Обзор атак на кроссчейн мосты: десять случаев с убытками почти в 2 миллиарда долларов
С развитием технологии блокчейн кроссчейн мост стал важной инфраструктурой для соединения различных экосистем публичных блокчейнов. Однако, поскольку он управляет большим количеством средств и часто выполняет кроссчейн операции, кроссчейн мост также стал популярной целью для атак хакеров. В этой статье мы рассмотрим десять крупных атак на кроссчейн мосты, произошедших в последние годы, и подведем итоги извлеченных уроков и выводов.
ChainSwap: дважды подвергался атаке, убытки составили около 8,8 миллиона долларов
В июле 2021 года ChainSwap за короткие 9 дней подвергся двум хакерским атакам. Первая атака привела к потерям около 800 000 долларов, вторая атака была более серьезной, с потерями до 8 000 000 долларов, затронув более 20 проектов, использующих ChainSwap для кросс-чейн.
Исследование показывает, что атака произошла из-за того, что протокол не смог строго проверить действительность подписи, что позволило злоумышленникам использовать сгенерированные ими подписи для проведения транзакций. Поскольку основными потерями стали токены управления, ChainSwap и несколько затронутых проектов выбрали сделать снимок и переиздать токены, чтобы компенсировать потери держателей и поставщиков ликвидности.
Poly Network: 6.1 миллиарда долларов активов были украдены и полностью возвращены
В августе 2021 года кросс-чейн протокол взаимодействия Poly Network подвергся самой крупной в то время атаке DeFi, в результате которой на трех сетях: Ethereum, Binance Smart Chain и Polygon было потеряно около 610 миллионов долларов активов.
Главной причиной атаки является наличие уязвимости в логике управления правами контракта. Атакующий успешно изменил адрес валидатора целевой цепи, что позволило ему подписывать операции по выводу активов. Несмотря на огромный масштаб атаки, в конечном итоге атакующий вернул все средства, и Poly Network назвал его "белым хакером", предложив назначить его главным консультантом по безопасности.
Multichain: украдено активов на 6 миллионов долларов, почти 50% возвращено
В январе 2022 года Multichain обнаружил важную уязвимость, затрагивающую множество токенов. Хотя уязвимость была устранена, около 6 миллионов долларов WETH и AVAX было украдено.
Анализ безопасности показывает, что атака произошла из-за проблем с проверкой легитимности токенов, вводимых пользователями, в Multichain, так как не все базовые токены реализуют функцию permit. Команда успешно вернула почти 50% украденных средств и предложила план компенсации, но больше не несет ответственности за убытки пользователей, которые не успели отозвать свои разрешения.
QBridge: убытки в 80 миллионов долларов, компенсация только 2%
В конце января 2022 года кроссчейн мост QBridge кредитного протокола Qubit был атакован, в результате чего был потерян около 80 миллионов долларов. Злоумышленник использовал уязвимость QBridge, заключающуюся в том, что при обработке переводов токенов из белого списка не была повторно проверена нулевая адреса, успешно создав большое количество токенов xETH на BSC и используя эти токены для заимствования других активов у Qubit.
В настоящее время использование Qubit значительно снизилось, и по официальным данным по-прежнему 98% украденных средств не были возвращены.
Meter.io: убыток в 4,4 миллиона долларов, обещание компенсировать за счет будущих доходов
В феврале 2022 года кроссчейн мост Meter Passport подвергся атаке, в результате которой были потеряны 4,4 миллиона долларов. Официальные лица сообщили, что проблема заключалась в "ошибочной доверительной гипотезе" к исходному коду, что позволило хакерам подделать переводы BNB и ETH.
Команда Meter изначально планировала компенсировать убытки с помощью токенов MTRG, но после голосования сообщества было решено выпустить новые токены PASS для компенсации и было обещано выкупить PASS за счет будущих доходов. Однако на данный момент никаких операций по выкупу не проводилось.
Ronin: 620 миллионов долларов украдено, полностью компенсировано
В марте 2022 года блокчейн Ronin, стоящий за Axie Infinity, подвергся серьезной атаке, с убытками до 620 миллионов долларов. Интересно, что атака произошла 23 марта, но была обнаружена только через 6 дней.
Исследование показывает, что атака произошла в результате тщательно спланированной социальной инженерии. Злоумышленники, выдавая себя за работников компании, успешно завоевали доверие сотрудников Sky Mavis и в конечном итоге получили контроль над несколькими узлами верификации сети Ronin.
