyses montrent que le problème provient d'une erreur d'initialisation lors d'une mise à niveau de contrat, permettant à quiconque de retirer facilement des fonds du pont.
L'attaque implique 1251 adresses, dont les adresses ENS représentent 38 % du montant total. Bien que l'équipe du projet n'ait pas encore fourni de plan de remboursement clair, certains hackers éthiques ont déjà exprimé leur volonté de restituer des fonds, apportant une lueur d'espoir pour la résolution du problème.
Résumé et enseignements
En examinant ces incidents d'attaques de bridges cross-chain, nous pouvons tirer les enseignements suivants :
Les ponts cross-chain sont des domaines à haut risque, même les projets connus peuvent présenter des vulnérabilités de sécurité.
Une équipe de développement puissante et un soutien financier adéquat sont essentiels pour la gestion post-incident. Des projets comme Poly Network, Ronin et Wormhole, après avoir subi des pertes importantes, ont pu récupérer rapidement des actifs ou procéder à un remboursement intégral.
La surveillance en temps réel et les mécanismes de réponse rapide sont très importants. Certains projets comme Hop Protocol et StarGate ont réussi à empêcher des attaques potentielles en détectant et en traitant rapidement les activités suspectes.
Les utilisateurs doivent être prudents lorsqu'ils choisissent des bridges cross-chain, en privilégiant les projets développés par des équipes solides afin de réduire les risques financiers.
Des audits de sécurité réguliers et des programmes de récompenses pour la découverte de vulnérabilités sont essentiels pour identifier et corriger les problèmes potentiels.
L'équipe de développement des bridges cross-chain devrait continuellement apprendre des cas d'attaques passés, améliorer les mesures de sécurité, en particulier en ce qui concerne la mise à niveau des contrats et la gestion des autorisations.
En somme, avec l'augmentation de la demande pour le cross-chain, la sécurité des bridges cross-chain continuera d'être un sujet important dans l'industrie de la blockchain. Les développeurs, les utilisateurs et l'ensemble de l'écosystème doivent travailler ensemble pour construire une infrastructure cross-chain plus sécurisée et fiable.