Обзор атак на кроссчейн мосты: 10 крупных случаев с ущербом в 1,9 миллиарда долларов, 1,55 миллиарда уже возвращены или компенсированы
С развитием экосистемы блокчейна кроссчейн мосты, как важная инфраструктура, соединяющая разные публичные блокчейны, становятся предметом повышенного внимания к их безопасности. В последние годы несколько атак на кроссчейн мосты привели к огромным финансовым потерям, вызвав широкое обсуждение в индустрии. В данной статье будут рассмотрены 10 значительных случаев атак на кроссчейн мосты, подведены итоги и сделаны выводы.
ChainSwap: две атаки привели к убыткам в 8 миллионов долларов
В июле 2021 года ChainSwap подвергся двум хакерским атакам всего за 9 дней. Первая атака привела к потерям около 800000 долларов, вторая составила до 8000000 долларов и затронула более 20 проектов, использующих ChainSwap для кросс-чейн.
По результатам расследования, злоумышленники воспользовались уязвимостью протокола в проверке действительности подписей, что позволило им завершать транзакции с помощью самостоятельно сгенерированных подписей. Поскольку основные потери понесла управляющая токеном проекта, несколько пострадавших проектов выбрали провести снимок и повторно выпустить токены, чтобы компенсировать убытки держателей и LP.
Poly Network: 6,1 миллиарда долларов США были украдены и полностью возвращены
10 августа 2021 года Poly Network подвергся самой крупной атаке DeFi на тот момент. Хакеры украли около 610 миллионов долларов активов на трех сетях: Ethereum, Binance Smart Chain и Polygon.
Атака в основном использовала уязвимость логики управления правами в контракте Poly Network. Хакеры успешно заменили Keeper целевой цепи на адрес, который они контролируют, тем самым получив права на подпись для перевода активов.
Несмотря на то что хакеры тщательно спланировали атаку, в конечном итоге они решили вернуть все украденные средства. Poly Network назвал их "белыми хакерами" и предложил нанять их в качестве главного консультанта по безопасности. Этот инцидент подчеркивает огромные проблемы безопасности, с которыми сталкиваются кроссчейн мосты.
Multichain: ущерб от уязвимости в 6 миллионов долларов уже возмещён
В январе 2022 года Multichain обнаружил важную уязвимость, затрагивающую множество токенов. Хотя уязвимость была исправлена, некоторые пользователи все еще понесли убытки из-за того, что не отменили свои разрешения вовремя. Согласно официальному отчету, было затронуто 7962 адреса пользователей, и всего было украдено активов на сумму около 604 тысячи долларов.
Команда безопасности провела анализ и указала, что атака произошла из-за небрежности Multichain при проверке законности входящих токенов пользователей. Команда уже вернула почти 50% украденных средств и предложила план компенсации, но он ограничен пользователями, которые отозвали авторизацию в установленный срок.
QBridge: убытки в 80 миллионов долларов компенсированы только на 2%
В конце января 2022 года кроссчейн мост QBridge кредитного протокола Qubit был атакован, в результате чего было потеряно около 80 миллионов долларов. Злоумышленник использовал логическую уязвимость QBridge при обработке переводов токенов из белого списка, что позволило ему успешно сгенерировать большое количество токенов xETH на BSC и занять другие активы у Qubit, используя эти фиктивные токены.
В настоящее время проект Qubit почти остановлен, 98% украденных средств еще не были возвращены, что отражает реальность, что некоторые проекты трудно восстанавливаются после серьезных инцидентов безопасности.
Meter.io: убыток в 4,4 миллиона долларов, обещание компенсировать за счет будущих доходов
В феврале 2022 года кроссчейн мост Meter Passport подвергся атаке, в результате которой был нанесен ущерб в 4,4 миллиона долларов. Официальные лица признали, что проблема заключалась в "ошибочном предположении доверия" в базовом коде, что позволило злоумышленникам подделать переводы BNB и ETH.
Meter изначально планировал компенсировать убытки пользователей токенами MTRG, но после голосования сообщества было решено выпустить новые токены PASS в качестве компенсации и было обещано выкупить их за счет будущих доходов. Однако до сих пор не было проведено никаких существенных действий по выкупу.
Ronin: 620 миллионов долларов были украдены, полная компенсация выплачена
В марте 2022 года блокчейн Ronin, за которым стоит Axie Infinity, стал жертвой серьезной кражи на сумму 620 миллионов долларов. Эта атака подчеркивает опасность социальной инженерии в кибербезопасности. Злоумышленники с помощью тщательно продуманной подделки вакансий смогли проникнуть в систему Sky Mavis и в конечном итоге контролировать большинство узлов проверки сети Ronin.
