Огляд атак на кросчейн міст: десять випадків з втратами майже 2 мільярди доларів
З розвитком технологій блокчейн кросчейн міст став важливою інфраструктурою, що з'єднує різні екосистеми публічних блокчейнів. Однак, оскільки він обробляє значні суми коштів і часто здійснює крос-ланцюгові операції, кросчейн міст також став популярною мішенню для хакерських атак. У цій статті ми розглянемо десять великих атак на кросчейн мости, що сталися в останні роки, і підсумуємо уроки та висновки з них.
ChainSwap: двічі зазнав атаки, збитки складають приблизно 8,8 мільйона доларів
У липні 2021 року ChainSwap зазнав двох хакерських атак всього за 9 днів. Перша атака призвела до збитків приблизно в 800 тисяч доларів, друга атака була ще серйознішою, збитки склали 8 мільйонів доларів, що вплинуло на понад 20 проектів, які використовували ChainSwap для крос-ланцюга.
Дослідження показує, що атака виникла через те, що протокол не зміг суворо перевірити дійсність підписів, що дозволило зловмисникам використовувати самостійно згенеровані підписи для здійснення транзакцій. Оскільки основні втрати стосуються токенів управління, ChainSwap та кілька постраждалих проєктів вирішили провести знімок і перевипустити токени, щоб компенсувати втрати тримачів і постачальників ліквідності.
Poly Network: 6,1 мільярда доларів активів було вкрадено, але повністю повернуто
У серпні 2021 року крос-ланцюгова міжопераційна угода Poly Network зазнала найбільшої на той момент атаки DeFi, внаслідок чого було втрачено близько 610 мільйонів доларів активів на трьох мережах: Ethereum, Binance Smart Chain та Polygon.
Основною причиною атаки є наявність вразливостей у логіці управління правами контракту. Зловмисник успішно змінив адресу валідатора цільового ланцюга, що дозволило йому виконувати підписання для операцій з виведення активів. Незважаючи на великий обсяг атаки, зрештою зловмисник повернув усі кошти, а Poly Network назвав його "білим капелюшником" і запропонував найняти його на посаду головного безпекового консультанта.
Multichain: 6000000 доларів США активів було вкрадено, майже 50% вже повернуто
У січні 2022 року Multichain виявив важливу уразливість, що вплинула на кілька токенів. Хоча уразливість була виправлена, все ще було вкрадено близько 6 мільйонів доларів США WETH та AVAX.
Аналіз безпеки показав, що атака сталася через проблеми в Multichain при перевірці легітимності токенів, введених користувачами, оскільки не було враховано, що не всі базові токени реалізують функцію permit. Команда успішно повернула близько 50% вкрадених коштів і запропонувала план компенсації, але більше не несе відповідальності за втрати користувачів, які не скасували авторизацію вчасно.
QBridge: втрата 80 мільйонів доларів, лише 2% компенсації
Наприкінці січня 2022 року кросчейн міст QBridge кредитного протоколу Qubit зазнав атаки, в результаті якої було втрачено близько 80 мільйонів доларів. Зловмисники скористалися вразливістю QBridge, що полягала в тому, що при обробці переказів токенів зі списку білих адрес не було повторної перевірки нульової адреси, успішно створивши велику кількість токенів xETH на BSC з нічого, і використавши ці токени для позики інших активів у Qubit.
Наразі використання Qubit значно знизилося, офіційні дані показують, що досі 98% вкрадених коштів не були компенсовані.
Meter.io: 440 мільйонів доларів США втрат, обіцяють відшкодувати з майбутніх доходів
У лютому 2022 року кросчейн міст Meter Passport зазнав атаки, що призвела до збитків у 4,4 мільйона доларів. Офіційні представники заявили, що проблема полягала в "помилковому довірчому припущенні" до базового коду, що дозволило хакерам підробити перекази BNB та ETH.
Команда Meter спочатку планувала компенсувати збитки за допомогою токена MTRG, але після голосування в спільноті було вирішено випустити новий токен PASS для компенсації, при цьому обіцяючи викупити PASS за рахунок майбутніх доходів. Проте, наразі не було здійснено жодної операції з викупу.
Ronin: 6.2 мільйона доларів США було вкрадено, вже виплачено повну суму
У березні 2022 року блокчейн Ronin, за яким стоїть Axie Infinity, зазнав серйозної атаки, внаслідок якої було втрачено до 620 мільйонів доларів. Цікаво, що атака сталася 23 березня, але була виявлена лише через 6 днів.