Несмотря на то, что украденные средства не были возвращены, Sky Mavis собрала 150 миллионов долларов в ходе нового раунда финансирования для компенсации убытков пользователей. Следует отметить, что из-за резкого падения цены ETH в период выплат фактическая стоимость компенсации значительно ниже стоимости активов на момент кражи.
Wormhole: убытки в размере 326 миллионов долларов, своевременная компенсация
В начале февраля 2022 года кросс-чейн протокол взаимодействия Wormhole подвергся атаке, в результате которой было потеряно около 120000 ETH на сумму 326 миллионов долларов. Злоумышленник использовал уязвимость проверки подписи в основном контракте Wormhole на стороне Solana, успешно подделав сообщение "опекуна" для создания большого количества whETH.
К счастью, Jump Crypto быстро ввел 120000 ETH в Wormhole, компенсировав все убытки, что позволило Wormhole быстро восстановить работу.
EvoDeFi: Оценочные убытки составляют более 10 миллионов долларов, не решены.
В июне 2022 года на DEX ValleySwap экосистемы Oasis у USDT произошел серьезный раскол. Корень проблемы заключался в недостаточной ликвидности на исходной цепи из-за используемого кроссчейн моста EVODeFi.
Хотя конкретная сумма убытков не известна, предполагается, что она составляет десятки миллионов долларов. К сожалению, заинтересованные стороны не предоставили никаких эффективных решений. Официальные аккаунты в социальных сетях ValleySwap и EVODeFi также перестали обновляться после инцидента, что фактически равноценно отказу со стороны проекта.
Horizon: убытки близки к 100 миллионам долларов, план компенсации все еще разрабатывается
В июне 2022 года официальный кроссчейн мост Harmony Horizon подвергся атаке, что привело к потере около 100 миллионов долларов. Основатель Harmony признал, что атака могла быть вызвана утечкой приватного ключа.
Harmony предложила возместить убытки пользователей в течение 3 лет путем эмиссии дополнительных токенов, но не смогла получить единогласное согласие сообщества. В настоящее время команда разрабатывает новый план компенсации.
Nomad: украдено 190 миллионов долларов, часть средств может быть возвращена
В августе 2022 года кроссчейн мост Nomad столкнулся с серьезным инцидентом безопасности, в результате которого было потеряно 190 миллионов долларов. Анализ показывает, что проблема возникла из-за ошибки инициализации в процессе обновления контракта, что позволило любому легко выводить средства из моста.
Атака затронула 1251 адрес, из которых адреса ENS составляют 38% от общей суммы. Хотя команда проекта пока не представила четкого плана компенсации, некоторые белые хакеры уже выразили готовность вернуть средства, что дает надежду на решение проблемы.
Резюме и выводы
Оглядываясь на эти инциденты с атаками на кроссчейн мосты, мы можем сделать следующие выводы:
Кроссчейн мост является высокорисковой областью, даже известные проекты могут иметь проблемы с безопасностью.
Мощная команда разработчиков и достаточная финансовая поддержка имеют решающее значение для обработки последствий инцидента. Проекты, такие как Poly Network, Ronin и Wormhole, смогли быстро вернуть активы или произвести полное возмещение после значительных потерь.
Реальный мониторинг и быстрая реакция очень важны. Некоторые проекты, такие как Hop Protocol и StarGate, успешно предотвратили потенциальные атаки благодаря своевременному обнаружению и обработке подозрительной активности.
Пользователи должны быть осторожны при выборе кроссчейн моста, предпочтительно рассматривая проекты, разработанные сильными командами, чтобы снизить финансовые риски.
Регулярные аудиты безопасности и программы вознаграждения за уязвимости имеют важное значение для выявления и устранения потенциальных проблем.
Команда разработчиков кроссчейн моста должна постоянно изучать прошлые случаи атак, совершенствовать меры безопасности, особенно в отношении обновления контрактов и управления правами.
