Revue des incidents de sécurité des ponts cross-chain : près de 2 milliards de dollars d'actifs affectés
Il existe de nombreuses chaînes publiques dans l'écosystème blockchain, mais la plupart des chaînes manquent d'actifs mainstream. Pour acquérir ces actifs, de nombreux projets doivent dépendre des bridges cross-chain pour transférer des actifs depuis des chaînes publiques majeures comme Ethereum. Cependant, récemment, des incidents de sécurité dans le domaine de la DeFi se sont multipliés, et les bridges cross-chain, en raison de leurs flux de fonds élevés et de leurs opérations fréquentes, sont devenus des cibles populaires pour les attaques de hackers. Cet article examinera les 10 incidents majeurs d'attaques de bridges cross-chain qui se sont produits dans le passé, résumera les leçons apprises, afin de rappeler aux équipes de développement et aux utilisateurs d'accroître leur vigilance.
Il convient de noter que les projets de ponts cross-chain solides et bien établis ont souvent plus de capacité à récupérer des actifs ou à effectuer des compensations après avoir rencontré des incidents de sécurité. Par conséquent, lorsque les utilisateurs choisissent des ponts cross-chain, il peut être plus judicieux de privilégier des projets solides.
1. ChainSwap : perte de 8 millions de dollars, réémission de jetons
En juillet 2021, ChainSwap a subi deux attaques de hackers en seulement 9 jours. La première a entraîné des pertes d'environ 800 000 dollars, et la seconde a causé des pertes allant jusqu'à 8 millions de dollars, affectant plus de 20 projets utilisant ChainSwap pour des ponts cross-chain.
La cause de l'accident réside dans le fait que le protocole n'a pas réussi à vérifier strictement la validité des signatures, permettant aux attaquants d'utiliser des signatures générées eux-mêmes pour signer les transactions. Étant donné que les pertes concernent principalement les jetons de gouvernance des projets, plusieurs projets, y compris ChainSwap, ont choisi de faire un snapshot et d'émettre de nouveaux jetons pour indemniser les détenteurs de jetons et les fournisseurs de liquidités.
2. Poly Network : 610 millions de dollars volés, finalement récupérés en totalité
Le 10 août 2021, le protocole d'interopérabilité cross-chain Poly Network a été victime d'une attaque de hacker, entraînant une perte d'environ 610 millions de dollars d'actifs sur trois réseaux : Ethereum, Binance Smart Chain et Polygon.
Des attaquants ont exploité une vulnérabilité dans la logique de gestion des droits des contrats de Poly Network, réussissant à modifier l'adresse des validateurs sur la chaîne cible, et ainsi à contrôler les opérations de transfert d'actifs. Bien que la technique d'attaque ait été astucieuse, le hacker a finalement restitué tous les fonds. Poly Network a ensuite qualifié cela de "hacker white hat" et a proposé de l'engager en tant que conseiller en sécurité principal de l'entreprise.
3. Multichain : 6 millions de dollars affectés, compensation partielle déjà effectuée
En janvier 2022, Multichain a découvert une vulnérabilité importante affectant plusieurs tokens. Bien que la vulnérabilité ait été corrigée, certains utilisateurs ont subi des pertes en raison de leur incapacité à révoquer les autorisations à temps. Un total d'environ 6,04 millions de dollars de WETH et d'AVAX ont été volés.
La cause de l'incident réside dans un défaut de Multichain lors de la vérification de la légitimité des tokens transmis par les utilisateurs, n'ayant pas pris en compte que tous les tokens sous-jacents n'implémentent pas la fonction permit. L'équipe a récupéré près de 50 % des fonds volés et a proposé un plan d'indemnisation, mais cela ne concerne que les utilisateurs ayant révoqué l'autorisation du contrat avant la date spécifiée.
4. QBridge : perte de 80 millions de dollars, seulement 2 % remboursés
À la fin janvier 2022, le pont cross-chain QBridge du protocole de prêt Qubit a été attaqué, entraînant une perte d'environ 80 millions de dollars.
L'attaquant a exploité une vulnérabilité dans QBridge lors du traitement des transferts de tokens sur liste blanche, sans vérifier à nouveau s'il s'agissait d'une adresse nulle, et a minté une grande quantité de tokens xETH sur BSC, les utilisant comme garantie pour emprunter d'autres tokens de Qubit, entraînant l'épuisement des garanties de Qubit.