Дослідження показують, що атака походила від ретельно спланованої атаки соціальної інженерії. Зловмисники, видаючи себе за рекрутерів компанії, успішно здобули довіру співробітників Sky Mavis і врешті-решт контролювали кілька вузлів верифікації мережі Ronin.
Незважаючи на те, що вкрадені кошти не вдалося повернути, Sky Mavis залучила 150 мільйонів доларів у новому раунді фінансування для компенсації збитків користувачів. Варто зазначити, що через різке падіння ціни ETH під час виплат фактична вартість компенсацій значно нижча за вартість активів на момент крадіжки.
Wormhole: втрати 326 мільйонів доларів США, отримання своєчасної компенсації
На початку лютого 2022 року крос-ланцюгова міжопераційна угода Wormhole зазнала атаки, внаслідок чого було втрачено приблизно 120 000 ETH, що становить 3,26 мільярда доларів. Зловмисник скористався вразливістю перевірки підписів у основному контракті Wormhole на стороні Solana, успішно підробивши повідомлення "опікуна" для створення великої кількості whETH.
На щастя, Jump Crypto швидко влив 120 000 ETH у Wormhole, компенсувавши всі втрати, що дозволило Wormhole швидко відновити свою роботу.
EvoDeFi: оцінені збитки понад десять мільйонів доларів, не вирішені
У червні 2022 року на DEX ValleySwap екосистеми Oasis USDT зазнав серйозного розриву. Корінь проблеми полягав у недостатній ліквідності на вихідному ланцюзі, пов'язаній з використанням кросчейн мосту EVODeFi.
Хоча точна сума збитків невідома, але оцінюється в десятках мільйонів доларів. На жаль, зацікавлені сторони не надали жодного ефективного рішення. Офіційні облікові записи в соціальних мережах ValleySwap та EVODeFi також припинили оновлення після події, що фактично прирівнюється до відмови проекту.
Horizon: збитки близько 100 мільйонів доларів, план компенсації ще розробляється
У червні 2022 року офіційний кросчейн міст Horizon від Harmony зазнав атаки, внаслідок якої було втрачено близько 100 мільйонів доларів. Засновник Harmony визнав, що атака могла бути викликана витоком приватного ключа.
Harmony раніше пропонував компенсувати втрати користувачів шляхом випуску нових токенів протягом 3 років, але не зміг отримати одностайну згоду громади. Наразі команда працює над новим планом компенсації.
Nomad: вкрадено 1,9 мільярда доларів, частину коштів можливо повернути
У серпні 2022 року кросчейн міст Nomad зазнав серйозної безпекової інциденту, що призвело до втрати 190 мільйонів доларів. Аналіз показує, що проблема виникла через помилку ініціалізації під час оновлення контракту, що дозволило будь-кому легко витягувати кошти з мосту.
Атака стосується 1251 адреси, з яких адреси ENS становлять 38% від загальної суми. Хоча команда проекту ще не надала чіткий план компенсації, деякі «білий капелюшки» вже висловили готовність повернути кошти, що приносить надію на вирішення проблеми.
Підсумок та висновки
Оглядаючи ці ці事件 атаки на кросчейн міст, ми можемо зробити такі висновки:
Кросчейн міст є високоризиковою областю, навіть відомі проекти можуть мати проблеми з безпекою.
Потужна команда розробників та достатня капітальна підтримка є критично важливими для вирішення проблем після інциденту. Такі проекти, як Poly Network, Ronin та Wormhole, змогли швидко повернути активи або здійснити повну компенсацію після суттєвих втрат.
Реальний моніторинг і швидка реакція є дуже важливими. Деякі проекти, такі як Hop Protocol та StarGate, успішно запобігли потенційним атакам, вчасно виявляючи та обробляючи підозрілі дії.
Користувачам слід обережно вибирати кросчейн мости, віддаючи перевагу проектам, розробленим сильними командами, щоб знизити фінансові ризики.
Регулярні аудити безпеки та програми винагороди за вразливості є надзвичайно важливими для виявлення та усунення потенційних проблем.
Команда розробників кросчейн мостів повинна постійно вивчати минулі випадки атак, вдосконалювати заходи безпеки, особливо в питаннях оновлення контрактів та управління правами.
