Огляд інцидентів безпеки кросчейн мостів: десяток випадків з інвестиціями понад 19 мільярдів доларів
В останні роки, з розвитком екосистеми блокчейну, кросчейн міст, як важлива інфраструктура для з'єднання різних публічних блокчейнів, викликали значну увагу до їхньої безпеки. Однак, враховуючи, що вони утримують великі суми грошей і часто здійснюють крос-ланцюгові операції, кросчейн міст стали основними цілями для хакерських атак. У цій статті буде розглянуто десять великих інцидентів безпеки кросчейн мостів, загальна сума яких перевищує 1,9 мільярда доларів, з яких приблизно 1,55 мільярда доларів вже було повернуто або компенсовано.
1. ChainSwap: дві атаки призвели до збитків приблизно у 808 тисяч доларів США
У липні 2021 року ChainSwap зазнав двох хакерських атак. Перший раз було втрачено близько 800 тисяч доларів, а другий раз - близько 8 мільйонів доларів, що вплинуло на понад 20 проектів, які використовують ChainSwap для крос-ланцюга. Причиною інциденту стало те, що протокол не суворо перевіряв дійсність підписів. Кілька постраждалих проектів вирішили зробити знімок і повторно випустити токени, щоб компенсувати власникам і постачальникам ліквідності.
2. Poly Network: Вкрадені 610 мільйонів доларів повністю повернуті
У серпні 2021 року Poly Network зазнала хакерської атаки, внаслідок якої було втрачено близько 6,1 мільярда доларів активів на Ethereum, Binance Smart Chain та Polygon. Зловмисник скористався уразливістю управління правами контракту та успішно замінив адресу валідатора цільового ланцюга. Врешті-решт, хакер повернув усі кошти, а Poly Network навіть запросила його на посаду головного консультанта з безпеки.
3. Multichain: вразливість призвела до втрати 6 мільйонів доларів, вже виплачено
У січні 2022 року Multichain виявив важливу вразливість, яка вплинула на кілька токенів. Приблизно 7962 адреси користувачів постраждали, що призвело до збитків на суму близько 604 тисяч доларів. Причиною стало питання в контракті під час перевірки законності токенів, які передаються користувачем. Команда вже повернула близько 50% вкрадених коштів та компенсувала користувачів, які своєчасно відкликали авторизацію.
4. QBridge: вкрадено 80 мільйонів доларів, виплачено лише 2%
В кінці січня 2022 року кросчейн міст QBridge кредитного протоколу Qubit був атакований, в результаті чого було втрачено близько 80 мільйонів доларів. Атакуючи, скористалися вразливістю контракту при обробці токенів білого списку, що дозволило їм безкоштовно карбувати велику кількість токенів xETH на BSC. Наразі використання Qubit дуже низьке, 98% вкрадених коштів досі не були компенсовані.
5. Meter.io: збитки у розмірі 4,4 мільйона доларів, обіцянка компенсувати з майбутніх доходів
У лютому 2022 року кросчейн міст Meter Passport зазнав атаки, що призвела до збитків у 4,4 мільйона доларів. Проблема полягала у "помилковому довірчому припущенні" базового коду, що дозволило хакерам підробити перекази BNB та ETH. Meter вирішив випустити новий токен PASS для компенсації користувачів і пообіцяв викупити за рахунок майбутніх доходів, але це ще не реалізовано.
У березні 2022 року блокчейн Ronin, що стоїть за Axie Infinity, зазнав атаки на суму 620 мільйонів доларів. Зловмисники отримали контроль над валідаторами через соціальну інженерію. Хоча вкрадені кошти не вдалося повернути, розробники Sky Mavis залучили 150 мільйонів доларів для компенсації збитків користувачів.
7. Wormhole: збитки в 326 мільйонів доларів, вже виплачено
У лютому 2022 року Wormhole зазнав хакерської атаки, в результаті якої було втрачено близько 326 мільйонів доларів. Зловмисники скористалися вразливістю перевірки підпису контракту на стороні Solana, підробивши повідомлення для випуску великої кількості whETH. Jump Crypto швидко влив 120 тисяч ETH в Wormhole, щоб компенсувати всі втрати.
8. EvoDeFi: оцінені збитки понад десять мільйонів доларів, не вирішено
У червні 2022 року USDT на Oasis екосистемному DEX ValleySwap зазнало серйозного розриву з курсом, з прогнозованими збитками в десятки мільйонів доларів. Причиною цього може бути недостатня ліквідність вихідного ланцюга кросчейн мосту EvoDeFi або наявність бекдору. Залучені сторони не надали жодних рішень, і втрати користувачів неможливо відшкодувати.