Actuellement, le taux d'utilisation de Qubit est presque nul, et les données officielles montrent que 98 % des fonds volés n'ont pas encore été remboursés.
5. Meter.io : perte de 4,4 millions de dollars, engagement à indemniser avec les bénéfices futurs
En février 2022, le pont cross-chain Meter Passport a été exploité par des hackers en raison d'une "hypothèse de confiance erronée", entraînant une perte de 4,4 millions de dollars. Les attaquants ont mis en œuvre l'attaque en falsifiant des transferts de BNB et d'ETH.
L'équipe de Meter avait initialement prévu d'indemniser les utilisateurs pour leurs pertes avec le token MTRG, mais a ensuite décidé d'émettre un nouveau token PASS pour compenser, et a promis d'utiliser les bénéfices futurs pour racheter ces tokens. Cependant, jusqu'à présent, aucune opération de rachat n'a été effectuée.
6. Ronin : 6,2 millions de dollars volés, remboursement intégral effectué
En mars 2022, la chaîne Ronin derrière le jeu blockchain Axie Infinity a subi une attaque majeure, entraînant une perte d'environ 620 millions de dollars. Cette attaque s'est en réalité produite le 23 mars, mais n'a été découverte que six jours plus tard.
Des attaquants ont utilisé des techniques d'ingénierie sociale pour se faire passer pour une société de recrutement afin de contacter des employés de Sky Mavis, réussissant finalement à infiltrer le réseau Ronin et à contrôler plusieurs nœuds de validation. Bien que les fonds volés n'aient pas pu être récupérés, Sky Mavis a levé 150 millions de dollars lors d'un nouveau tour de financement pour indemniser les pertes des utilisateurs.
7. Wormhole : 326 millions de dollars de pertes, déjà entièrement remboursé
Début février 2022, le protocole d'interopérabilité cross-chain Wormhole a été attaqué par des hackers, entraînant une perte d'environ 120 000 ETH, d'une valeur de 326 millions de dollars.
La raison de l'attaque réside dans une erreur dans le code de validation des signatures du contrat principal Wormhole côté Solana, permettant aux attaquants de falsifier des messages de gardiens pour frapper du whETH. Après l'incident, Jump Crypto a rapidement injecté 120 000 ETH dans Wormhole, couvrant l'intégralité des pertes, permettant ainsi à Wormhole de reprendre ses opérations.
8. EvoDeFi : pertes estimées à plus de dix millions de dollars, non traitées
En juin 2022, le DEX ValleySwap dans l'écosystème Oasis a connu un grave décrochage de l'USDT. Bien que le montant exact des pertes ne soit pas précisé, il est estimé à plusieurs millions de dollars.
Le problème vient du fait que le pont cross-chain EVODeFi utilisé par ValleySwap manque de liquidité sur la chaîne source. EVODeFi prétend que la panique a été causée par le FUD, mais cette explication n'est pas convaincante. L'équipe d'Oasis souligne qu'elle n'a aucun lien avec ValleySwap et EvoDeFi, et indique qu'EvoDeFi est un projet à haut risque, non audité et non open source.
À ce jour, les pertes des utilisateurs n'ont pas encore été résolues, et les parties concernées semblent avoir arrêté toute communication supplémentaire.
9. Horizon : pertes proches de 100 millions de dollars, le plan d'indemnisation est toujours en cours d'élaboration.
Le 24 juin 2022, le pont cross-chain Horizon de Harmony a été attaqué, entraînant une perte d'environ 100 millions de dollars.
Stephen Tse, le fondateur de Harmony, a reconnu que l'attaque pourrait avoir été causée par une "fuite de clé privée". Les fonds volés impliquent plusieurs réseaux et diverses cryptomonnaies. Après l'incident, Horizon a augmenté le seuil de la signature multiple, mais cette mesure n'a pas pu récupérer les pertes déjà subies.
Harmony avait proposé de compenser progressivement les pertes des utilisateurs en émettant des tokens ONE sur une période de 3 ans, mais ce plan n'a pas été unanimement accepté par la communauté. Actuellement, l'équipe est en train de redéfinir un plan de compensation.
10. Nomad : 190 millions de dollars affectés, traitement en cours
Début août 2022, le pont cross-chain Nomad a subi un grave accident de sécurité, entraînant une perte rapide de liquidités de 190 millions de dollars. Cet événement a également eu un impact indirect sur un autre protocole d'interopérabilité Layer2, Connext, entraînant des pertes connexes d'environ 3,34 millions de dollars.
