Revisão dos ataques a pontes de cadeia cruzada: Dez casos envolvendo quase 2 mil milhões de dólares em perdas
Com o desenvolvimento da tecnologia blockchain, as pontes de cadeia cruzada tornaram-se uma infraestrutura importante para conectar diferentes ecossistemas de blockchain. No entanto, devido à sua capacidade de suportar grandes quantias de dinheiro e realizar operações de cadeia cruzada com frequência, as pontes de cadeia cruzada também se tornaram um alvo popular para ataques de hackers. Este artigo irá rever os dez principais incidentes de ataques a pontes de cadeia cruzada que ocorreram nos últimos anos, resumindo as lições e insights que podem ser aprendidos.
ChainSwap: duas vezes atacada, perda de cerca de 8,8 milhões de dólares
Em julho de 2021, o ChainSwap sofreu dois ataques de hackers em apenas 9 dias. O primeiro ataque resultou em uma perda de cerca de 800 mil dólares, e o segundo ataque foi ainda mais grave, com perdas que chegam a 8 milhões de dólares, afetando mais de 20 projetos que utilizam o ChainSwap para cadeia cruzada.
A pesquisa mostra que o ataque originou-se da falha do protocolo em verificar rigorosamente a validade das assinaturas, permitindo que os atacantes realizassem transações com assinaturas geradas por eles mesmos. Como a principal perda foram os tokens de governança, a ChainSwap e vários projetos afetados optaram por fazer um snapshot e reemitir tokens para compensar as perdas dos detentores e provedores de liquidez.
Poly Network: 6,1 milhões de dólares em ativos recuperados na totalidade após roubo
Em agosto de 2021, o protocolo de interoperabilidade de cadeia cruzada Poly Network sofreu o maior ataque DeFi da época, resultando em uma perda total de aproximadamente 610 milhões de dólares em ativos nas redes Ethereum, Binance Smart Chain e Polygon.
A principal razão do ataque foi a existência de uma falha na lógica de gestão de permissões do contrato. O atacante conseguiu modificar o endereço dos validadores da cadeia alvo, permitindo assim que realizasse a verificação de assinatura para operações de retirada de ativos. Apesar da grande escala do ataque, o atacante acabou por devolver todos os fundos, e a Poly Network também o chamou de "hacker de chapéu branco", propondo contratar-lhe como consultor de segurança chefe.
Multichain: 6 milhões de dólares em ativos roubados, quase 50% já foram recuperados
Em janeiro de 2022, a Multichain descobriu uma vulnerabilidade significativa que afetava vários tokens. Embora a vulnerabilidade tenha sido corrigida, cerca de 6 milhões de dólares em WETH e AVAX ainda foram roubados.
A análise de segurança mostrou que o ataque originou-se de problemas na verificação da legitimidade dos tokens de entrada dos usuários pelo Multichain, não considerando que nem todos os tokens subjacentes implementaram a função permit. A equipe conseguiu recuperar cerca de 50% dos fundos roubados e apresentou um plano de compensação, mas não se responsabiliza pelas perdas dos usuários que não revogaram a autorização a tempo.
QBridge: perda de 80 milhões de dólares, apenas 2% de compensação
No final de janeiro de 2022, a ponte de cadeia cruzada QBridge do protocolo de empréstimo Qubit foi atacada, resultando em perdas de cerca de 80 milhões de dólares. O atacante explorou uma vulnerabilidade no QBridge que não verificava novamente o endereço zero ao processar transferências de tokens na lista branca, conseguindo assim cunhar uma grande quantidade de xETH na BSC e usar esses tokens para emprestar outros ativos do Qubit.
Atualmente, a taxa de utilização do Qubit caiu drasticamente, com dados oficiais indicando que ainda 98% dos fundos roubados não foram compensados.