9. Horizon: вкрадено майже 100 мільйонів доларів, план компенсації в процесі розробки
У червні 2022 року офіційний кросчейн міст Harmony Horizon зазнав атаки, в результаті якої було втрачено близько 100 мільйонів доларів. Засновник визнав, що причиною могла бути витік приватного ключа. Команда проекту веде переговори з громадою щодо розробки плану компенсації.
10. Nomad: вкрадено 190 мільйонів доларів, в обробці
У серпні 2022 року ліквідність у 190 мільйонів доларів у мосту Nomad була швидко вичерпана. Причиною цього стала помилка в оновленні контракту, яка неправильно ініціалізувала довірений корінь як 0x00, що дозволило будь-кому витягувати кошти. Проект не надав чіткої схеми компенсації, частина білих хакерів висловила готовність повернути кошти.
Підсумок
Часті аварії безпеки кросчейн мостів застерігають нас про необхідність підтримувати високу пильність. Навіть мости, які займають високі позиції за ліквідністю, такі як Multichain, Wormhole та Poly Network, також зазнавали атак. Відносно кажучи, проекти з потужним фоном та достатнім капіталом, зазвичай, краще справляються з компенсацією або поверненням активів у разі виникнення проблем з безпекою. Одночасно, здатність команди до моніторингу в реальному часі та швидкого реагування є ключовою для запобігання атакам. Користувачі при виборі кросчейн мосту повинні перш за все враховувати проекти з хорошою репутацією та потужною технічною підтримкою, щоб зменшити потенційні ризики.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
14 лайків
Нагородити
14
6
Поділіться
Прокоментувати
0/400
MysteriousZhang
· 07-24 16:27
Знову кросчейн міст винен
Переглянути оригіналвідповісти на0
MemeCoinSavant
· 07-24 16:26
бичачий на міст хаків лmao fr
Переглянути оригіналвідповісти на0
LiquidityWhisperer
· 07-24 16:23
Програш полягає в тому, що це поза блокчейном.
Переглянути оригіналвідповісти на0
NftCollectors
· 07-24 16:19
19 мільярдів доларів, але з даних у блокчейні видно, що рівень відшкодування становить 79%. Це справжній сигнал повернення булрану.
Переглянути оригіналвідповісти на0
DaoResearcher
· 07-24 16:15
Відповідно до аналізу даних у блокчейні історичних безпекових інцидентів, явище збільшення ентропії кросчейн моста вже не підлягає сумніву.
Кросчейн міст безпеки: 1,9 мільярда доларів США постраждало, 1,5 мільярда вже повернуто
Огляд інцидентів безпеки кросчейн мостів: десяток випадків з інвестиціями понад 19 мільярдів доларів
В останні роки, з розвитком екосистеми блокчейну, кросчейн міст, як важлива інфраструктура для з'єднання різних публічних блокчейнів, викликали значну увагу до їхньої безпеки. Однак, враховуючи, що вони утримують великі суми грошей і часто здійснюють крос-ланцюгові операції, кросчейн міст стали основними цілями для хакерських атак. У цій статті буде розглянуто десять великих інцидентів безпеки кросчейн мостів, загальна сума яких перевищує 1,9 мільярда доларів, з яких приблизно 1,55 мільярда доларів вже було повернуто або компенсовано.
1. ChainSwap: дві атаки призвели до збитків приблизно у 808 тисяч доларів США
У липні 2021 року ChainSwap зазнав двох хакерських атак. Перший раз було втрачено близько 800 тисяч доларів, а другий раз - близько 8 мільйонів доларів, що вплинуло на понад 20 проектів, які використовують ChainSwap для крос-ланцюга. Причиною інциденту стало те, що протокол не суворо перевіряв дійсність підписів. Кілька постраждалих проектів вирішили зробити знімок і повторно випустити токени, щоб компенсувати власникам і постачальникам ліквідності.
2. Poly Network: Вкрадені 610 мільйонів доларів повністю повернуті
У серпні 2021 року Poly Network зазнала хакерської атаки, внаслідок якої було втрачено близько 6,1 мільярда доларів активів на Ethereum, Binance Smart Chain та Polygon. Зловмисник скористався уразливістю управління правами контракту та успішно замінив адресу валідатора цільового ланцюга. Врешті-решт, хакер повернув усі кошти, а Poly Network навіть запросила його на посаду головного консультанта з безпеки.