Selon les experts, cet incident provient du fait que Nomad a initialisé la racine de confiance à 0x00 lors d'une mise à niveau de contrat, ce qui a permis à quiconque d'utiliser des transactions valides pour remplacer l'adresse et retirer des fonds.
L'attaque implique 1251 adresses ETH, dont les adresses ENS représentent 38 % du montant total. Actuellement, l'équipe du projet n'a pas encore proposé de plan de remboursement clair, mais certains hackers éthiques ont déjà exprimé leur volonté de rendre les fonds.
Conclusion
Les fréquents accidents de sécurité des ponts cross-chain devraient attirer une grande attention de la part de l'industrie. Même les ponts classés parmi les trois premiers en termes de liquidité, tels que Multichain, Portal (Wormhole) et Poly Network, ont également rencontré des problèmes de sécurité, ce qui indique qu'il existe encore des risques élevés dans le domaine des ponts cross-chain, et que tout projet pourrait à nouveau présenter des vulnérabilités de sécurité.
D'après des cas passés, les projets de ponts cross-chain ayant un solide bagage et une forte capacité financière parviennent souvent à récupérer les actifs ou à indemniser les utilisateurs de manière plus efficace après avoir rencontré des incidents de sécurité. Par exemple, Poly Network, Ronin Network et Wormhole ont réussi à récupérer des fonds ou ont remboursé intégralement après des événements de vol de fonds massifs.
De plus, la capacité de surveillance en temps réel et de réponse rapide de l'équipe est également essentielle. Des projets comme Hop Protocol et StarGate peuvent agir rapidement après avoir reçu des rapports d'activités suspectes, empêchant ainsi efficacement des attaques potentielles.
Voir l'original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
16 J'aime
Récompense
16
6
Partager
Commentaire
0/400
CoinBasedThinking
· 07-02 18:19
Hacker est vraiment bien pour gagner de l'argent
Voir l'originalRépondre0
faded_wojak.eth
· 07-02 15:40
Pure pigeons, la survie avant tout
Voir l'originalRépondre0
FromMinerToFarmer
· 07-02 15:39
L'univers de la cryptomonnaie est vraiment trop excitant.
Les pertes dues à une attaque de hacker sur des ponts cross-chain s'élèvent à près de 2 milliards de dollars, les risques de sécurité restent élevés.
Revue des incidents de sécurité des ponts cross-chain : près de 2 milliards de dollars d'actifs affectés
Il existe de nombreuses chaînes publiques dans l'écosystème blockchain, mais la plupart des chaînes manquent d'actifs mainstream. Pour acquérir ces actifs, de nombreux projets doivent dépendre des bridges cross-chain pour transférer des actifs depuis des chaînes publiques majeures comme Ethereum. Cependant, récemment, des incidents de sécurité dans le domaine de la DeFi se sont multipliés, et les bridges cross-chain, en raison de leurs flux de fonds élevés et de leurs opérations fréquentes, sont devenus des cibles populaires pour les attaques de hackers. Cet article examinera les 10 incidents majeurs d'attaques de bridges cross-chain qui se sont produits dans le passé, résumera les leçons apprises, afin de rappeler aux équipes de développement et aux utilisateurs d'accroître leur vigilance.
Il convient de noter que les projets de ponts cross-chain solides et bien établis ont souvent plus de capacité à récupérer des actifs ou à effectuer des compensations après avoir rencontré des incidents de sécurité. Par conséquent, lorsque les utilisateurs choisissent des ponts cross-chain, il peut être plus judicieux de privilégier des projets solides.
1. ChainSwap : perte de 8 millions de dollars, réémission de jetons
En juillet 2021, ChainSwap a subi deux attaques de hackers en seulement 9 jours. La première a entraîné des pertes d'environ 800 000 dollars, et la seconde a causé des pertes allant jusqu'à 8 millions de dollars, affectant plus de 20 projets utilisant ChainSwap pour des ponts cross-chain.
La cause de l'accident réside dans le fait que le protocole n'a pas réussi à vérifier strictement la validité des signatures, permettant aux attaquants d'utiliser des signatures générées eux-mêmes pour signer les transactions. Étant donné que les pertes concernent principalement les jetons de gouvernance des projets, plusieurs projets, y compris ChainSwap, ont choisi de faire un snapshot et d'émettre de nouveaux jetons pour indemniser les détenteurs de jetons et les fournisseurs de liquidités.
