Обзор инцидента с безопасностью кроссчейн моста: пострадало почти 2 миллиарда долларов активов
В экосистеме блокчейна существует множество публичных цепей, но большинство из них не имеют массовых активов. Чтобы получить эти активы, многим проектам приходится полагаться на кроссчейн мосты для перемещения активов с основных публичных цепей, таких как Эфириум. Однако в последнее время в области DeFi произошло множество инцидентов с безопасностью, и кроссчейн мосты из-за высоких объемов средств и частых операций стали популярной целью для хакерских атак. В данной статье будет рассмотрено 10 крупных атак на кроссчейн мосты, произошедших в прошлом, и подведены итоги, чтобы напомнить командам разработчиков и пользователям о необходимости повышенной бдительности.
Стоит отметить, что проекты кроссчейн моста с сильными позициями и хорошей репутацией после возникновения инцидентов с безопасностью, как правило, обладают большими возможностями для возврата активов или компенсации. Поэтому пользователям при выборе кроссчейн моста может быть разумнее в первую очередь рассматривать проекты с хорошими показателями.
1. ChainSwap: убыток в 8 миллионов долларов, повторная эмиссия токенов
В июле 2021 года ChainSwap за короткие 9 дней столкнулся с двумя атаками хакеров. Первая атака привела к убыткам около 800 тысяч долларов, вторая — до 8 миллионов долларов, затронув более 20 проектов, использующих ChainSwap для кросс-чейн.
Причиной инцидента стало то, что протокол не смог строго проверить действительность подписи, что позволило злоумышленнику использовать самостоятельно созданную подпись для подписания транзакции. Поскольку убытки в основном касаются токенов управления проектов, включая ChainSwap, несколько проектов выбрали провести снимок и выпустить новые токены для компенсации держателей токенов и поставщиков ликвидности.
2. Poly Network: 6,1 миллиарда долларов были украдены, в конечном итоге полностью возвращены
10 августа 2021 года кросс-чейн интероперационный протокол Poly Network подвергся хакерской атаке, в результате которой на трех сетях: Ethereum, Binance Smart Chain и Polygon было потеряно около 610 миллионов долларов активов.
Атакующий использовал уязвимость в логике управления правами контракта Poly Network, успешно изменив адреса валидаторов на целевой цепи, тем самым контролируя операции по переводу активов. Несмотря на изощренность метода атаки, хакер в конечном итоге вернул все средства. Poly Network впоследствии назвала его "белым хакером" и предложила нанять его в качестве главного консультанта по безопасности компании.
3. Multichain: 600 миллионов долларов США подвержены воздействию, частично выплачены
В январе 2022 года Multichain обнаружил важную уязвимость, затрагивающую различные токены. Хотя уязвимость была исправлена, некоторые пользователи понесли убытки из-за того, что не успели отозвать свои разрешения. В общей сложности было украдено около 6,04 миллиона долларов WETH и AVAX.
Причиной инцидента является дефект в Multichain при проверке законности переданных пользователем токенов, который не учитывает, что не все underlying токены реализовали функцию permit. Команда уже вернула почти 50% украденных средств и предложила план компенсации, но только для пользователей, отменивших авторизацию контракта до указанной даты.
4. QBridge: убыток в 80 миллионов долларов, компенсация только 2%
В конце января 2022 года кроссчейн мост QBridge кредитного протокола Qubit подвергся атаке, в результате которой было потеряно около 80 миллионов долларов.
Злоумышленник использовал уязвимость QBridge, не проверяя повторно, является ли адрес нулевым при обработке переводов токенов из белого списка, в результате чего на BSC было сгенерировано огромное количество токенов xETH, которые затем использовались как залог для займа других токенов у Qubit, что привело к истощению залога Qubit.
В настоящее время использование Qubit практически равно нулю, официальные данные показывают, что 98% украденных средств еще не были возвращены.
5. Meter.io: убытки в размере 4,4 миллиона долларов, обязательство компенсировать за счет будущих доходов
В феврале 2022 года кроссчейн мост Meter Passport был использован хакерами из-за "ошибочного предположения о доверии", что привело к убыткам в 4,4 миллиона долларов. Злоумышленники осуществили атаку, подделав переводы BNB и ETH.
Команда Meter изначально планировала компенсировать убытки пользователей с помощью токена MTRG, но позже решила выпустить новый токен PASS для этой цели и пообещала выкупать эти токены на будущие доходы. Однако на данный момент еще не было проведено никаких операций по выкупу.
6. Ronin: украдено 620 миллионов долларов, полная компенсация выплачена
В марте 2022 года блокчейн-игра Axie Infinity, стоящая за цепочкой Ronin, подверглась серьезной атаке, в результате которой было потеряно около 620 миллионов долларов. Эта атака фактически произошла 23 марта, но была обнаружена только через 6 дней.
