Retour sur les dix événements de sécurité les plus importants dans l'histoire des bridges cross-chain
Les ponts cross-chain, en tant qu'infrastructure fondamentale reliant différents réseaux de blockchain, ont été fréquemment attaqués ces dernières années, entraînant des pertes financières énormes. Cet article passe en revue dix événements de sécurité majeurs survenus dans le domaine des ponts cross-chain, impliquant un montant total de plus de 1,9 milliard de dollars, dont environ 1,55 milliard de dollars ont été récupérés ou indemnisés. Ces événements reflètent les défis de sécurité auxquels sont confrontés les ponts cross-chain et fournissent également des leçons précieuses pour l'industrie.
ChainSwap : pertes d'environ 8,8 millions de dollars suite à deux attaques
En juillet 2021, ChainSwap a subi deux attaques de hackers à court terme. La première attaque a causé une perte d'environ 800 000 dollars, tandis que la deuxième attaque a entraîné une perte d'environ 8 millions de dollars, affectant plus de 20 projets utilisant ChainSwap pour des ponts cross-chain.
Une enquête montre que la raison de l'attaque est que le protocole n'a pas vérifié strictement la validité des signatures, ce qui a permis à l'attaquant d'utiliser des signatures auto-générées pour effectuer des transactions. Étant donné que les pertes concernent principalement le jeton de gouvernance du projet, plusieurs projets affectés ont choisi de faire un instantané et de réémettre des jetons pour compenser les détenteurs de jetons et les fournisseurs de liquidités.
Le 10 août 2021, le protocole cross-chain Poly Network a subi une attaque de grande envergure, entraînant une perte d'environ 610 millions de dollars d'actifs sur Ethereum, Binance Smart Chain et Polygon.
Les attaquants ont exploité une vulnérabilité dans la gestion des autorisations des contrats de Poly Network, réussissant à remplacer l'adresse du validateur de la chaîne cible par leur propre adresse, contrôlant ainsi le transfert d'actifs. Bien que l'ampleur de l'attaque ait été énorme, le pirate a finalement restitué l'intégralité des fonds. Poly Network a qualifié cela de "pirate éthique" et l'a invité à devenir conseiller en sécurité principal.
Multichain: 6 millions de dollars de pertes dues à une faille ont été presque entièrement remboursées
En janvier 2022, Multichain a découvert une vulnérabilité importante affectant plusieurs jetons. Bien que la vulnérabilité ait été corrigée, les actifs des utilisateurs restent exposés à des risques. Un rapport d'enquête un mois plus tard a révélé que 7962 adresses utilisateurs étaient affectées, entraînant une perte d'environ 604 000 dollars.
L'analyse de sécurité indique que le problème provient de la négligence de Multichain lors de la vérification de la légitimité des tokens fournis par les utilisateurs. Les autorités ont récupéré près de 50 % des fonds volés et ont proposé une compensation pour les utilisateurs qui ont annulé leur autorisation en temps voulu.
QBridge : 80 millions de dollars d'attaque ne rembourse que 2 %
Le 28 janvier 2022, le pont cross-chain QBridge du protocole de prêt Qubit a été attaqué, entraînant une perte d'environ 80 millions de dollars. L'attaquant a exploité une vulnérabilité de QBridge lors du traitement des transferts de jetons sur liste blanche, réussissant à frapper une grande quantité de jetons xETH sur BSC et à emprunter d'autres actifs à partir de Qubit avec ces jetons.
Actuellement, le taux d'utilisation de Qubit a considérablement diminué, les données officielles montrent que 98 % des fonds volés n'ont pas encore été remboursés.
Meter.io: une perte de 4,4 millions de dollars devrait être compensée par les revenus futurs
Le 6 février 2022, le pont cross-chain Meter Passport a été attaqué, entraînant une perte de 4,4 millions de dollars. Les autorités ont déclaré que le problème provenait d'une "hypothèse de confiance erronée" dans le code source étendu, permettant aux attaquants de falsifier des transferts de BNB et d'ETH.
Meter avait initialement prévu d'indemniser les pertes avec le jeton MTRG, mais après un vote de la communauté, il a été décidé d'émettre un nouveau jeton PASS pour compenser, avec la promesse de racheter PASS avec des revenus futurs. Cependant, aucun rachat n'a encore été effectué.