2. Poly Network : 610 millions de dollars volés, finalement récupérés en totalité
Le 10 août 2021, le protocole d'interopérabilité cross-chain Poly Network a été victime d'une attaque de hacker, entraînant une perte d'environ 610 millions de dollars d'actifs sur trois réseaux : Ethereum, Binance Smart Chain et Polygon.
Des attaquants ont exploité une vulnérabilité dans la logique de gestion des droits des contrats de Poly Network, réussissant à modifier l'adresse des validateurs sur la chaîne cible, et ainsi à contrôler les opérations de transfert d'actifs. Bien que la technique d'attaque ait été astucieuse, le hacker a finalement restitué tous les fonds. Poly Network a ensuite qualifié cela de "hacker white hat" et a proposé de l'engager en tant que conseiller en sécurité principal de l'entreprise.
3. Multichain : 6 millions de dollars affectés, compensation partielle déjà effectuée
En janvier 2022, Multichain a découvert une vulnérabilité importante affectant plusieurs tokens. Bien que la vulnérabilité ait été corrigée, certains utilisateurs ont subi des pertes en raison de leur incapacité à révoquer les autorisations à temps. Un total d'environ 6,04 millions de dollars de WETH et d'AVAX ont été volés.
La cause de l'incident réside dans un défaut de Multichain lors de la vérification de la légitimité des tokens transmis par les utilisateurs, n'ayant pas pris en compte que tous les tokens sous-jacents n'implémentent pas la fonction permit. L'équipe a récupéré près de 50 % des fonds volés et a proposé un plan d'indemnisation, mais cela ne concerne que les utilisateurs ayant révoqué l'autorisation du contrat avant la date spécifiée.
4. QBridge : perte de 80 millions de dollars, seulement 2 % remboursés
À la fin janvier 2022, le pont cross-chain QBridge du protocole de prêt Qubit a été attaqué, entraînant une perte d'environ 80 millions de dollars.
L'attaquant a exploité une vulnérabilité dans QBridge lors du traitement des transferts de tokens sur liste blanche, sans vérifier à nouveau s'il s'agissait d'une adresse nulle, et a minté une grande quantité de tokens xETH sur BSC, les utilisant comme garantie pour emprunter d'autres tokens de Qubit, entraînant l'épuisement des garanties de Qubit.
Actuellement, le taux d'utilisation de Qubit est presque nul, et les données officielles montrent que 98 % des fonds volés n'ont pas encore été remboursés.
5. Meter.io : perte de 4,4 millions de dollars, engagement à indemniser avec les bénéfices futurs
En février 2022, le pont cross-chain Meter Passport a été exploité par des hackers en raison d'une "hypothèse de confiance erronée", entraînant une perte de 4,4 millions de dollars. Les attaquants ont mis en œuvre l'attaque en falsifiant des transferts de BNB et d'ETH.
L'équipe de Meter avait initialement prévu d'indemniser les utilisateurs pour leurs pertes avec le token MTRG, mais a ensuite décidé d'émettre un nouveau token PASS pour compenser, et a promis d'utiliser les bénéfices futurs pour racheter ces tokens. Cependant, jusqu'à présent, aucune opération de rachat n'a été effectuée.
6. Ronin : 6,2 millions de dollars volés, remboursement intégral effectué
En mars 2022, la chaîne Ronin derrière le jeu blockchain Axie Infinity a subi une attaque majeure, entraînant une perte d'environ 620 millions de dollars. Cette attaque s'est en réalité produite le 23 mars, mais n'a été découverte que six jours plus tard.
Des attaquants ont utilisé des techniques d'ingénierie sociale pour se faire passer pour une société de recrutement afin de contacter des employés de Sky Mavis, réussissant finalement à infiltrer le réseau Ronin et à contrôler plusieurs nœuds de validation. Bien que les fonds volés n'aient pas pu être récupérés, Sky Mavis a levé 150 millions de dollars lors d'un nouveau tour de financement pour indemniser les pertes des utilisateurs.