3. Multichain: вразливість призвела до втрати 6 мільйонів доларів, вже виплачено
У січні 2022 року Multichain виявив важливу вразливість, яка вплинула на кілька токенів. Приблизно 7962 адреси користувачів постраждали, що призвело до збитків на суму близько 604 тисяч доларів. Причиною стало питання в контракті під час перевірки законності токенів, які передаються користувачем. Команда вже повернула близько 50% вкрадених коштів та компенсувала користувачів, які своєчасно відкликали авторизацію.
4. QBridge: вкрадено 80 мільйонів доларів, виплачено лише 2%
В кінці січня 2022 року кросчейн міст QBridge кредитного протоколу Qubit був атакований, в результаті чого було втрачено близько 80 мільйонів доларів. Атакуючи, скористалися вразливістю контракту при обробці токенів білого списку, що дозволило їм безкоштовно карбувати велику кількість токенів xETH на BSC. Наразі використання Qubit дуже низьке, 98% вкрадених коштів досі не були компенсовані.
5. Meter.io: збитки у розмірі 4,4 мільйона доларів, обіцянка компенсувати з майбутніх доходів
У лютому 2022 року кросчейн міст Meter Passport зазнав атаки, що призвела до збитків у 4,4 мільйона доларів. Проблема полягала у "помилковому довірчому припущенні" базового коду, що дозволило хакерам підробити перекази BNB та ETH. Meter вирішив випустити новий токен PASS для компенсації користувачів і пообіцяв викупити за рахунок майбутніх доходів, але це ще не реалізовано.
6. Ronin: вкрадено 6,2 мільйона доларів, компенсація виплачена в повному обсязі
У березні 2022 року блокчейн Ronin, що стоїть за Axie Infinity, зазнав атаки на суму 620 мільйонів доларів. Зловмисники отримали контроль над валідаторами через соціальну інженерію. Хоча вкрадені кошти не вдалося повернути, розробники Sky Mavis залучили 150 мільйонів доларів для компенсації збитків користувачів.
7. Wormhole: збитки в 326 мільйонів доларів, вже виплачено
У лютому 2022 року Wormhole зазнав хакерської атаки, в результаті якої було втрачено близько 326 мільйонів доларів. Зловмисники скористалися вразливістю перевірки підпису контракту на стороні Solana, підробивши повідомлення для випуску великої кількості whETH. Jump Crypto швидко влив 120 тисяч ETH в Wormhole, щоб компенсувати всі втрати.
8. EvoDeFi: оцінені збитки понад десять мільйонів доларів, не вирішено
У червні 2022 року USDT на Oasis екосистемному DEX ValleySwap зазнало серйозного розриву з курсом, з прогнозованими збитками в десятки мільйонів доларів. Причиною цього може бути недостатня ліквідність вихідного ланцюга кросчейн мосту EvoDeFi або наявність бекдору. Залучені сторони не надали жодних рішень, і втрати користувачів неможливо відшкодувати.
9. Horizon: вкрадено майже 100 мільйонів доларів, план компенсації в процесі розробки
У червні 2022 року офіційний кросчейн міст Harmony Horizon зазнав атаки, в результаті якої було втрачено близько 100 мільйонів доларів. Засновник визнав, що причиною могла бути витік приватного ключа. Команда проекту веде переговори з громадою щодо розробки плану компенсації.
10. Nomad: вкрадено 190 мільйонів доларів, в обробці
У серпні 2022 року ліквідність у 190 мільйонів доларів у мосту Nomad була швидко вичерпана. Причиною цього стала помилка в оновленні контракту, яка неправильно ініціалізувала довірений корінь як 0x00, що дозволило будь-кому витягувати кошти. Проект не надав чіткої схеми компенсації, частина білих хакерів висловила готовність повернути кошти.
Підсумок
Часті аварії безпеки кросчейн мостів застерігають нас про необхідність підтримувати високу пильність. Навіть мости, які займають високі позиції за ліквідністю, такі як Multichain, Wormhole та Poly Network, також зазнавали атак. Відносно кажучи, проекти з потужним фоном та достатнім капіталом, зазвичай, краще справляються з компенсацією або поверненням активів у разі виникнення проблем з безпекою. Одночасно, здатність команди до моніторингу в реальному часі та швидкого реагування є ключовою для запобігання атакам. Користувачі при виборі кросчейн мосту повинні перш за все враховувати проекти з хорошою репутацією та потужною технічною підтримкою, щоб зменшити потенційні ризики.