Ronin : 6,2 milliards de dollars volés après compensation
En mars 2022, la chaîne Ronin derrière Axie Infinity a été attaquée, entraînant une perte d'environ 620 millions de dollars. L'enquête a révélé que l'attaque provenait d'une attaque d'ingénierie sociale complexe, les hackers ayant infiltré le système Ronin par le biais de fausses offres d'emploi, contrôlant finalement plusieurs nœuds de validation.
Bien que les fonds volés n'aient pas pu être récupérés, le développeur Sky Mavis a levé 150 millions de dollars avec Binance en tant que leader, pour indemniser les pertes des utilisateurs. À la fin juin, le pont Ronin a été remis en ligne, les utilisateurs peuvent obtenir des compensations, mais en raison de la baisse du prix de l'ETH, la valeur des paiements réels a diminué.
Wormhole : 3,26 milliards de dollars de pertes dues à une vulnérabilité remboursées intégralement
Le 3 février 2022, le protocole cross-chain Wormhole a été attaqué, entraînant une perte d'environ 120 000 ETH, d'une valeur de 326 millions de dollars. La vulnérabilité se trouvait dans le code de vérification de signature du contrat principal du côté de Solana, permettant à l'attaquant de falsifier le message "gardien" pour frapper du whETH.
Après l'incident, Jump Crypto a rapidement injecté 120 000 ETH dans Wormhole, compensant ainsi toutes les pertes. Wormhole a ensuite repris ses activités.
EvoDeFi : pertes prévues de plusieurs millions de dollars non traitées
En juin 2022, le USDT sur le DEX ValleySwap de l'écosystème Oasis a connu une grave déconnexion, entraînant un important flux de fonds. Le problème provient du manque de liquidité sur la chaîne source du pont cross-chain EVODeFi qu'il utilise.
Bien que le montant exact des pertes soit inconnu, il est estimé à plusieurs millions de dollars. Les parties concernées n'ont pas fourni de solution claire concernant cet incident, et les pertes des utilisateurs n'ont pas encore été indemnisées.
Horizon : le plan d'indemnisation pour près de 100 millions de dollars est toujours en cours d'élaboration
Le 24 juin 2022, le pont cross-chain Horizon de Harmony a été attaqué, entraînant une perte d'environ 100 millions de dollars. Les enquêtes montrent que l'attaque pourrait avoir été provoquée par une fuite de clé privée.
Harmony avait proposé de compenser les utilisateurs en augmentant l'émission de jetons sur une période de 3 ans, mais cela n'a pas reçu le soutien de la communauté. Actuellement, l'équipe du projet indique qu'elle est en train de redéfinir le plan de compensation.
Nomad : 1,9 milliard de dollars volés, une partie des fonds pourrait être récupérée
Le 2 août 2022, le pont cross-chain Nomad a été attaqué, environ 190 millions de dollars de fonds ont été volés. L'analyse montre que le problème provenait d'une erreur d'initialisation lors d'une mise à niveau de contrat, permettant à quiconque de retirer des fonds du pont.
L'attaque implique 1251 adresses ETH, dont les adresses ENS représentent 38 % du montant total. Actuellement, l'équipe du projet n'a pas encore proposé de plan de remboursement clair, mais certains hackers éthiques ont déjà exprimé leur volonté de restituer les fonds.
Ces événements soulignent la haute risque des bridges cross-chain, et tout bridge cross-chain peut à nouveau rencontrer des problèmes de sécurité. En revanche, les projets ayant un meilleur contexte et une solide capacité financière sont souvent plus à même de récupérer des actifs ou d'indemniser lors de la gestion des incidents de sécurité. De plus, la surveillance en temps réel de l'équipe et la réponse rapide sont également essentielles pour prévenir les attaques.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
11 J'aime
Récompense
11
4
Partager
Commentaire
0/400
0xOverleveraged
· Il y a 8h
Répéter tous les jours, mais ça ne marche toujours pas, je suis abasourdi.
Voir l'originalRépondre0
SchroedingerMiner
· Il y a 8h
On en est déjà aux ponts cross-chain, je m'en vais, je m'en vais.
Voir l'originalRépondre0
DancingCandles
· Il y a 8h
Encore un pont a été liquidé. Je ne suis jamais tranquille une journée sans être volé.