Атакующий использовал методы социального инжиниринга, маскируясь под рекрутинговую компанию, чтобы связаться с сотрудниками Sky Mavis, в конечном итоге успешно проникнув в сеть Ronin и контролируя несколько узлов валидации. Хотя украденные средства не удалось вернуть, Sky Mavis собрала 150 миллионов долларов в рамках нового раунда финансирования для компенсации убытков пользователей.
7. Wormhole: убытки в 326 миллионов долларов, полностью компенсированы
В начале февраля 2022 года кросс-чейн интероперационный протокол Wormhole подвергся атаке хакеров, в результате которой было потеряно около 120000 ETH, на сумму 326 миллионов долларов.
Причиной атаки стало наличие ошибки в коде проверки подписи основного контракта Wormhole на стороне Solana, что позволило злоумышленникам подделать сообщения от хранителей для создания whETH. После инцидента Jump Crypto быстро ввел 120000 ETH в Wormhole, чтобы покрыть все убытки, что позволило Wormhole восстановить свою работу.
8. EvoDeFi: предполагаемые убытки свыше десяти миллионов долларов, не были обработаны
В июне 2022 года на DEX ValleySwap в экосистеме Oasis произошло серьезное отклонение USDT от привязки. Хотя точная сумма убытков неизвестна, предполагается, что она составляет десятки миллионов долларов.
Проблема заключается в недостаточной ликвидности на исходной цепи кроссчейн моста EVODeFi, используемого ValleySwap. EVODeFi утверждает, что паника вызвана FUD, но это объяснение не кажется убедительным. Официальный Oasis подчеркивает, что не имеет отношения к ValleySwap и EvoDeFi, и указывает, что EvoDeFi является высокорисковым, неаудированным и закрытым проектом.
На данный момент потери пользователей не были решены, и вовлеченные стороны, похоже, прекратили дальнейшее общение.
9. Horizon: Потеря почти 100 миллионов долларов, план компенсации всё ещё разрабатывается.
24 июня 2022 года официальный кроссчейн мост Harmony Horizon подвергся атаке, что привело к ущербу в размере около 100 миллионов долларов.
Основатель Harmony Стефен Цзе признал, что атака могла быть вызвана "утечкой приватного ключа". Украденные средства затрагивают несколько сетей и различные криптовалюты. После инцидента Horizon увеличил порог мультиподписей, но эта мера не смогла компенсировать понесенные убытки.
Harmony предложил постепенно компенсировать убытки пользователей в течение 3 лет путем эмиссии дополнительных токенов ONE, но этот план не получил единогласного одобрения сообщества. В настоящее время команда разрабатывает новый план компенсации.
10. Nomad: 1.9 миллиарда долларов пострадавших, обработка в процессе
В начале августа 2022 года мост Nomad кросс-чейн столкнулся с серьезной проблемой безопасности, что привело к быстрому исчезновению ликвидности в размере 190 миллионов долларов. Этот инцидент также косвенно повлиял на другой протокол межоперабельности Layer2 Connext, вызвав убытки примерно в 3,34 миллиона долларов.
По мнению специалистов, причиной этого инцидента стало то, что Nomad инициализировал корень доверия как 0x00 в ходе обновления контракта, что позволило любому человеку заменить адрес с помощью действительной транзакции и вывести средства.
Атака затронула 1251 ETH адрес, из которых ENS адреса составляют 38% от общей суммы. В настоящее время команда проекта еще не представила четкого плана компенсации, но некоторые белые хакеры уже выразили готовность вернуть средства.
Заключение
Частые случаи аварий с кроссчейн мостами должны вызвать высокую степень внимания в индустрии. Даже такие мосты, как Multichain, Portal (Wormhole) и Poly Network, которые занимают первые три места по ликвидности, сталкивались с проблемами безопасности, что указывает на высокие риски в области кроссчейн мостов; любой проект может снова столкнуться с уязвимостями в безопасности.
Судя по прошлым случаям, проекты кроссчейн мостов с сильным финансовым обеспечением и мощным фоном обычно могут более эффективно вернуть активы или предоставить компенсацию пользователям после инцидентов с безопасностью. Например, Poly Network, Ronin Network и Wormhole смогли либо вернуть средства, либо произвести полную компенсацию после кражи крупных сумм.
Кроме того, способность команды к实时监控 и быстрому реагированию также имеет решающее значение. Проекты, такие как Hop Protocol и StarGate, могут быстро реагировать после получения сообщений о подозрительной активности, эффективно предотвращая потенциальные атаки.