В общем, с увеличением спроса на кросс-чейн, безопасность кроссчейн мостов будет продолжать оставаться важной темой в индустрии блокчейна. Разработчики, пользователи и вся экосистема должны совместно работать над созданием более безопасной и надежной кросс-чейн инфраструктуры.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Обзор десяти атак на кроссчейн мосты: уроки и выводы из потерь в почти 2 миллиарда долларов
Обзор атак на кроссчейн мосты: десять случаев с убытками почти в 2 миллиарда долларов
С развитием технологии блокчейн кроссчейн мост стал важной инфраструктурой для соединения различных экосистем публичных блокчейнов. Однако, поскольку он управляет большим количеством средств и часто выполняет кроссчейн операции, кроссчейн мост также стал популярной целью для атак хакеров. В этой статье мы рассмотрим десять крупных атак на кроссчейн мосты, произошедших в последние годы, и подведем итоги извлеченных уроков и выводов.
ChainSwap: дважды подвергался атаке, убытки составили около 8,8 миллиона долларов
В июле 2021 года ChainSwap за короткие 9 дней подвергся двум хакерским атакам. Первая атака привела к потерям около 800 000 долларов, вторая атака была более серьезной, с потерями до 8 000 000 долларов, затронув более 20 проектов, использующих ChainSwap для кросс-чейн.
Исследование показывает, что атака произошла из-за того, что протокол не смог строго проверить действительность подписи, что позволило злоумышленникам использовать сгенерированные ими подписи для проведения транзакций. Поскольку основными потерями стали токены управления, ChainSwap и несколько затронутых проектов выбрали сделать снимок и переиздать токены, чтобы компенсировать потери держателей и поставщиков ликвидности.
Poly Network: 6.1 миллиарда долларов активов были украдены и полностью возвращены
В августе 2021 года кросс-чейн протокол взаимодействия Poly Network подвергся самой крупной в то время атаке DeFi, в результате которой на трех сетях: Ethereum, Binance Smart Chain и Polygon было потеряно около 610 миллионов долларов активов.
Главной причиной атаки является наличие уязвимости в логике управления правами контракта. Атакующий успешно изменил адрес валидатора целевой цепи, что позволило ему подписывать операции по выводу активов. Несмотря на огромный масштаб атаки, в конечном итоге атакующий вернул все средства, и Poly Network назвал его "белым хакером", предложив назначить его главным консультантом по безопасности.
Multichain: украдено активов на 6 миллионов долларов, почти 50% возвращено
В январе 2022 года Multichain обнаружил важную уязвимость, затрагивающую множество токенов. Хотя уязвимость была устранена, около 6 миллионов долларов WETH и AVAX было украдено.
Анализ безопасности показывает, что атака произошла из-за проблем с проверкой легитимности токенов, вводимых пользователями, в Multichain, так как не все базовые токены реализуют функцию permit. Команда успешно вернула почти 50% украденных средств и предложила план компенсации, но больше не несет ответственности за убытки пользователей, которые не успели отозвать свои разрешения.
QBridge: убытки в 80 миллионов долларов, компенсация только 2%
В конце января 2022 года кроссчейн мост QBridge кредитного протокола Qubit был атакован, в результате чего был потерян около 80 миллионов долларов. Злоумышленник использовал уязвимость QBridge, заключающуюся в том, что при обработке переводов токенов из белого списка не была повторно проверена нулевая адреса, успешно создав большое количество токенов xETH на BSC и используя эти токены для заимствования других активов у Qubit.
В настоящее время использование Qubit значительно снизилось, и по официальным данным по-прежнему 98% украденных средств не были возвращены.
Meter.io: убыток в 4,4 миллиона долларов, обещание компенсировать за счет будущих доходов
В феврале 2022 года кроссчейн мост Meter Passport подвергся атаке, в результате которой были потеряны 4,4 миллиона долларов. Официальные лица сообщили, что проблема заключалась в "ошибочной доверительной гипотезе" к исходному коду, что позволило хакерам подделать переводы BNB и ETH.
Команда Meter изначально планировала компенсировать убытки с помощью токенов MTRG, но после голосования сообщества было решено выпустить новые токены PASS для компенсации и было обещано выкупить PASS за счет будущих доходов. Однако на данный момент никаких операций по выкупу не проводилось.
Ronin: 620 миллионов долларов украдено, полностью компенсировано
В марте 2022 года блокчейн Ronin, стоящий за Axie Infinity, подвергся серьезной атаке, с убытками до 620 миллионов долларов. Интересно, что атака произошла 23 марта, но была обнаружена только через 6 дней.