Voir l'originalRépondre0
GasWaster
· Il y a 8h
Même le🔒 ne peut pas être verrouillé, alors ne vous embêtez pas avec des ponts.
Revue des dix principaux événements de sécurité des ponts cross-chain : leçons et enseignements des pertes de 1,9 milliard de dollars
Retour sur les dix événements de sécurité les plus importants dans l'histoire des bridges cross-chain
Les ponts cross-chain, en tant qu'infrastructure fondamentale reliant différents réseaux de blockchain, ont été fréquemment attaqués ces dernières années, entraînant des pertes financières énormes. Cet article passe en revue dix événements de sécurité majeurs survenus dans le domaine des ponts cross-chain, impliquant un montant total de plus de 1,9 milliard de dollars, dont environ 1,55 milliard de dollars ont été récupérés ou indemnisés. Ces événements reflètent les défis de sécurité auxquels sont confrontés les ponts cross-chain et fournissent également des leçons précieuses pour l'industrie.
ChainSwap : pertes d'environ 8,8 millions de dollars suite à deux attaques
En juillet 2021, ChainSwap a subi deux attaques de hackers à court terme. La première attaque a causé une perte d'environ 800 000 dollars, tandis que la deuxième attaque a entraîné une perte d'environ 8 millions de dollars, affectant plus de 20 projets utilisant ChainSwap pour des ponts cross-chain.
Une enquête montre que la raison de l'attaque est que le protocole n'a pas vérifié strictement la validité des signatures, ce qui a permis à l'attaquant d'utiliser des signatures auto-générées pour effectuer des transactions. Étant donné que les pertes concernent principalement le jeton de gouvernance du projet, plusieurs projets affectés ont choisi de faire un instantané et de réémettre des jetons pour compenser les détenteurs de jetons et les fournisseurs de liquidités.
Poly Network : 6,1 milliards de dollars d'actifs volés récupérés intégralement
Le 10 août 2021, le protocole cross-chain Poly Network a subi une attaque de grande envergure, entraînant une perte d'environ 610 millions de dollars d'actifs sur Ethereum, Binance Smart Chain et Polygon.
Les attaquants ont exploité une vulnérabilité dans la gestion des autorisations des contrats de Poly Network, réussissant à remplacer l'adresse du validateur de la chaîne cible par leur propre adresse, contrôlant ainsi le transfert d'actifs. Bien que l'ampleur de l'attaque ait été énorme, le pirate a finalement restitué l'intégralité des fonds. Poly Network a qualifié cela de "pirate éthique" et l'a invité à devenir conseiller en sécurité principal.
Multichain: 6 millions de dollars de pertes dues à une faille ont été presque entièrement remboursées
En janvier 2022, Multichain a découvert une vulnérabilité importante affectant plusieurs jetons. Bien que la vulnérabilité ait été corrigée, les actifs des utilisateurs restent exposés à des risques. Un rapport d'enquête un mois plus tard a révélé que 7962 adresses utilisateurs étaient affectées, entraînant une perte d'environ 604 000 dollars.
L'analyse de sécurité indique que le problème provient de la négligence de Multichain lors de la vérification de la légitimité des tokens fournis par les utilisateurs. Les autorités ont récupéré près de 50 % des fonds volés et ont proposé une compensation pour les utilisateurs qui ont annulé leur autorisation en temps voulu.
QBridge : 80 millions de dollars d'attaque ne rembourse que 2 %
Le 28 janvier 2022, le pont cross-chain QBridge du protocole de prêt Qubit a été attaqué, entraînant une perte d'environ 80 millions de dollars. L'attaquant a exploité une vulnérabilité de QBridge lors du traitement des transferts de jetons sur liste blanche, réussissant à frapper une grande quantité de jetons xETH sur BSC et à emprunter d'autres actifs à partir de Qubit avec ces jetons.
Actuellement, le taux d'utilisation de Qubit a considérablement diminué, les données officielles montrent que 98 % des fonds volés n'ont pas encore été remboursés.