У підсумку, з ростом попиту на крос-ланцюги, безпека кросчейн мостів продовжуватиме залишатися важливою темою в індустрії блокчейну. Розробники, користувачі та вся екосистема повинні спільно працювати над створенням більш безпечної та надійної крос-ланцюгової інфраструктури.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Огляд десяти атак на кросчейн мости: уроки та підказки за втратами майже 2 мільярдів доларів
Огляд атак на кросчейн міст: десять випадків з втратами майже 2 мільярди доларів
З розвитком технологій блокчейн кросчейн міст став важливою інфраструктурою, що з'єднує різні екосистеми публічних блокчейнів. Однак, оскільки він обробляє значні суми коштів і часто здійснює крос-ланцюгові операції, кросчейн міст також став популярною мішенню для хакерських атак. У цій статті ми розглянемо десять великих атак на кросчейн мости, що сталися в останні роки, і підсумуємо уроки та висновки з них.
ChainSwap: двічі зазнав атаки, збитки складають приблизно 8,8 мільйона доларів
У липні 2021 року ChainSwap зазнав двох хакерських атак всього за 9 днів. Перша атака призвела до збитків приблизно в 800 тисяч доларів, друга атака була ще серйознішою, збитки склали 8 мільйонів доларів, що вплинуло на понад 20 проектів, які використовували ChainSwap для крос-ланцюга.
Дослідження показує, що атака виникла через те, що протокол не зміг суворо перевірити дійсність підписів, що дозволило зловмисникам використовувати самостійно згенеровані підписи для здійснення транзакцій. Оскільки основні втрати стосуються токенів управління, ChainSwap та кілька постраждалих проєктів вирішили провести знімок і перевипустити токени, щоб компенсувати втрати тримачів і постачальників ліквідності.
Poly Network: 6,1 мільярда доларів активів було вкрадено, але повністю повернуто
У серпні 2021 року крос-ланцюгова міжопераційна угода Poly Network зазнала найбільшої на той момент атаки DeFi, внаслідок чого було втрачено близько 610 мільйонів доларів активів на трьох мережах: Ethereum, Binance Smart Chain та Polygon.
Основною причиною атаки є наявність вразливостей у логіці управління правами контракту. Зловмисник успішно змінив адресу валідатора цільового ланцюга, що дозволило йому виконувати підписання для операцій з виведення активів. Незважаючи на великий обсяг атаки, зрештою зловмисник повернув усі кошти, а Poly Network назвав його "білим капелюшником" і запропонував найняти його на посаду головного безпекового консультанта.
Multichain: 6000000 доларів США активів було вкрадено, майже 50% вже повернуто
У січні 2022 року Multichain виявив важливу уразливість, що вплинула на кілька токенів. Хоча уразливість була виправлена, все ще було вкрадено близько 6 мільйонів доларів США WETH та AVAX.
Аналіз безпеки показав, що атака сталася через проблеми в Multichain при перевірці легітимності токенів, введених користувачами, оскільки не було враховано, що не всі базові токени реалізують функцію permit. Команда успішно повернула близько 50% вкрадених коштів і запропонувала план компенсації, але більше не несе відповідальності за втрати користувачів, які не скасували авторизацію вчасно.
QBridge: втрата 80 мільйонів доларів, лише 2% компенсації
Наприкінці січня 2022 року кросчейн міст QBridge кредитного протоколу Qubit зазнав атаки, в результаті якої було втрачено близько 80 мільйонів доларів. Зловмисники скористалися вразливістю QBridge, що полягала в тому, що при обробці переказів токенів зі списку білих адрес не було повторної перевірки нульової адреси, успішно створивши велику кількість токенів xETH на BSC з нічого, і використавши ці токени для позики інших активів у Qubit.
Наразі використання Qubit значно знизилося, офіційні дані показують, що досі 98% вкрадених коштів не були компенсовані.
Meter.io: 440 мільйонів доларів США втрат, обіцяють відшкодувати з майбутніх доходів
У лютому 2022 року кросчейн міст Meter Passport зазнав атаки, що призвела до збитків у 4,4 мільйона доларів. Офіційні представники заявили, що проблема полягала в "помилковому довірчому припущенні" до базового коду, що дозволило хакерам підробити перекази BNB та ETH.
Команда Meter спочатку планувала компенсувати збитки за допомогою токена MTRG, але після голосування в спільноті було вирішено випустити новий токен PASS для компенсації, при цьому обіцяючи викупити PASS за рахунок майбутніх доходів. Проте, наразі не було здійснено жодної операції з викупу.
Ronin: 6.2 мільйона доларів США було вкрадено, вже виплачено повну суму
У березні 2022 року блокчейн Ronin, за яким стоїть Axie Infinity, зазнав серйозної атаки, внаслідок якої було втрачено до 620 мільйонів доларів. Цікаво, що атака сталася 23 березня, але була виявлена лише через 6 днів.
