Обзор и анализ инцидентов безопасности кроссчейн моста
С 2022 по 2024 годы в области кроссчейн мостов произошло несколько крупных инцидентов с безопасностью, общие убытки превысили 2,8 миллиарда долларов. Эти инциденты не только привели к значительным экономическим потерям, но и выявили основные недостатки текущей кроссчейн инфраструктуры в области безопасности.
Обзор основных инцидентов безопасности
Ronin Bridge: Социальная инженерия атака
В марте 2022 года мост Ronin Bridge подвергся атаке, в результате которой было потеряно 625 миллионов долларов. Злоумышленники с помощью социоинженерных методов получили приватный ключ узла проверки и использовали забытое временное разрешение для выполнения несанкционированного вывода средств. Эта атака выявила уязвимость механизма мультиподписей перед тщательно спланированными атаками социоинженерии.
Wormhole Bridge: уязвимость смарт-контракта
В феврале 2022 года мост Wormhole был атакован из-за уязвимости в смарт-контракте, в результате чего было потеряно 320 миллионов долларов. Злоумышленник использовал устаревшую, но не удаленную функцию, чтобы успешно обойти механизм проверки подписи. Этот инцидент подчеркивает важность управления кодом и безопасности аудита.
Harmony Horizon Bridge: утечка приватного ключа
В июне 2022 года мост Harmony Horizon подвергся атаке, в результате которой потеряли 100 миллионов долларов. Нападающий получил закрытые ключи двух валидаторских узлов, что удовлетворяло минимальным требованиям 2 из 5 многофакторной подписи. Эта атака продемонстрировала риск слишком низкой настройки порога многофакторной подписи.
Binance Bridge:уязвимость Меркле-доказательства
В октябре 2022 года Binance Bridge был атакован из-за уязвимости системы проверки Merkle, в результате чего был потерян 570 миллионов долларов. Нападающие использовали тонкую уязвимость в реализации IAVL-дерева, чтобы успешно подделать доказательства блока. Это событие продемонстрировало важность деталей реализации криптографии.
Nomad Bridge: ошибка конфигурации
В августе 2022 года Nomad Bridge из-за конфигурационной ошибки полностью обрушилась, понеся убытки в 190 миллионов долларов. Кажущаяся незначительной конфигурационная ошибка привела к тому, что все кросс-чейн сообщения автоматически помечались как "подтвержденные". Этот случай демонстрирует, какие огромные последствия могут вызвать мелкие ошибки.
В январе 2024 года Orbit Chain подвергся атаке, в результате которой было потеряно 81,5 миллиона долларов. Атакующий получил приватные ключи 7 верификаторов, что ровно соответствует минимальному требованию 7 из 10 для мультиподписей. Этот инцидент вновь продемонстрировал уязвимость традиционных механизмов мультиподписей.
Глубинный анализ причин
Уязвимости управления приватными ключами: составляют 55% факторов успешных атак, включая централизованное хранение, слишком низкие пороги настройки, отсутствие механизма ротации и т. д.
Уязвимости валидации смарт-контрактов: составляют 30%, связаны с недостатками в логике проверки подписи, недостаточной проверкой входных данных и т.д.
Ошибка в управлении конфигурацией: 10%, включая ошибки конфигурации в процессе обновления, неправильные настройки прав доступа и т.д.
Дефекты системы доказательства с использованием криптографии: составляют 5%, касаются глубокого использования основных принципов криптографии.
!
Текущая ситуация в отрасли и технологическая эволюция
2022 год стал самым убыточным, общие потери составили около 1,85 миллиарда долларов.
Методы атаки эволюционировали от крупных одноточечных атак к более скрытным и точным направленным атакам.
Новые технологические решения включают в себя доказательства с нулевым разглашением, многопартийные вычисления, формальную верификацию и др.
Направления будущего развития
Технический аспект: использование криптографических методов для устранения зависимости от человеческого доверия и усиления формальной проверки.
Управленческий аспект: создание единых стандартов безопасности в отрасли, продвижение целевой нормативно-правовой базы.
Экономический аспект: разработать более разумную экономическую систему стимулов и создать отраслевую страховую защиту.
Будущая безопасность кроссчейн моста должна основываться на криптографических гарантиях, что "даже если все участники попытаются совершить злодеяние, они не смогут добиться успеха", а не полагаться на предположение о честности валидаторов. Только полностью переработав архитектуру безопасности кросс-чейн, можно действительно достичь безопасной и надежной многосетевой интероперабельности.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
7 Лайков
Награда
7
5
Репост
Поделиться
комментарий
0/400
NotFinancialAdviser
· 17ч назад
靠 мир криптовалют年年被Клиповые купоны
Посмотреть ОригиналОтветить0
DeFi_Dad_Jokes
· 08-15 14:15
кросс-чейн还是好好用cex吧
Посмотреть ОригиналОтветить0
BTCBeliefStation
· 08-14 03:51
28 миллиардов, смеюсь до слез, неудачники большой урожай
Посмотреть ОригиналОтветить0
ChainDoctor
· 08-14 03:50
Потерпел ужасные убытки
Посмотреть ОригиналОтветить0
GateUser-75ee51e7
· 08-14 03:36
Я же говорил, что мосты блокчейна небезопасны. Кто еще осмелится их использовать?