Посмотреть Оригинал
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
кроссчейн мост Хакер атаковал, убытки составили почти 2 миллиарда долларов. Безопасные риски все еще высоки.
Обзор инцидента с безопасностью кроссчейн моста: пострадало почти 2 миллиарда долларов активов
В экосистеме блокчейна существует множество публичных цепей, но большинство из них не имеют массовых активов. Чтобы получить эти активы, многим проектам приходится полагаться на кроссчейн мосты для перемещения активов с основных публичных цепей, таких как Эфириум. Однако в последнее время в области DeFi произошло множество инцидентов с безопасностью, и кроссчейн мосты из-за высоких объемов средств и частых операций стали популярной целью для хакерских атак. В данной статье будет рассмотрено 10 крупных атак на кроссчейн мосты, произошедших в прошлом, и подведены итоги, чтобы напомнить командам разработчиков и пользователям о необходимости повышенной бдительности.
Стоит отметить, что проекты кроссчейн моста с сильными позициями и хорошей репутацией после возникновения инцидентов с безопасностью, как правило, обладают большими возможностями для возврата активов или компенсации. Поэтому пользователям при выборе кроссчейн моста может быть разумнее в первую очередь рассматривать проекты с хорошими показателями.
1. ChainSwap: убыток в 8 миллионов долларов, повторная эмиссия токенов
В июле 2021 года ChainSwap за короткие 9 дней столкнулся с двумя атаками хакеров. Первая атака привела к убыткам около 800 тысяч долларов, вторая — до 8 миллионов долларов, затронув более 20 проектов, использующих ChainSwap для кросс-чейн.
Причиной инцидента стало то, что протокол не смог строго проверить действительность подписи, что позволило злоумышленнику использовать самостоятельно созданную подпись для подписания транзакции. Поскольку убытки в основном касаются токенов управления проектов, включая ChainSwap, несколько проектов выбрали провести снимок и выпустить новые токены для компенсации держателей токенов и поставщиков ликвидности.
2. Poly Network: 6,1 миллиарда долларов были украдены, в конечном итоге полностью возвращены
10 августа 2021 года кросс-чейн интероперационный протокол Poly Network подвергся хакерской атаке, в результате которой на трех сетях: Ethereum, Binance Smart Chain и Polygon было потеряно около 610 миллионов долларов активов.
Атакующий использовал уязвимость в логике управления правами контракта Poly Network, успешно изменив адреса валидаторов на целевой цепи, тем самым контролируя операции по переводу активов. Несмотря на изощренность метода атаки, хакер в конечном итоге вернул все средства. Poly Network впоследствии назвала его "белым хакером" и предложила нанять его в качестве главного консультанта по безопасности компании.
3. Multichain: 600 миллионов долларов США подвержены воздействию, частично выплачены
В январе 2022 года Multichain обнаружил важную уязвимость, затрагивающую различные токены. Хотя уязвимость была исправлена, некоторые пользователи понесли убытки из-за того, что не успели отозвать свои разрешения. В общей сложности было украдено около 6,04 миллиона долларов WETH и AVAX.
Причиной инцидента является дефект в Multichain при проверке законности переданных пользователем токенов, который не учитывает, что не все underlying токены реализовали функцию permit. Команда уже вернула почти 50% украденных средств и предложила план компенсации, но только для пользователей, отменивших авторизацию контракта до указанной даты.
4. QBridge: убыток в 80 миллионов долларов, компенсация только 2%
В конце января 2022 года кроссчейн мост QBridge кредитного протокола Qubit подвергся атаке, в результате которой было потеряно около 80 миллионов долларов.
Злоумышленник использовал уязвимость QBridge, не проверяя повторно, является ли адрес нулевым при обработке переводов токенов из белого списка, в результате чего на BSC было сгенерировано огромное количество токенов xETH, которые затем использовались как залог для займа других токенов у Qubit, что привело к истощению залога Qubit.
В настоящее время использование Qubit практически равно нулю, официальные данные показывают, что 98% украденных средств еще не были возвращены.
5. Meter.io: убытки в размере 4,4 миллиона долларов, обязательство компенсировать за счет будущих доходов
В феврале 2022 года кроссчейн мост Meter Passport был использован хакерами из-за "ошибочного предположения о доверии", что привело к убыткам в 4,4 миллиона долларов. Злоумышленники осуществили атаку, подделав переводы BNB и ETH.
Команда Meter изначально планировала компенсировать убытки пользователей с помощью токена MTRG, но позже решила выпустить новый токен PASS для этой цели и пообещала выкупать эти токены на будущие доходы. Однако на данный момент еще не было проведено никаких операций по выкупу.
