Revue des attaques de ponts cross-chain : 10 cas majeurs impliquant 1,9 milliard de dollars, 1,55 milliard déjà récupéré ou compensé
Avec l'évolution constante de l'écosystème blockchain, les bridges cross-chain, en tant qu'infrastructure fondamentale reliant différentes blockchains publiques, sont au centre des préoccupations en matière de sécurité. Ces dernières années, plusieurs attaques contre des bridges cross-chain ont entraîné d'énormes pertes financières, suscitant un large débat au sein de l'industrie. Cet article examinera 10 cas d'attaques contre des bridges cross-chain ayant eu un impact profond, en résumant les leçons et les enseignements à en tirer.
ChainSwap : pertes de 8 millions de dollars dues à deux attaques
En juillet 2021, ChainSwap a subi deux attaques de hackers en seulement 9 jours. La première attaque a entraîné une perte d'environ 800 000 dollars, tandis que la seconde a atteint 8 millions de dollars, affectant plus de 20 projets utilisant ChainSwap pour des bridges cross-chain.
Après enquête, les attaquants ont exploité une faille du protocole dans la validation de l'efficacité des signatures, leur permettant d'effectuer des transactions avec des signatures générées par leurs soins. Étant donné que la perte principale concerne le jeton de gouvernance du projet, plusieurs projets affectés ont choisi de faire un snapshot et de réémettre des jetons pour compenser les pertes des détenteurs et des LP.
Poly Network : 610 millions de dollars volés récupérés en totalité
Le 10 août 2021, Poly Network a subi la plus grande attaque DeFi à l'époque. Les hackers ont volé environ 610 millions de dollars d'actifs sur trois réseaux : Ethereum, Binance Smart Chain et Polygon.
L'attaque a principalement exploité une vulnérabilité dans la logique de gestion des permissions des contrats de Poly Network. Les hackers ont réussi à remplacer l'adresse du Keeper de la chaîne cible par une adresse qu'ils contrôlaient, obtenant ainsi les droits de signature pour le transfert d'actifs.
Bien que les hackers aient soigneusement planifié l'attaque, ils ont finalement choisi de restituer l'intégralité des fonds volés. Poly Network les a qualifiés de "hackers à chapeau blanc" et a proposé de les embaucher en tant que conseiller en sécurité principal. Cet événement met en évidence les énormes défis de sécurité auxquels sont confrontés les bridges cross-chain.
Multichain : 6 millions de dollars de pertes dues à une vulnérabilité ont été remboursés
En janvier 2022, Multichain a découvert une vulnérabilité importante affectant plusieurs jetons. Bien que la vulnérabilité ait été corrigée, certains utilisateurs ont subi des pertes en raison du retrait tardif de leur autorisation. Selon le rapport officiel, 7962 adresses utilisateurs ont été touchées, avec un total d'environ 6,04 millions de dollars d'actifs volés.
L'équipe de sécurité a analysé et a indiqué que l'attaque provenait d'une négligence de Multichain lors de la vérification de la légitimité des Tokens entrants des utilisateurs. L'équipe a récupéré près de 50 % des fonds volés et a proposé un plan de compensation, mais cela ne concerne que les utilisateurs qui ont révoqué leur autorisation dans le délai imparti.
QBridge : perte de 80 millions de dollars, seulement 2 % remboursés
À la fin janvier 2022, le pont cross-chain QBridge du protocole de prêt Qubit a été attaqué, entraînant une perte d'environ 80 millions de dollars. L'attaquant a exploité une faille logique dans le traitement des transferts de tokens sur liste blanche par QBridge, réussissant à créer de manière fictive une grande quantité de tokens xETH sur BSC, et a utilisé ces faux tokens pour emprunter d'autres actifs auprès de Qubit.
Actuellement, le projet Qubit est presque à l'arrêt, 98 % des fonds volés n'ont pas encore été remboursés, ce qui reflète la réalité selon laquelle certains projets ont du mal à se rétablir après avoir subi des accidents de sécurité majeurs.