Дослідження показують, що атака походила від ретельно спланованої атаки соціальної інженерії. Зловмисники, видаючи себе за рекрутерів компанії, успішно здобули довіру співробітників Sky Mavis і врешті-решт контролювали кілька вузлів верифікації мережі Ronin.
Незважаючи на те, що вкрадені кошти не вдалося повернути, Sky Mavis залучила 150 мільйонів доларів у новому раунді фінансування для компенсації збитків користувачів. Варто зазначити, що через різке падіння ціни ETH під час виплат фактична вартість компенсацій значно нижча за вартість активів на момент крадіжки.
Wormhole: втрати 326 мільйонів доларів США, отримання своєчасної компенсації
На початку лютого 2022 року крос-ланцюгова міжопераційна угода Wormhole зазнала атаки, внаслідок чого було втрачено приблизно 120 000 ETH, що становить 3,26 мільярда доларів. Зловмисник скористався вразливістю перевірки підписів у основному контракті Wormhole на стороні Solana, успішно підробивши повідомлення "опікуна" для створення великої кількості whETH.
На щастя, Jump Crypto швидко влив 120 000 ETH у Wormhole, компенсувавши всі втрати, що дозволило Wormhole швидко відновити свою роботу.
EvoDeFi: оцінені збитки понад десять мільйонів доларів, не вирішені
У червні 2022 року на DEX ValleySwap екосистеми Oasis USDT зазнав серйозного розриву. Корінь проблеми полягав у недостатній ліквідності на вихідному ланцюзі, пов'язаній з використанням кросчейн мосту EVODeFi.
Хоча точна сума збитків невідома, але оцінюється в десятках мільйонів доларів. На жаль, зацікавлені сторони не надали жодного ефективного рішення. Офіційні облікові записи в соціальних мережах ValleySwap та EVODeFi також припинили оновлення після події, що фактично прирівнюється до відмови проекту.
Horizon: збитки близько 100 мільйонів доларів, план компенсації ще розробляється
У червні 2022 року офіційний кросчейн міст Horizon від Harmony зазнав атаки, внаслідок якої було втрачено близько 100 мільйонів доларів. Засновник Harmony визнав, що атака могла бути викликана витоком приватного ключа.
Harmony раніше пропонував компенсувати втрати користувачів шляхом випуску нових токенів протягом 3 років, але не зміг отримати одностайну згоду громади. Наразі команда працює над новим планом компенсації.
Nomad: вкрадено 1,9 мільярда доларів, частину коштів можливо повернути
У серпні 2022 року кросчейн міст Nomad зазнав серйозної безпекової інциденту, що призвело до втрати 190 мільйонів доларів. Аналіз показує, що проблема виникла через помилку ініціалізації під час оновлення контракту, що дозволило будь-кому легко витягувати кошти з мосту.
Атака стосується 1251 адреси, з яких адреси ENS становлять 38% від загальної суми. Хоча команда проекту ще не надала чіткий план компенсації, деякі «білий капелюшки» вже висловили готовність повернути кошти, що приносить надію на вирішення проблеми.
Підсумок та висновки
Оглядаючи ці ці事件 атаки на кросчейн міст, ми можемо зробити такі висновки:
Кросчейн міст є високоризиковою областю, навіть відомі проекти можуть мати проблеми з безпекою.
Потужна команда розробників та достатня капітальна підтримка є критично важливими для вирішення проблем після інциденту. Такі проекти, як Poly Network, Ronin та Wormhole, змогли швидко повернути активи або здійснити повну компенсацію після суттєвих втрат.
Реальний моніторинг і швидка реакція є дуже важливими. Деякі проекти, такі як Hop Protocol та StarGate, успішно запобігли потенційним атакам, вчасно виявляючи та обробляючи підозрілі дії.
Користувачам слід обережно вибирати кросчейн мости, віддаючи перевагу проектам, розробленим сильними командами, щоб знизити фінансові ризики.
Регулярні аудити безпеки та програми винагороди за вразливості є надзвичайно важливими для виявлення та усунення потенційних проблем.
Команда розробників кросчейн мостів повинна постійно вивчати минулі випадки атак, вдосконалювати заходи безпеки, особливо в питаннях оновлення контрактів та управління правами.
У підсумку, з ростом попиту на крос-ланцюги, безпека кросчейн мостів продовжуватиме залишатися важливою темою в індустрії блокчейну. Розробники, користувачі та вся екосистема повинні спільно працювати над створенням більш безпечної та надійної крос-ланцюгової інфраструктури.