Meter.io: perda de 4,4 milhões de dólares, prometendo compensar com lucros futuros
Em fevereiro de 2022, a ponte de cadeia cruzada Meter Passport foi atacada, resultando em uma perda de 4,4 milhões de dólares. A equipe oficial afirmou que o problema estava em uma "supondo de confiança errada" no código subjacente, permitindo que os hackers falsificassem transferências de BNB e ETH.
A equipe do Meter inicialmente planejou compensar as perdas com o token MTRG, mas após votação da comunidade, decidiu emitir um novo token PASS para compensação e prometeu recomprar o PASS com os lucros futuros. No entanto, até agora, nenhuma operação de recompra foi realizada.
Ronin: 620 milhões de dólares roubados, já totalmente compensados
Em março de 2022, a cadeia Ronin por trás do Axie Infinity sofreu um ataque significativo, resultando em perdas de até 620 milhões de dólares. Curiosamente, o ataque ocorreu no dia 23 de março, mas só foi descoberto 6 dias depois.
A investigação mostra que o ataque originou-se de um ataque de engenharia social cuidadosamente planeado. Os atacantes, através de uma falsa oferta de emprego da empresa, conseguiram ganhar a confiança dos funcionários da Sky Mavis e, finalmente, controlar vários nós de validação da rede Ronin.
Embora os fundos roubados não tenham sido recuperados, a Sky Mavis arrecadou 150 milhões de dólares através de uma nova rodada de financiamento para compensar as perdas dos usuários. Vale a pena notar que, devido à queda acentuada do preço do ETH durante o período de compensação, o valor real da compensação está muito abaixo do valor dos ativos no momento do roubo.
Wormhole: 326 milhões de dólares em perdas, recebimento de compensação a tempo
No início de fevereiro de 2022, o protocolo de interoperabilidade de cadeia cruzada Wormhole foi atacado, resultando na perda de cerca de 120 mil ETH, no valor de 326 milhões de dólares. O atacante explorou uma vulnerabilidade de validação de assinatura no contrato central do Wormhole na Solana, conseguindo falsificar mensagens de "guardião" para cunhar uma grande quantidade de whETH.
Felizmente, a Jump Crypto rapidamente injetou 120 mil ETH no Wormhole, compensando todas as perdas e permitindo que o Wormhole retomasse rapidamente suas operações.
EvoDeFi: estima-se que as perdas superem os dez milhões de dólares, sem solução.
Em junho de 2022, o USDT na DEX ValleySwap do ecossistema Oasis apresentou um sério desvio de âncora. A raiz do problema está na insuficiência de liquidez na cadeia de origem da ponte de cadeia cruzada EVODeFi que foi utilizada.
Apesar de o valor específico das perdas não ser claro, estima-se que esteja na casa dos milhões de dólares. É lamentável que as partes envolvidas não tenham fornecido qualquer solução eficaz. As contas oficiais nas redes sociais da ValleySwap e da EVODeFi também pararam de ser atualizadas após o incidente, o que equivale, na prática, a um abandono por parte da equipe do projeto.
Horizon: Perdas de quase 100 milhões de dólares, o plano de compensação ainda está em elaboração.
Em junho de 2022, a ponte de cadeia cruzada oficial da Harmony, Horizon, foi atacada, resultando em perdas de aproximadamente 100 milhões de dólares. O fundador da Harmony admitiu que o ataque pode ter sido causado por uma violação da chave privada.
A Harmony propôs compensar os usuários por perdas através da emissão adicional de tokens em 3 anos, mas não conseguiu obter o consenso da comunidade. Atualmente, a equipe está reformulando o plano de compensação.
Nomad: 1,9 milhões de dólares foram roubados, parte dos fundos pode ser recuperada
Em agosto de 2022, a ponte de cadeia cruzada Nomad sofreu um grave incidente de segurança, resultando na perda de 190 milhões de dólares em fundos. A análise mostrou que o problema se originou de um erro de inicialização durante uma atualização do contrato, permitindo que qualquer pessoa pudesse facilmente retirar fundos da ponte.