Исследование показывает, что атака произошла в результате тщательно спланированной социальной инженерии. Злоумышленники, выдавая себя за работников компании, успешно завоевали доверие сотрудников Sky Mavis и в конечном итоге получили контроль над несколькими узлами верификации сети Ronin.
Несмотря на то, что украденные средства не были возвращены, Sky Mavis собрала 150 миллионов долларов в ходе нового раунда финансирования для компенсации убытков пользователей. Следует отметить, что из-за резкого падения цены ETH в период выплат фактическая стоимость компенсации значительно ниже стоимости активов на момент кражи.
Wormhole: убытки в размере 326 миллионов долларов, своевременная компенсация
В начале февраля 2022 года кросс-чейн протокол взаимодействия Wormhole подвергся атаке, в результате которой было потеряно около 120000 ETH на сумму 326 миллионов долларов. Злоумышленник использовал уязвимость проверки подписи в основном контракте Wormhole на стороне Solana, успешно подделав сообщение "опекуна" для создания большого количества whETH.
К счастью, Jump Crypto быстро ввел 120000 ETH в Wormhole, компенсировав все убытки, что позволило Wormhole быстро восстановить работу.
EvoDeFi: Оценочные убытки составляют более 10 миллионов долларов, не решены.
В июне 2022 года на DEX ValleySwap экосистемы Oasis у USDT произошел серьезный раскол. Корень проблемы заключался в недостаточной ликвидности на исходной цепи из-за используемого кроссчейн моста EVODeFi.
Хотя конкретная сумма убытков не известна, предполагается, что она составляет десятки миллионов долларов. К сожалению, заинтересованные стороны не предоставили никаких эффективных решений. Официальные аккаунты в социальных сетях ValleySwap и EVODeFi также перестали обновляться после инцидента, что фактически равноценно отказу со стороны проекта.
Horizon: убытки близки к 100 миллионам долларов, план компенсации все еще разрабатывается
В июне 2022 года официальный кроссчейн мост Harmony Horizon подвергся атаке, что привело к потере около 100 миллионов долларов. Основатель Harmony признал, что атака могла быть вызвана утечкой приватного ключа.
Harmony предложила возместить убытки пользователей в течение 3 лет путем эмиссии дополнительных токенов, но не смогла получить единогласное согласие сообщества. В настоящее время команда разрабатывает новый план компенсации.
Nomad: украдено 190 миллионов долларов, часть средств может быть возвращена
В августе 2022 года кроссчейн мост Nomad столкнулся с серьезным инцидентом безопасности, в результате которого было потеряно 190 миллионов долларов. Анализ показывает, что проблема возникла из-за ошибки инициализации в процессе обновления контракта, что позволило любому легко выводить средства из моста.
Атака затронула 1251 адрес, из которых адреса ENS составляют 38% от общей суммы. Хотя команда проекта пока не представила четкого плана компенсации, некоторые белые хакеры уже выразили готовность вернуть средства, что дает надежду на решение проблемы.
Резюме и выводы
Оглядываясь на эти инциденты с атаками на кроссчейн мосты, мы можем сделать следующие выводы:
Кроссчейн мост является высокорисковой областью, даже известные проекты могут иметь проблемы с безопасностью.
Мощная команда разработчиков и достаточная финансовая поддержка имеют решающее значение для обработки последствий инцидента. Проекты, такие как Poly Network, Ronin и Wormhole, смогли быстро вернуть активы или произвести полное возмещение после значительных потерь.
Реальный мониторинг и быстрая реакция очень важны. Некоторые проекты, такие как Hop Protocol и StarGate, успешно предотвратили потенциальные атаки благодаря своевременному обнаружению и обработке подозрительной активности.
Пользователи должны быть осторожны при выборе кроссчейн моста, предпочтительно рассматривая проекты, разработанные сильными командами, чтобы снизить финансовые риски.
Регулярные аудиты безопасности и программы вознаграждения за уязвимости имеют важное значение для выявления и устранения потенциальных проблем.
Команда разработчиков кроссчейн моста должна постоянно изучать прошлые случаи атак, совершенствовать меры безопасности, особенно в отношении обновления контрактов и управления правами.
В общем, с увеличением спроса на кросс-чейн, безопасность кроссчейн мостов будет продолжать оставаться важной темой в индустрии блокчейна. Разработчики, пользователи и вся экосистема должны совместно работать над созданием более безопасной и надежной кросс-чейн инфраструктуры.