Несмотря на то, что украденные средства не были возвращены, Sky Mavis успешно предоставила пользователям полное возмещение за счет дополнительного финансирования в размере 150 миллионов долларов. Это событие также способствовало全面升级 механизмов безопасности сети Ronin.
Wormhole: убытки в 326 миллионов долларов, быстро восстановлены
В феврале 2022 года кросс-чейн протокол Wormhole стал жертвой хакерской атаки, в результате которой было потеряно около 120 000 ETH на сумму 326 миллионов долларов. Нападающие использовали уязвимость в проверке подписи в контракте на стороне Solana, успешно создав большое количество поддельных whETH.
Стоит отметить, что Jump Crypto быстро инвестировала 120 000 ETH, закрыв финансовый дефицит Wormhole, что позволило протоколу быстро восстановить свою работу. Этот шаг продемонстрировал важность мощной финансовой поддержки в управлении кризисами.
EvoDeFi: убытки в десятки миллионов долларов не были обработаны
В июне 2022 года на DEX ValleySwap в экосистеме Oasis USDT серьезно утратил привязку, что привело к предполагаемым потерям в десятки миллионов долларов. Проблема возникла из-за недостатка ликвидности на исходной цепи, связанной с используемым кроссчейн мостом EVODeFi.
К сожалению, это событие до сих пор не было должным образом обработано. Связанные стороны быстро отстранились от ответственности, а команда проекта фактически оказалась в состоянии исчезновения, и убытки пользователей не могут быть компенсированы. Это подчеркивает отсутствие ответственности и возможности реагирования некоторых проектов в условиях серьезного кризиса.
Horizon: украдено почти 100 миллионов долларов, план компенсации все еще обсуждается
В июне 2022 года официальный кроссчейн мост Harmony Horizon был атакован, в результате чего потеряно около 100 миллионов долларов. Расследование показало, что атака, вероятно, была вызвана утечкой закрытого ключа, что выявило потенциальные риски многоуровневого механизма подписания.
Harmony ранее предлагал постепенно компенсировать пользователей в течение 3 лет за счет эмиссии новых токенов, но не смог получить единодушную поддержку сообщества. В настоящее время новая схема компенсации все еще разрабатывается, что отражает сложность балансировки интересов всех сторон и поддержания стабильности экосистемы.
Nomad: потеряно 190 миллионов долларов, часть средств может быть возвращена
В августе 2022 года кроссчейн мост Nomad потерял около 190 миллионов долларов из-за простой ошибки в программировании. Нападающие воспользовались ошибкой в настройке одного ключевого параметра при обновлении контракта, что позволило им осуществить атаку и вывести средства без каких-либо сложных действий.
Это событие затрагивает большое количество адресов, среди которых есть и белые хакеры. В настоящее время часть средств была обещана к возврату, но конкретный план компенсации еще не определен. Это подчеркивает важность аудита кода и управления обновлениями в проектах DeFi.
Итоги и выводы
Оглядываясь на эти события атак на кроссчейн мосты, мы можем сделать следующие важные выводы:
Кроссчейн мост, как объект высокой ценности, всегда сталкивается с огромными угрозами безопасности. Даже проекты с высоким рейтингом ликвидности не могут избежать атак, пользователи должны сохранять высокую бдительность при использовании.
Фон проекта и финансовая мощь имеют решающее значение для обработки после инцидента. Сильные команды часто могут быстрее вернуть активы или произвести выплаты, как показано на примерах Poly Network, Ronin и Wormhole.
Реальное время мониторинга и механизм быстрого реагирования являются ключом к предотвращению атак. Некоторые проекты, такие как Hop Protocol и StarGate, успешно остановили потенциальные атаки благодаря своевременному выявлению и обработке подозрительной активности.
Важность аудита кода, тестирования безопасности и управления обновлениями нельзя игнорировать. Многие атаки происходят из-за простых программных ошибок или логических уязвимостей, что подчеркивает необходимость комплексных и строгих мер безопасности.
Сообщество играет важную роль в управлении кризисами. Прозрачный и справедливый процесс разработки схемы компенсации способствует поддержанию доверия пользователей и долгосрочному развитию проекта.
С развитием кросс-чейн технологий безопасность будет оставаться ключевой темой в этой области. Проектные команды, разработчики и пользователи должны оставаться бдительными и совместно строить более безопасную и надежную кроссчейн экосистему.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
23 Лайков
Награда
23
4
Поделиться
комментарий
0/400
CryptoComedian
· 08-05 08:35
Хакер: Девять дней, дважды атаковал, эта волна, похоже, удвоила удовольствие.
Посмотреть ОригиналОтветить0
OvertimeSquid
· 08-03 14:53
Почему все эксплойты так похожи? Измените скрипт, скопируйте и вставьте.