Meter.io : perte de 4,4 millions de dollars, engagement à indemniser avec des bénéfices futurs
En février 2022, le pont cross-chain Meter Passport a été attaqué, entraînant une perte de 4,4 millions de dollars. Les responsables ont reconnu que le problème provenait d'une "hypothèse de confiance erronée" dans le code sous-jacent, permettant à l'attaquant de falsifier les transferts de BNB et d'ETH.
Meter avait initialement prévu d'indemniser les utilisateurs avec le jeton MTRG, mais après un vote de la communauté, il a été décidé d'émettre un nouveau jeton PASS comme compensation, avec la promesse de racheter avec les bénéfices futurs. Cependant, jusqu'à présent, aucune action de rachat substantielle n'a été effectuée.
Ronin : 620 millions de dollars volés, remboursement intégral effectué
En mars 2022, la chaîne Ronin derrière Axie Infinity a subi un vol majeur de 620 millions de dollars. Cette attaque met en évidence le danger de l'ingénierie sociale dans la cybersécurité. Les attaquants ont réussi à pénétrer dans le système de Sky Mavis grâce à une arnaque de recrutement soigneusement planifiée, prenant finalement le contrôle de la majorité des nœuds de validation du réseau Ronin.
Bien que les fonds volés n'aient pas pu être récupérés, Sky Mavis a réussi à indemniser intégralement ses utilisateurs grâce à un financement supplémentaire de 150 millions de dollars. Cet événement a également entraîné une mise à niveau complète des mécanismes de sécurité du réseau Ronin.
Wormhole : 326 millions de dollars de pertes, rapidement compensées
En février 2022, le protocole cross-chain Wormhole a subi une attaque de hacker, entraînant une perte d'environ 120 000 ETH, d'une valeur de 326 millions de dollars. L'attaquant a exploité une vulnérabilité dans la vérification de signature du contrat côté Solana, réussissant à frapper une grande quantité de whETH faux.
Il convient de noter que Jump Crypto a rapidement investi 120 000 ETH, comblant le déficit de financement de Wormhole, permettant ainsi au protocole de reprendre rapidement ses opérations. Cet acte démontre l'importance d'un solide soutien financier dans la gestion des crises.
EvoDeFi : des pertes de plusieurs millions de dollars non traitées
En juin 2022, le DEX ValleySwap dans l'écosystème Oasis a connu un dépeg sévère de l'USDT, entraînant des pertes estimées à plusieurs millions de dollars. Le problème provient de l'insuffisance de liquidité sur la chaîne source du pont cross-chain EVODeFi utilisé.
Malheureusement, cet événement n'a pas encore été traité de manière appropriée. Les parties concernées ont rapidement pris leurs distances, et l'équipe du projet est en réalité introuvable, laissant les utilisateurs sans possibilité de compensation pour leurs pertes. Cela met en évidence le manque de responsabilité et de capacité de réponse de certains projets face à des crises majeures.
Horizon : Près de 100 millions de dollars volés, le plan d'indemnisation est toujours en discussion
En juin 2022, le pont cross-chain Horizon de Harmony a été attaqué, entraînant une perte d'environ 100 millions de dollars. Les enquêtes montrent que l'attaque a probablement été causée par une fuite de clé privée, exposant les risques potentiels du mécanisme de signature multiple.
Harmony avait proposé d'indemniser progressivement les utilisateurs en émettant des jetons supplémentaires sur une période de 3 ans, mais n'a pas réussi à obtenir le soutien unanime de la communauté. Actuellement, un nouveau plan d'indemnisation est toujours en cours d'élaboration, reflétant les défis liés à l'équilibre des intérêts de toutes les parties et au maintien de la stabilité de l'écosystème.
Nomad : 190 millions de dollars disparus, une partie des fonds pourrait être récupérée
En août 2022, le pont cross-chain Nomad a entraîné la perte d'environ 190 millions de dollars en raison d'une simple erreur de programmation. Les attaquants ont exploité une erreur de configuration d'un paramètre clé lors de la mise à niveau du contrat, permettant une attaque pour retirer des fonds sans aucune opération complexe.
Cet événement implique un grand nombre d'adresses, y compris des hackers éthiques. Actuellement, une partie des fonds a été promise pour être restituée, mais le plan de compensation spécifique n'a pas encore été déterminé. Cela souligne l'importance de l'audit de code et de la gestion des mises à niveau dans les projets DeFi.