кроссчейн мост безопасность события потери свыше 28 миллиардов долларов Глубина анализ причин и будущее развитие
Обзор и анализ инцидентов безопасности кроссчейн моста
С 2022 по 2024 годы в области кроссчейн мостов произошло несколько крупных инцидентов с безопасностью, общие убытки превысили 2,8 миллиарда долларов. Эти инциденты не только привели к значительным экономическим потерям, но и выявили основные недостатки текущей кроссчейн инфраструктуры в области безопасности.
Обзор основных инцидентов безопасности
Ronin Bridge: Социальная инженерия атака
В марте 2022 года мост Ronin Bridge подвергся атаке, в результате которой было потеряно 625 миллионов долларов. Злоумышленники с помощью социоинженерных методов получили приватный ключ узла проверки и использовали забытое временное разрешение для выполнения несанкционированного вывода средств. Эта атака выявила уязвимость механизма мультиподписей перед тщательно спланированными атаками социоинженерии.
Wormhole Bridge: уязвимость смарт-контракта
В феврале 2022 года мост Wormhole был атакован из-за уязвимости в смарт-контракте, в результате чего было потеряно 320 миллионов долларов. Злоумышленник использовал устаревшую, но не удаленную функцию, чтобы успешно обойти механизм проверки подписи. Этот инцидент подчеркивает важность управления кодом и безопасности аудита.
Harmony Horizon Bridge: утечка приватного ключа
В июне 2022 года мост Harmony Horizon подвергся атаке, в результате которой потеряли 100 миллионов долларов. Нападающий получил закрытые ключи двух валидаторских узлов, что удовлетворяло минимальным требованиям 2 из 5 многофакторной подписи. Эта атака продемонстрировала риск слишком низкой настройки порога многофакторной подписи.
Binance Bridge:уязвимость Меркле-доказательства
В октябре 2022 года Binance Bridge был атакован из-за уязвимости системы проверки Merkle, в результате чего был потерян 570 миллионов долларов. Нападающие использовали тонкую уязвимость в реализации IAVL-дерева, чтобы успешно подделать доказательства блока. Это событие продемонстрировало важность деталей реализации криптографии.
Nomad Bridge: ошибка конфигурации
В августе 2022 года Nomad Bridge из-за конфигурационной ошибки полностью обрушилась, понеся убытки в 190 миллионов долларов. Кажущаяся незначительной конфигурационная ошибка привела к тому, что все кросс-чейн сообщения автоматически помечались как "подтвержденные". Этот случай демонстрирует, какие огромные последствия могут вызвать мелкие ошибки.
Orbit Chain:систематическая утечка приватных ключей
В январе 2024 года Orbit Chain подвергся атаке, в результате которой было потеряно 81,5 миллиона долларов. Атакующий получил приватные ключи 7 верификаторов, что ровно соответствует минимальному требованию 7 из 10 для мультиподписей. Этот инцидент вновь продемонстрировал уязвимость традиционных механизмов мультиподписей.
Глубинный анализ причин
Уязвимости управления приватными ключами: составляют 55% факторов успешных атак, включая централизованное хранение, слишком низкие пороги настройки, отсутствие механизма ротации и т. д.
Уязвимости валидации смарт-контрактов: составляют 30%, связаны с недостатками в логике проверки подписи, недостаточной проверкой входных данных и т.д.
Ошибка в управлении конфигурацией: 10%, включая ошибки конфигурации в процессе обновления, неправильные настройки прав доступа и т.д.
Дефекты системы доказательства с использованием криптографии: составляют 5%, касаются глубокого использования основных принципов криптографии.
!
Текущая ситуация в отрасли и технологическая эволюция
Направления будущего развития
Технический аспект: использование криптографических методов для устранения зависимости от человеческого доверия и усиления формальной проверки.
Управленческий аспект: создание единых стандартов безопасности в отрасли, продвижение целевой нормативно-правовой базы.
Экономический аспект: разработать более разумную экономическую систему стимулов и создать отраслевую страховую защиту.
Будущая безопасность кроссчейн моста должна основываться на криптографических гарантиях, что "даже если все участники попытаются совершить злодеяние, они не смогут добиться успеха", а не полагаться на предположение о честности валидаторов. Только полностью переработав архитектуру безопасности кросс-чейн, можно действительно достичь безопасной и надежной многосетевой интероперабельности.
!