O ataque envolveu 1251 endereços, dos quais os endereços ENS representam 38% do montante total. Embora a equipe do projeto ainda não tenha apresentado um plano de compensação claro, alguns hackers éticos já se mostraram dispostos a devolver os fundos, trazendo uma esperança para a resolução do problema.
Resumo e Reflexões
Ao rever estes eventos de ataque às pontes de cadeia cruzada, podemos tirar as seguintes lições:
Pontes de cadeia cruzada são áreas de alto risco, mesmo projetos conhecidos podem ter vulnerabilidades de segurança.
Uma equipa de desenvolvimento forte e um suporte de capital adequado são cruciais para a gestão pós-acidente. Projetos como Poly Network, Ronin e Wormhole, após sofrerem perdas significativas, conseguiram recuperar rapidamente os ativos ou realizar reembolsos totais.
A monitorização em tempo real e o mecanismo de resposta rápida são muito importantes. Alguns projetos como o Hop Protocol e o StarGate, através da deteção e tratamento atempado de atividades suspeitas, conseguiram impedir ataques potenciais.
Os utilizadores devem ser cautelosos ao escolher pontes de cadeia cruzada, priorizando projetos desenvolvidos por equipas sólidas, a fim de reduzir o risco financeiro.
Auditorias de segurança regulares e programas de recompensas por vulnerabilidades são essenciais para identificar e corrigir problemas potenciais.
A equipe de desenvolvimento da ponte de cadeia cruzada deve continuar a aprender com os casos de ataques passados, aprimorar as medidas de segurança, especialmente em relação à atualização de contratos e à gestão de permissões.
Em suma, à medida que a demanda por cadeia cruzada aumenta, a segurança das pontes de cadeia cruzada continuará a ser um tópico importante na indústria de blockchain. Desenvolvedores, usuários e todo o ecossistema precisam trabalhar juntos para construir uma infraestrutura de cadeia cruzada mais segura e confiável.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
Revisão dos 10 principais ataques a pontes de cadeia cruzada: lições e ensinamentos por trás de uma perda de quase 2 bilhões de dólares
Revisão dos ataques a pontes de cadeia cruzada: Dez casos envolvendo quase 2 mil milhões de dólares em perdas
Com o desenvolvimento da tecnologia blockchain, as pontes de cadeia cruzada tornaram-se uma infraestrutura importante para conectar diferentes ecossistemas de blockchain. No entanto, devido à sua capacidade de suportar grandes quantias de dinheiro e realizar operações de cadeia cruzada com frequência, as pontes de cadeia cruzada também se tornaram um alvo popular para ataques de hackers. Este artigo irá rever os dez principais incidentes de ataques a pontes de cadeia cruzada que ocorreram nos últimos anos, resumindo as lições e insights que podem ser aprendidos.
ChainSwap: duas vezes atacada, perda de cerca de 8,8 milhões de dólares
Em julho de 2021, o ChainSwap sofreu dois ataques de hackers em apenas 9 dias. O primeiro ataque resultou em uma perda de cerca de 800 mil dólares, e o segundo ataque foi ainda mais grave, com perdas que chegam a 8 milhões de dólares, afetando mais de 20 projetos que utilizam o ChainSwap para cadeia cruzada.
A pesquisa mostra que o ataque originou-se da falha do protocolo em verificar rigorosamente a validade das assinaturas, permitindo que os atacantes realizassem transações com assinaturas geradas por eles mesmos. Como a principal perda foram os tokens de governança, a ChainSwap e vários projetos afetados optaram por fazer um snapshot e reemitir tokens para compensar as perdas dos detentores e provedores de liquidez.
Poly Network: 6,1 milhões de dólares em ativos recuperados na totalidade após roubo
Em agosto de 2021, o protocolo de interoperabilidade de cadeia cruzada Poly Network sofreu o maior ataque DeFi da época, resultando em uma perda total de aproximadamente 610 milhões de dólares em ativos nas redes Ethereum, Binance Smart Chain e Polygon.