Résumé et enseignements
En regardant ces événements d'attaques sur les ponts cross-chain, nous pouvons tirer les conclusions importantes suivantes :
Les ponts cross-chain, en tant qu'objectifs de haute valeur, font toujours face à d'énormes menaces de sécurité. Même les projets ayant un classement de liquidité élevé ne sont pas à l'abri des attaques, et les utilisateurs doivent rester très vigilants lors de leur utilisation.
Le contexte et la solidité financière de l'équipe du projet sont essentiels pour la gestion post-incident. Des équipes solides sont souvent capables de récupérer les actifs ou d'effectuer des compensations plus rapidement, comme le montrent les cas de Poly Network, Ronin et Wormhole.
La surveillance en temps réel et un mécanisme de réponse rapide sont la clé pour prévenir les attaques. Certains projets comme Hop Protocol et StarGate ont réussi à empêcher des attaques potentielles en détectant et en traitant rapidement des activités suspectes.
L'importance de l'audit de code, des tests de sécurité et de la gestion des mises à jour ne doit pas être sous-estimée. De nombreuses attaques proviennent d'erreurs de programmation simples ou de vulnérabilités logiques, soulignant la nécessité de mesures de sécurité complètes et rigoureuses.
La gouvernance communautaire joue un rôle important dans la gestion des crises. Un processus de formulation de plans d'indemnisation transparent et équitable contribue à maintenir la confiance des utilisateurs et au développement à long terme du projet.
Avec le développement continu de la technologie cross-chain, la sécurité restera un sujet central dans ce domaine. Les projets, les développeurs et les utilisateurs doivent rester vigilants et construire ensemble un écosystème cross-chain plus sûr et fiable.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
20 J'aime
Récompense
20
4
Partager
Commentaire
0/400
CryptoComedian
· Il y a 16h
Hacker : Deux attaques en neuf jours, ça fait double plaisir, n'est-ce pas ?
Voir l'originalRépondre0
OvertimeSquid
· 08-03 14:53
Les exploitations de vulnérabilités se ressemblent toutes, modifiez le script et copiez-collez.
Voir l'originalRépondre0
FUD_Whisperer
· 08-03 14:52
Le plus grand risque pour la sécurité est constitué par les techniciens.
Voir l'originalRépondre0
TaxEvader
· 08-03 14:37
Ayez une vision plus large, faites simplement un Rug Pull.
Analyse approfondie de 10 cas d'attaques de ponts cross-chain : leçons et enseignements derrière une perte de 1,9 milliard de dollars
Revue des attaques de ponts cross-chain : 10 cas majeurs impliquant 1,9 milliard de dollars, 1,55 milliard déjà récupéré ou compensé
Avec l'évolution constante de l'écosystème blockchain, les bridges cross-chain, en tant qu'infrastructure fondamentale reliant différentes blockchains publiques, sont au centre des préoccupations en matière de sécurité. Ces dernières années, plusieurs attaques contre des bridges cross-chain ont entraîné d'énormes pertes financières, suscitant un large débat au sein de l'industrie. Cet article examinera 10 cas d'attaques contre des bridges cross-chain ayant eu un impact profond, en résumant les leçons et les enseignements à en tirer.
ChainSwap : pertes de 8 millions de dollars dues à deux attaques
En juillet 2021, ChainSwap a subi deux attaques de hackers en seulement 9 jours. La première attaque a entraîné une perte d'environ 800 000 dollars, tandis que la seconde a atteint 8 millions de dollars, affectant plus de 20 projets utilisant ChainSwap pour des bridges cross-chain.
Après enquête, les attaquants ont exploité une faille du protocole dans la validation de l'efficacité des signatures, leur permettant d'effectuer des transactions avec des signatures générées par leurs soins. Étant donné que la perte principale concerne le jeton de gouvernance du projet, plusieurs projets affectés ont choisi de faire un snapshot et de réémettre des jetons pour compenser les pertes des détenteurs et des LP.
Poly Network : 610 millions de dollars volés récupérés en totalité
Le 10 août 2021, Poly Network a subi la plus grande attaque DeFi à l'époque. Les hackers ont volé environ 610 millions de dollars d'actifs sur trois réseaux : Ethereum, Binance Smart Chain et Polygon.