Посмотреть ОригиналОтветить0
FUD_Whisperer
· 08-03 14:52
Наибольшая угроза безопасности заключается в технических людях.
10 случаев атак на кроссчейн мосты: глубокий анализ уроков и выводов, стоящих за потерями в 1,9 миллиарда долларов
Обзор атак на кроссчейн мосты: 10 крупных случаев с ущербом в 1,9 миллиарда долларов, 1,55 миллиарда уже возвращены или компенсированы
С развитием экосистемы блокчейна кроссчейн мосты, как важная инфраструктура, соединяющая разные публичные блокчейны, становятся предметом повышенного внимания к их безопасности. В последние годы несколько атак на кроссчейн мосты привели к огромным финансовым потерям, вызвав широкое обсуждение в индустрии. В данной статье будут рассмотрены 10 значительных случаев атак на кроссчейн мосты, подведены итоги и сделаны выводы.
ChainSwap: две атаки привели к убыткам в 8 миллионов долларов
В июле 2021 года ChainSwap подвергся двум хакерским атакам всего за 9 дней. Первая атака привела к потерям около 800000 долларов, вторая составила до 8000000 долларов и затронула более 20 проектов, использующих ChainSwap для кросс-чейн.
По результатам расследования, злоумышленники воспользовались уязвимостью протокола в проверке действительности подписей, что позволило им завершать транзакции с помощью самостоятельно сгенерированных подписей. Поскольку основные потери понесла управляющая токеном проекта, несколько пострадавших проектов выбрали провести снимок и повторно выпустить токены, чтобы компенсировать убытки держателей и LP.
Poly Network: 6,1 миллиарда долларов США были украдены и полностью возвращены
10 августа 2021 года Poly Network подвергся самой крупной атаке DeFi на тот момент. Хакеры украли около 610 миллионов долларов активов на трех сетях: Ethereum, Binance Smart Chain и Polygon.
Атака в основном использовала уязвимость логики управления правами в контракте Poly Network. Хакеры успешно заменили Keeper целевой цепи на адрес, который они контролируют, тем самым получив права на подпись для перевода активов.
Несмотря на то что хакеры тщательно спланировали атаку, в конечном итоге они решили вернуть все украденные средства. Poly Network назвал их "белыми хакерами" и предложил нанять их в качестве главного консультанта по безопасности. Этот инцидент подчеркивает огромные проблемы безопасности, с которыми сталкиваются кроссчейн мосты.
Multichain: ущерб от уязвимости в 6 миллионов долларов уже возмещён
В январе 2022 года Multichain обнаружил важную уязвимость, затрагивающую множество токенов. Хотя уязвимость была исправлена, некоторые пользователи все еще понесли убытки из-за того, что не отменили свои разрешения вовремя. Согласно официальному отчету, было затронуто 7962 адреса пользователей, и всего было украдено активов на сумму около 604 тысячи долларов.
Команда безопасности провела анализ и указала, что атака произошла из-за небрежности Multichain при проверке законности входящих токенов пользователей. Команда уже вернула почти 50% украденных средств и предложила план компенсации, но он ограничен пользователями, которые отозвали авторизацию в установленный срок.
QBridge: убытки в 80 миллионов долларов компенсированы только на 2%
В конце января 2022 года кроссчейн мост QBridge кредитного протокола Qubit был атакован, в результате чего было потеряно около 80 миллионов долларов. Злоумышленник использовал логическую уязвимость QBridge при обработке переводов токенов из белого списка, что позволило ему успешно сгенерировать большое количество токенов xETH на BSC и занять другие активы у Qubit, используя эти фиктивные токены.
В настоящее время проект Qubit почти остановлен, 98% украденных средств еще не были возвращены, что отражает реальность, что некоторые проекты трудно восстанавливаются после серьезных инцидентов безопасности.
Meter.io: убыток в 4,4 миллиона долларов, обещание компенсировать за счет будущих доходов
В феврале 2022 года кроссчейн мост Meter Passport подвергся атаке, в результате которой был нанесен ущерб в 4,4 миллиона долларов. Официальные лица признали, что проблема заключалась в "ошибочном предположении доверия" в базовом коде, что позволило злоумышленникам подделать переводы BNB и ETH.
Meter изначально планировал компенсировать убытки пользователей токенами MTRG, но после голосования сообщества было решено выпустить новые токены PASS в качестве компенсации и было обещано выкупить их за счет будущих доходов. Однако до сих пор не было проведено никаких существенных действий по выкупу.