A principal razão do ataque foi a existência de uma falha na lógica de gestão de permissões do contrato. O atacante conseguiu modificar o endereço dos validadores da cadeia alvo, permitindo assim que realizasse a verificação de assinatura para operações de retirada de ativos. Apesar da grande escala do ataque, o atacante acabou por devolver todos os fundos, e a Poly Network também o chamou de "hacker de chapéu branco", propondo contratar-lhe como consultor de segurança chefe.
Multichain: 6 milhões de dólares em ativos roubados, quase 50% já foram recuperados
Em janeiro de 2022, a Multichain descobriu uma vulnerabilidade significativa que afetava vários tokens. Embora a vulnerabilidade tenha sido corrigida, cerca de 6 milhões de dólares em WETH e AVAX ainda foram roubados.
A análise de segurança mostrou que o ataque originou-se de problemas na verificação da legitimidade dos tokens de entrada dos usuários pelo Multichain, não considerando que nem todos os tokens subjacentes implementaram a função permit. A equipe conseguiu recuperar cerca de 50% dos fundos roubados e apresentou um plano de compensação, mas não se responsabiliza pelas perdas dos usuários que não revogaram a autorização a tempo.
QBridge: perda de 80 milhões de dólares, apenas 2% de compensação
No final de janeiro de 2022, a ponte de cadeia cruzada QBridge do protocolo de empréstimo Qubit foi atacada, resultando em perdas de cerca de 80 milhões de dólares. O atacante explorou uma vulnerabilidade no QBridge que não verificava novamente o endereço zero ao processar transferências de tokens na lista branca, conseguindo assim cunhar uma grande quantidade de xETH na BSC e usar esses tokens para emprestar outros ativos do Qubit.
Atualmente, a taxa de utilização do Qubit caiu drasticamente, com dados oficiais indicando que ainda 98% dos fundos roubados não foram compensados.
Meter.io: perda de 4,4 milhões de dólares, prometendo compensar com lucros futuros
Em fevereiro de 2022, a ponte de cadeia cruzada Meter Passport foi atacada, resultando em uma perda de 4,4 milhões de dólares. A equipe oficial afirmou que o problema estava em uma "supondo de confiança errada" no código subjacente, permitindo que os hackers falsificassem transferências de BNB e ETH.
A equipe do Meter inicialmente planejou compensar as perdas com o token MTRG, mas após votação da comunidade, decidiu emitir um novo token PASS para compensação e prometeu recomprar o PASS com os lucros futuros. No entanto, até agora, nenhuma operação de recompra foi realizada.
Ronin: 620 milhões de dólares roubados, já totalmente compensados
Em março de 2022, a cadeia Ronin por trás do Axie Infinity sofreu um ataque significativo, resultando em perdas de até 620 milhões de dólares. Curiosamente, o ataque ocorreu no dia 23 de março, mas só foi descoberto 6 dias depois.
A investigação mostra que o ataque originou-se de um ataque de engenharia social cuidadosamente planeado. Os atacantes, através de uma falsa oferta de emprego da empresa, conseguiram ganhar a confiança dos funcionários da Sky Mavis e, finalmente, controlar vários nós de validação da rede Ronin.
Embora os fundos roubados não tenham sido recuperados, a Sky Mavis arrecadou 150 milhões de dólares através de uma nova rodada de financiamento para compensar as perdas dos usuários. Vale a pena notar que, devido à queda acentuada do preço do ETH durante o período de compensação, o valor real da compensação está muito abaixo do valor dos ativos no momento do roubo.
Wormhole: 326 milhões de dólares em perdas, recebimento de compensação a tempo
No início de fevereiro de 2022, o protocolo de interoperabilidade de cadeia cruzada Wormhole foi atacado, resultando na perda de cerca de 120 mil ETH, no valor de 326 milhões de dólares. O atacante explorou uma vulnerabilidade de validação de assinatura no contrato central do Wormhole na Solana, conseguindo falsificar mensagens de "guardião" para cunhar uma grande quantidade de whETH.