L'attaque a principalement exploité une vulnérabilité dans la logique de gestion des permissions des contrats de Poly Network. Les hackers ont réussi à remplacer l'adresse du Keeper de la chaîne cible par une adresse qu'ils contrôlaient, obtenant ainsi les droits de signature pour le transfert d'actifs.
Bien que les hackers aient soigneusement planifié l'attaque, ils ont finalement choisi de restituer l'intégralité des fonds volés. Poly Network les a qualifiés de "hackers à chapeau blanc" et a proposé de les embaucher en tant que conseiller en sécurité principal. Cet événement met en évidence les énormes défis de sécurité auxquels sont confrontés les bridges cross-chain.
Multichain : 6 millions de dollars de pertes dues à une vulnérabilité ont été remboursés
En janvier 2022, Multichain a découvert une vulnérabilité importante affectant plusieurs jetons. Bien que la vulnérabilité ait été corrigée, certains utilisateurs ont subi des pertes en raison du retrait tardif de leur autorisation. Selon le rapport officiel, 7962 adresses utilisateurs ont été touchées, avec un total d'environ 6,04 millions de dollars d'actifs volés.
L'équipe de sécurité a analysé et a indiqué que l'attaque provenait d'une négligence de Multichain lors de la vérification de la légitimité des Tokens entrants des utilisateurs. L'équipe a récupéré près de 50 % des fonds volés et a proposé un plan de compensation, mais cela ne concerne que les utilisateurs qui ont révoqué leur autorisation dans le délai imparti.
QBridge : perte de 80 millions de dollars, seulement 2 % remboursés
À la fin janvier 2022, le pont cross-chain QBridge du protocole de prêt Qubit a été attaqué, entraînant une perte d'environ 80 millions de dollars. L'attaquant a exploité une faille logique dans le traitement des transferts de tokens sur liste blanche par QBridge, réussissant à créer de manière fictive une grande quantité de tokens xETH sur BSC, et a utilisé ces faux tokens pour emprunter d'autres actifs auprès de Qubit.
Actuellement, le projet Qubit est presque à l'arrêt, 98 % des fonds volés n'ont pas encore été remboursés, ce qui reflète la réalité selon laquelle certains projets ont du mal à se rétablir après avoir subi des accidents de sécurité majeurs.
Meter.io : perte de 4,4 millions de dollars, engagement à indemniser avec des bénéfices futurs
En février 2022, le pont cross-chain Meter Passport a été attaqué, entraînant une perte de 4,4 millions de dollars. Les responsables ont reconnu que le problème provenait d'une "hypothèse de confiance erronée" dans le code sous-jacent, permettant à l'attaquant de falsifier les transferts de BNB et d'ETH.
Meter avait initialement prévu d'indemniser les utilisateurs avec le jeton MTRG, mais après un vote de la communauté, il a été décidé d'émettre un nouveau jeton PASS comme compensation, avec la promesse de racheter avec les bénéfices futurs. Cependant, jusqu'à présent, aucune action de rachat substantielle n'a été effectuée.
Ronin : 620 millions de dollars volés, remboursement intégral effectué
En mars 2022, la chaîne Ronin derrière Axie Infinity a subi un vol majeur de 620 millions de dollars. Cette attaque met en évidence le danger de l'ingénierie sociale dans la cybersécurité. Les attaquants ont réussi à pénétrer dans le système de Sky Mavis grâce à une arnaque de recrutement soigneusement planifiée, prenant finalement le contrôle de la majorité des nœuds de validation du réseau Ronin.
Bien que les fonds volés n'aient pas pu être récupérés, Sky Mavis a réussi à indemniser intégralement ses utilisateurs grâce à un financement supplémentaire de 150 millions de dollars. Cet événement a également entraîné une mise à niveau complète des mécanismes de sécurité du réseau Ronin.
Wormhole : 326 millions de dollars de pertes, rapidement compensées
En février 2022, le protocole cross-chain Wormhole a subi une attaque de hacker, entraînant une perte d'environ 120 000 ETH, d'une valeur de 326 millions de dollars. L'attaquant a exploité une vulnérabilité dans la vérification de signature du contrat côté Solana, réussissant à frapper une grande quantité de whETH faux.