6. Ronin: украдено 620 миллионов долларов, полная компенсация выплачена
В марте 2022 года блокчейн-игра Axie Infinity, стоящая за цепочкой Ronin, подверглась серьезной атаке, в результате которой было потеряно около 620 миллионов долларов. Эта атака фактически произошла 23 марта, но была обнаружена только через 6 дней.
Атакующий использовал методы социального инжиниринга, маскируясь под рекрутинговую компанию, чтобы связаться с сотрудниками Sky Mavis, в конечном итоге успешно проникнув в сеть Ronin и контролируя несколько узлов валидации. Хотя украденные средства не удалось вернуть, Sky Mavis собрала 150 миллионов долларов в рамках нового раунда финансирования для компенсации убытков пользователей.
7. Wormhole: убытки в 326 миллионов долларов, полностью компенсированы
В начале февраля 2022 года кросс-чейн интероперационный протокол Wormhole подвергся атаке хакеров, в результате которой было потеряно около 120000 ETH, на сумму 326 миллионов долларов.
Причиной атаки стало наличие ошибки в коде проверки подписи основного контракта Wormhole на стороне Solana, что позволило злоумышленникам подделать сообщения от хранителей для создания whETH. После инцидента Jump Crypto быстро ввел 120000 ETH в Wormhole, чтобы покрыть все убытки, что позволило Wormhole восстановить свою работу.
8. EvoDeFi: предполагаемые убытки свыше десяти миллионов долларов, не были обработаны
В июне 2022 года на DEX ValleySwap в экосистеме Oasis произошло серьезное отклонение USDT от привязки. Хотя точная сумма убытков неизвестна, предполагается, что она составляет десятки миллионов долларов.
Проблема заключается в недостаточной ликвидности на исходной цепи кроссчейн моста EVODeFi, используемого ValleySwap. EVODeFi утверждает, что паника вызвана FUD, но это объяснение не кажется убедительным. Официальный Oasis подчеркивает, что не имеет отношения к ValleySwap и EvoDeFi, и указывает, что EvoDeFi является высокорисковым, неаудированным и закрытым проектом.
На данный момент потери пользователей не были решены, и вовлеченные стороны, похоже, прекратили дальнейшее общение.
9. Horizon: Потеря почти 100 миллионов долларов, план компенсации всё ещё разрабатывается.
24 июня 2022 года официальный кроссчейн мост Harmony Horizon подвергся атаке, что привело к ущербу в размере около 100 миллионов долларов.
Основатель Harmony Стефен Цзе признал, что атака могла быть вызвана "утечкой приватного ключа". Украденные средства затрагивают несколько сетей и различные криптовалюты. После инцидента Horizon увеличил порог мультиподписей, но эта мера не смогла компенсировать понесенные убытки.
Harmony предложил постепенно компенсировать убытки пользователей в течение 3 лет путем эмиссии дополнительных токенов ONE, но этот план не получил единогласного одобрения сообщества. В настоящее время команда разрабатывает новый план компенсации.
10. Nomad: 1.9 миллиарда долларов пострадавших, обработка в процессе
В начале августа 2022 года мост Nomad кросс-чейн столкнулся с серьезной проблемой безопасности, что привело к быстрому исчезновению ликвидности в размере 190 миллионов долларов. Этот инцидент также косвенно повлиял на другой протокол межоперабельности Layer2 Connext, вызвав убытки примерно в 3,34 миллиона долларов.
По мнению специалистов, причиной этого инцидента стало то, что Nomad инициализировал корень доверия как 0x00 в ходе обновления контракта, что позволило любому человеку заменить адрес с помощью действительной транзакции и вывести средства.
Атака затронула 1251 ETH адрес, из которых ENS адреса составляют 38% от общей суммы. В настоящее время команда проекта еще не представила четкого плана компенсации, но некоторые белые хакеры уже выразили готовность вернуть средства.
Заключение
Частые случаи аварий с кроссчейн мостами должны вызвать высокую степень внимания в индустрии. Даже такие мосты, как Multichain, Portal (Wormhole) и Poly Network, которые занимают первые три места по ликвидности, сталкивались с проблемами безопасности, что указывает на высокие риски в области кроссчейн мостов; любой проект может снова столкнуться с уязвимостями в безопасности.
Судя по прошлым случаям, проекты кроссчейн мостов с сильным финансовым обеспечением и мощным фоном обычно могут более эффективно вернуть активы или предоставить компенсацию пользователям после инцидентов с безопасностью. Например, Poly Network, Ronin Network и Wormhole смогли либо вернуть средства, либо произвести полную компенсацию после кражи крупных сумм.
Кроме того, способность команды к实时监控 и быстрому реагированию также имеет решающее значение. Проекты, такие как Hop Protocol и StarGate, могут быстро реагировать после получения сообщений о подозрительной активности, эффективно предотвращая потенциальные атаки.