Felizmente, a Jump Crypto rapidamente injetou 120 mil ETH no Wormhole, compensando todas as perdas e permitindo que o Wormhole retomasse rapidamente suas operações.
EvoDeFi: estima-se que as perdas superem os dez milhões de dólares, sem solução.
Em junho de 2022, o USDT na DEX ValleySwap do ecossistema Oasis apresentou um sério desvio de âncora. A raiz do problema está na insuficiência de liquidez na cadeia de origem da ponte de cadeia cruzada EVODeFi que foi utilizada.
Apesar de o valor específico das perdas não ser claro, estima-se que esteja na casa dos milhões de dólares. É lamentável que as partes envolvidas não tenham fornecido qualquer solução eficaz. As contas oficiais nas redes sociais da ValleySwap e da EVODeFi também pararam de ser atualizadas após o incidente, o que equivale, na prática, a um abandono por parte da equipe do projeto.
Horizon: Perdas de quase 100 milhões de dólares, o plano de compensação ainda está em elaboração.
Em junho de 2022, a ponte de cadeia cruzada oficial da Harmony, Horizon, foi atacada, resultando em perdas de aproximadamente 100 milhões de dólares. O fundador da Harmony admitiu que o ataque pode ter sido causado por uma violação da chave privada.
A Harmony propôs compensar os usuários por perdas através da emissão adicional de tokens em 3 anos, mas não conseguiu obter o consenso da comunidade. Atualmente, a equipe está reformulando o plano de compensação.
Nomad: 1,9 milhões de dólares foram roubados, parte dos fundos pode ser recuperada
Em agosto de 2022, a ponte de cadeia cruzada Nomad sofreu um grave incidente de segurança, resultando na perda de 190 milhões de dólares em fundos. A análise mostrou que o problema se originou de um erro de inicialização durante uma atualização do contrato, permitindo que qualquer pessoa pudesse facilmente retirar fundos da ponte.
O ataque envolveu 1251 endereços, dos quais os endereços ENS representam 38% do montante total. Embora a equipe do projeto ainda não tenha apresentado um plano de compensação claro, alguns hackers éticos já se mostraram dispostos a devolver os fundos, trazendo uma esperança para a resolução do problema.
Resumo e Reflexões
Ao rever estes eventos de ataque às pontes de cadeia cruzada, podemos tirar as seguintes lições:
Pontes de cadeia cruzada são áreas de alto risco, mesmo projetos conhecidos podem ter vulnerabilidades de segurança.
Uma equipa de desenvolvimento forte e um suporte de capital adequado são cruciais para a gestão pós-acidente. Projetos como Poly Network, Ronin e Wormhole, após sofrerem perdas significativas, conseguiram recuperar rapidamente os ativos ou realizar reembolsos totais.
A monitorização em tempo real e o mecanismo de resposta rápida são muito importantes. Alguns projetos como o Hop Protocol e o StarGate, através da deteção e tratamento atempado de atividades suspeitas, conseguiram impedir ataques potenciais.
Os utilizadores devem ser cautelosos ao escolher pontes de cadeia cruzada, priorizando projetos desenvolvidos por equipas sólidas, a fim de reduzir o risco financeiro.
Auditorias de segurança regulares e programas de recompensas por vulnerabilidades são essenciais para identificar e corrigir problemas potenciais.
A equipe de desenvolvimento da ponte de cadeia cruzada deve continuar a aprender com os casos de ataques passados, aprimorar as medidas de segurança, especialmente em relação à atualização de contratos e à gestão de permissões.
Em suma, à medida que a demanda por cadeia cruzada aumenta, a segurança das pontes de cadeia cruzada continuará a ser um tópico importante na indústria de blockchain. Desenvolvedores, usuários e todo o ecossistema precisam trabalhar juntos para construir uma infraestrutura de cadeia cruzada mais segura e confiável.