Il convient de noter que Jump Crypto a rapidement investi 120 000 ETH, comblant le déficit de financement de Wormhole, permettant ainsi au protocole de reprendre rapidement ses opérations. Cet acte démontre l'importance d'un solide soutien financier dans la gestion des crises.
EvoDeFi : des pertes de plusieurs millions de dollars non traitées
En juin 2022, le DEX ValleySwap dans l'écosystème Oasis a connu un dépeg sévère de l'USDT, entraînant des pertes estimées à plusieurs millions de dollars. Le problème provient de l'insuffisance de liquidité sur la chaîne source du pont cross-chain EVODeFi utilisé.
Malheureusement, cet événement n'a pas encore été traité de manière appropriée. Les parties concernées ont rapidement pris leurs distances, et l'équipe du projet est en réalité introuvable, laissant les utilisateurs sans possibilité de compensation pour leurs pertes. Cela met en évidence le manque de responsabilité et de capacité de réponse de certains projets face à des crises majeures.
Horizon : Près de 100 millions de dollars volés, le plan d'indemnisation est toujours en discussion
En juin 2022, le pont cross-chain Horizon de Harmony a été attaqué, entraînant une perte d'environ 100 millions de dollars. Les enquêtes montrent que l'attaque a probablement été causée par une fuite de clé privée, exposant les risques potentiels du mécanisme de signature multiple.
Harmony avait proposé d'indemniser progressivement les utilisateurs en émettant des jetons supplémentaires sur une période de 3 ans, mais n'a pas réussi à obtenir le soutien unanime de la communauté. Actuellement, un nouveau plan d'indemnisation est toujours en cours d'élaboration, reflétant les défis liés à l'équilibre des intérêts de toutes les parties et au maintien de la stabilité de l'écosystème.
Nomad : 190 millions de dollars disparus, une partie des fonds pourrait être récupérée
En août 2022, le pont cross-chain Nomad a entraîné la perte d'environ 190 millions de dollars en raison d'une simple erreur de programmation. Les attaquants ont exploité une erreur de configuration d'un paramètre clé lors de la mise à niveau du contrat, permettant une attaque pour retirer des fonds sans aucune opération complexe.
Cet événement implique un grand nombre d'adresses, y compris des hackers éthiques. Actuellement, une partie des fonds a été promise pour être restituée, mais le plan de compensation spécifique n'a pas encore été déterminé. Cela souligne l'importance de l'audit de code et de la gestion des mises à niveau dans les projets DeFi.
Résumé et enseignements
En regardant ces événements d'attaques sur les ponts cross-chain, nous pouvons tirer les conclusions importantes suivantes :
Les ponts cross-chain, en tant qu'objectifs de haute valeur, font toujours face à d'énormes menaces de sécurité. Même les projets ayant un classement de liquidité élevé ne sont pas à l'abri des attaques, et les utilisateurs doivent rester très vigilants lors de leur utilisation.
Le contexte et la solidité financière de l'équipe du projet sont essentiels pour la gestion post-incident. Des équipes solides sont souvent capables de récupérer les actifs ou d'effectuer des compensations plus rapidement, comme le montrent les cas de Poly Network, Ronin et Wormhole.
La surveillance en temps réel et un mécanisme de réponse rapide sont la clé pour prévenir les attaques. Certains projets comme Hop Protocol et StarGate ont réussi à empêcher des attaques potentielles en détectant et en traitant rapidement des activités suspectes.
L'importance de l'audit de code, des tests de sécurité et de la gestion des mises à jour ne doit pas être sous-estimée. De nombreuses attaques proviennent d'erreurs de programmation simples ou de vulnérabilités logiques, soulignant la nécessité de mesures de sécurité complètes et rigoureuses.
La gouvernance communautaire joue un rôle important dans la gestion des crises. Un processus de formulation de plans d'indemnisation transparent et équitable contribue à maintenir la confiance des utilisateurs et au développement à long terme du projet.
Avec le développement continu de la technologie cross-chain, la sécurité restera un sujet central dans ce domaine. Les projets, les développeurs et les utilisateurs doivent rester vigilants et construire ensemble un écosystème cross-chain plus sûr et fiable.