Meter.io: une perte de 4,4 millions de dollars devrait être compensée par les revenus futurs
Le 6 février 2022, le pont cross-chain Meter Passport a été attaqué, entraînant une perte de 4,4 millions de dollars. Les autorités ont déclaré que le problème provenait d'une "hypothèse de confiance erronée" dans le code source étendu, permettant aux attaquants de falsifier des transferts de BNB et d'ETH.
Meter avait initialement prévu d'indemniser les pertes avec le jeton MTRG, mais après un vote de la communauté, il a été décidé d'émettre un nouveau jeton PASS pour compenser, avec la promesse de racheter PASS avec des revenus futurs. Cependant, aucun rachat n'a encore été effectué.
Ronin : 6,2 milliards de dollars volés après compensation
En mars 2022, la chaîne Ronin derrière Axie Infinity a été attaquée, entraînant une perte d'environ 620 millions de dollars. L'enquête a révélé que l'attaque provenait d'une attaque d'ingénierie sociale complexe, les hackers ayant infiltré le système Ronin par le biais de fausses offres d'emploi, contrôlant finalement plusieurs nœuds de validation.
Bien que les fonds volés n'aient pas pu être récupérés, le développeur Sky Mavis a levé 150 millions de dollars avec Binance en tant que leader, pour indemniser les pertes des utilisateurs. À la fin juin, le pont Ronin a été remis en ligne, les utilisateurs peuvent obtenir des compensations, mais en raison de la baisse du prix de l'ETH, la valeur des paiements réels a diminué.
Wormhole : 3,26 milliards de dollars de pertes dues à une vulnérabilité remboursées intégralement
Le 3 février 2022, le protocole cross-chain Wormhole a été attaqué, entraînant une perte d'environ 120 000 ETH, d'une valeur de 326 millions de dollars. La vulnérabilité se trouvait dans le code de vérification de signature du contrat principal du côté de Solana, permettant à l'attaquant de falsifier le message "gardien" pour frapper du whETH.
Après l'incident, Jump Crypto a rapidement injecté 120 000 ETH dans Wormhole, compensant ainsi toutes les pertes. Wormhole a ensuite repris ses activités.
EvoDeFi : pertes prévues de plusieurs millions de dollars non traitées
En juin 2022, le USDT sur le DEX ValleySwap de l'écosystème Oasis a connu une grave déconnexion, entraînant un important flux de fonds. Le problème provient du manque de liquidité sur la chaîne source du pont cross-chain EVODeFi qu'il utilise.
Bien que le montant exact des pertes soit inconnu, il est estimé à plusieurs millions de dollars. Les parties concernées n'ont pas fourni de solution claire concernant cet incident, et les pertes des utilisateurs n'ont pas encore été indemnisées.
Horizon : le plan d'indemnisation pour près de 100 millions de dollars est toujours en cours d'élaboration
Le 24 juin 2022, le pont cross-chain Horizon de Harmony a été attaqué, entraînant une perte d'environ 100 millions de dollars. Les enquêtes montrent que l'attaque pourrait avoir été provoquée par une fuite de clé privée.
Harmony avait proposé de compenser les utilisateurs en augmentant l'émission de jetons sur une période de 3 ans, mais cela n'a pas reçu le soutien de la communauté. Actuellement, l'équipe du projet indique qu'elle est en train de redéfinir le plan de compensation.
Nomad : 1,9 milliard de dollars volés, une partie des fonds pourrait être récupérée
Le 2 août 2022, le pont cross-chain Nomad a été attaqué, environ 190 millions de dollars de fonds ont été volés. L'analyse montre que le problème provenait d'une erreur d'initialisation lors d'une mise à niveau de contrat, permettant à quiconque de retirer des fonds du pont.
L'attaque implique 1251 adresses ETH, dont les adresses ENS représentent 38 % du montant total. Actuellement, l'équipe du projet n'a pas encore proposé de plan de remboursement clair, mais certains hackers éthiques ont déjà exprimé leur volonté de restituer les fonds.
Ces événements soulignent la haute risque des bridges cross-chain, et tout bridge cross-chain peut à nouveau rencontrer des problèmes de sécurité. En revanche, les projets ayant un meilleur contexte et une solide capacité financière sont souvent plus à même de récupérer des actifs ou d'indemniser lors de la gestion des incidents de sécurité. De plus, la surveillance en temps réel de l'équipe et la réponse rapide sont également essentielles pour prévenir les attaques.