7. Wormhole : 326 millions de dollars de pertes, déjà entièrement remboursé
Début février 2022, le protocole d'interopérabilité cross-chain Wormhole a été attaqué par des hackers, entraînant une perte d'environ 120 000 ETH, d'une valeur de 326 millions de dollars.
La raison de l'attaque réside dans une erreur dans le code de validation des signatures du contrat principal Wormhole côté Solana, permettant aux attaquants de falsifier des messages de gardiens pour frapper du whETH. Après l'incident, Jump Crypto a rapidement injecté 120 000 ETH dans Wormhole, couvrant l'intégralité des pertes, permettant ainsi à Wormhole de reprendre ses opérations.
8. EvoDeFi : pertes estimées à plus de dix millions de dollars, non traitées
En juin 2022, le DEX ValleySwap dans l'écosystème Oasis a connu un grave décrochage de l'USDT. Bien que le montant exact des pertes ne soit pas précisé, il est estimé à plusieurs millions de dollars.
Le problème vient du fait que le pont cross-chain EVODeFi utilisé par ValleySwap manque de liquidité sur la chaîne source. EVODeFi prétend que la panique a été causée par le FUD, mais cette explication n'est pas convaincante. L'équipe d'Oasis souligne qu'elle n'a aucun lien avec ValleySwap et EvoDeFi, et indique qu'EvoDeFi est un projet à haut risque, non audité et non open source.
À ce jour, les pertes des utilisateurs n'ont pas encore été résolues, et les parties concernées semblent avoir arrêté toute communication supplémentaire.
9. Horizon : pertes proches de 100 millions de dollars, le plan d'indemnisation est toujours en cours d'élaboration.
Le 24 juin 2022, le pont cross-chain Horizon de Harmony a été attaqué, entraînant une perte d'environ 100 millions de dollars.
Stephen Tse, le fondateur de Harmony, a reconnu que l'attaque pourrait avoir été causée par une "fuite de clé privée". Les fonds volés impliquent plusieurs réseaux et diverses cryptomonnaies. Après l'incident, Horizon a augmenté le seuil de la signature multiple, mais cette mesure n'a pas pu récupérer les pertes déjà subies.
Harmony avait proposé de compenser progressivement les pertes des utilisateurs en émettant des tokens ONE sur une période de 3 ans, mais ce plan n'a pas été unanimement accepté par la communauté. Actuellement, l'équipe est en train de redéfinir un plan de compensation.
10. Nomad : 190 millions de dollars affectés, traitement en cours
Début août 2022, le pont cross-chain Nomad a subi un grave accident de sécurité, entraînant une perte rapide de liquidités de 190 millions de dollars. Cet événement a également eu un impact indirect sur un autre protocole d'interopérabilité Layer2, Connext, entraînant des pertes connexes d'environ 3,34 millions de dollars.
Selon les experts, cet incident provient du fait que Nomad a initialisé la racine de confiance à 0x00 lors d'une mise à niveau de contrat, ce qui a permis à quiconque d'utiliser des transactions valides pour remplacer l'adresse et retirer des fonds.
L'attaque implique 1251 adresses ETH, dont les adresses ENS représentent 38 % du montant total. Actuellement, l'équipe du projet n'a pas encore proposé de plan de remboursement clair, mais certains hackers éthiques ont déjà exprimé leur volonté de rendre les fonds.
Conclusion
Les fréquents accidents de sécurité des ponts cross-chain devraient attirer une grande attention de la part de l'industrie. Même les ponts classés parmi les trois premiers en termes de liquidité, tels que Multichain, Portal (Wormhole) et Poly Network, ont également rencontré des problèmes de sécurité, ce qui indique qu'il existe encore des risques élevés dans le domaine des ponts cross-chain, et que tout projet pourrait à nouveau présenter des vulnérabilités de sécurité.
D'après des cas passés, les projets de ponts cross-chain ayant un solide bagage et une forte capacité financière parviennent souvent à récupérer les actifs ou à indemniser les utilisateurs de manière plus efficace après avoir rencontré des incidents de sécurité. Par exemple, Poly Network, Ronin Network et Wormhole ont réussi à récupérer des fonds ou ont remboursé intégralement après des événements de vol de fonds massifs.
De plus, la capacité de surveillance en temps réel et de réponse rapide de l'équipe est également essentielle. Des projets comme Hop Protocol et StarGate peuvent agir rapidement après avoir reçu des rapports d'activités suspectes, empêchant ainsi efficacement des attaques potentielles.