Ronin: 620 миллионов долларов были украдены, полная компенсация выплачена
В марте 2022 года блокчейн Ronin, за которым стоит Axie Infinity, стал жертвой серьезной кражи на сумму 620 миллионов долларов. Эта атака подчеркивает опасность социальной инженерии в кибербезопасности. Злоумышленники с помощью тщательно продуманной подделки вакансий смогли проникнуть в систему Sky Mavis и в конечном итоге контролировать большинство узлов проверки сети Ronin.
Несмотря на то, что украденные средства не были возвращены, Sky Mavis успешно предоставила пользователям полное возмещение за счет дополнительного финансирования в размере 150 миллионов долларов. Это событие также способствовало全面升级 механизмов безопасности сети Ronin.
Wormhole: убытки в 326 миллионов долларов, быстро восстановлены
В феврале 2022 года кросс-чейн протокол Wormhole стал жертвой хакерской атаки, в результате которой было потеряно около 120 000 ETH на сумму 326 миллионов долларов. Нападающие использовали уязвимость в проверке подписи в контракте на стороне Solana, успешно создав большое количество поддельных whETH.
Стоит отметить, что Jump Crypto быстро инвестировала 120 000 ETH, закрыв финансовый дефицит Wormhole, что позволило протоколу быстро восстановить свою работу. Этот шаг продемонстрировал важность мощной финансовой поддержки в управлении кризисами.
EvoDeFi: убытки в десятки миллионов долларов не были обработаны
В июне 2022 года на DEX ValleySwap в экосистеме Oasis USDT серьезно утратил привязку, что привело к предполагаемым потерям в десятки миллионов долларов. Проблема возникла из-за недостатка ликвидности на исходной цепи, связанной с используемым кроссчейн мостом EVODeFi.
К сожалению, это событие до сих пор не было должным образом обработано. Связанные стороны быстро отстранились от ответственности, а команда проекта фактически оказалась в состоянии исчезновения, и убытки пользователей не могут быть компенсированы. Это подчеркивает отсутствие ответственности и возможности реагирования некоторых проектов в условиях серьезного кризиса.
Horizon: украдено почти 100 миллионов долларов, план компенсации все еще обсуждается
В июне 2022 года официальный кроссчейн мост Harmony Horizon был атакован, в результате чего потеряно около 100 миллионов долларов. Расследование показало, что атака, вероятно, была вызвана утечкой закрытого ключа, что выявило потенциальные риски многоуровневого механизма подписания.
Harmony ранее предлагал постепенно компенсировать пользователей в течение 3 лет за счет эмиссии новых токенов, но не смог получить единодушную поддержку сообщества. В настоящее время новая схема компенсации все еще разрабатывается, что отражает сложность балансировки интересов всех сторон и поддержания стабильности экосистемы.
Nomad: потеряно 190 миллионов долларов, часть средств может быть возвращена
В августе 2022 года кроссчейн мост Nomad потерял около 190 миллионов долларов из-за простой ошибки в программировании. Нападающие воспользовались ошибкой в настройке одного ключевого параметра при обновлении контракта, что позволило им осуществить атаку и вывести средства без каких-либо сложных действий.
Это событие затрагивает большое количество адресов, среди которых есть и белые хакеры. В настоящее время часть средств была обещана к возврату, но конкретный план компенсации еще не определен. Это подчеркивает важность аудита кода и управления обновлениями в проектах DeFi.
Итоги и выводы
Оглядываясь на эти события атак на кроссчейн мосты, мы можем сделать следующие важные выводы:
Кроссчейн мост, как объект высокой ценности, всегда сталкивается с огромными угрозами безопасности. Даже проекты с высоким рейтингом ликвидности не могут избежать атак, пользователи должны сохранять высокую бдительность при использовании.
Фон проекта и финансовая мощь имеют решающее значение для обработки после инцидента. Сильные команды часто могут быстрее вернуть активы или произвести выплаты, как показано на примерах Poly Network, Ronin и Wormhole.
Реальное время мониторинга и механизм быстрого реагирования являются ключом к предотвращению атак. Некоторые проекты, такие как Hop Protocol и StarGate, успешно остановили потенциальные атаки благодаря своевременному выявлению и обработке подозрительной активности.
Важность аудита кода, тестирования безопасности и управления обновлениями нельзя игнорировать. Многие атаки происходят из-за простых программных ошибок или логических уязвимостей, что подчеркивает необходимость комплексных и строгих мер безопасности.
Сообщество играет важную роль в управлении кризисами. Прозрачный и справедливый процесс разработки схемы компенсации способствует поддержанию доверия пользователей и долгосрочному развитию проекта.
С развитием кросс-чейн технологий безопасность будет оставаться ключевой темой в этой области. Проектные команды, разработчики и пользователи должны оставаться бдительными и совместно строить более безопасную и надежную кроссчейн экосистему.