Обзор десяти крупнейших инцидентов безопасности в истории кроссчейн моста
Кроссчейн мост, являющийся важной инфраструктурой, соединяющей различные блокчейн-сети, в последние годы часто подвергался атакам, что приводило к огромным финансовым потерям. В данной статье рассматриваются десять крупных инцидентов безопасности в области кроссчейн мостов, общая сумма средств которых превышает 1,9 миллиарда долларов, из которых около 1,55 миллиарда долларов были возвращены или возмещены. Эти события отражают безопасность, с которой сталкиваются кроссчейн мосты, и предоставляют ценнейший опыт и уроки для отрасли.
ChainSwap: ущерб от двух атак составил около 8,8 миллиона долларов
В июле 2021 года ChainSwap в короткие сроки подвергся двум хакерским атакам. Первая атака привела к убыткам около 800 тысяч долларов, вторая атака нанесла ущерб примерно в 8 миллионов долларов, затронув более 20 проектов, использующих ChainSwap для кросс-чейн.
Исследование показывает, что причиной атаки стало то, что протокол не строго проверял действительность подписи, что дало возможность злоумышленнику использовать сгенерированную им подпись для совершения транзакции. Учитывая, что убытки в основном касаются治理代币 проекта, несколько пострадавших проектов решили провести снимок и переиздать токены, чтобы компенсировать держателям токенов и поставщикам ликвидности.
Poly Network: 6.1 миллиарда долларов активов были украдены и полностью возвращены
10 августа 2021 года кросс-чейн протокол Poly Network подвергся масштабной атаке, в результате которой на Ethereum, Binance Smart Chain и Polygon было потеряно около 610 миллионов долларов активов.
Атакующий воспользовался уязвимостью в управлении правами контракта Poly Network, успешно заменив адрес валидатора целевой цепи на свой собственный адрес, тем самым контролируя перемещение активов. Несмотря на огромный масштаб атаки, хакер в конечном итоге вернул все средства. Poly Network назвал его "белым хакером" и пригласил занять должность главного консультанта по безопасности.
Multichain: Потери в 6 миллионов долларов из-за уязвимости почти полностью возмещены
В январе 2022 года Multichain обнаружил важную уязвимость, затрагивающую множество токенов. Хотя уязвимость была исправлена, активы некоторых пользователей все еще находятся под угрозой. Через месяц после этого отчет о расследовании показал, что всего было затронуто 7962 адреса пользователей, что привело к убыткам примерно в 604 тысячи долларов.
Безопасный анализ указывает, что проблема возникла из-за небрежности Multichain при проверке легитимности токенов, передаваемых пользователями. Официальные лица уже вернули почти 50% украденных средств и предложили возместить убытки пользователям, которые вовремя отменили свои полномочия.
QBridge: Атака на 80 миллионов долларов компенсировала лишь 2%
28 января 2022 года кроссчейн мост QBridge кредитного протокола Qubit подвергся атаке, в результате которой были потеряны около 80 миллионов долларов. Злоумышленник использовал уязвимость QBridge при обработке переводов токенов из белого списка, успешно создав на BSC большое количество токенов xETH и используя эти токены для заимствования других активов из Qubit.
В настоящее время использование Qubit значительно снизилось, согласно официальным данным, 98% украденных средств еще не были возмещены.
Meter.io: планирует компенсировать убытки в 4,4 миллиона долларов за счет будущих доходов
6 февраля 2022 года кроссчейн мост Meter Passport подвергся атаке, что привело к ущербу в 4,4 миллиона долларов. Официальные лица заявили, что проблема заключалась в "ошибочной предпосылке доверия" в расширенном исходном коде, что позволило злоумышленникам подделать переводы BNB и ETH.
Сначала Meter планировал компенсировать убытки с помощью токена MTRG, но после голосования сообщества было решено выпустить новый токен PASS для компенсации и пообещали выкупать PASS за счет будущих доходов. Однако на данный момент никаких выкупов не проводилось.
Ronin: Получение компенсации после кражи 620 миллионов долларов
В марте 2022 года блокчейн Ronin, стоящий за Axie Infinity, подвергся атаке, в результате которой было потеряно около 620 миллионов долларов. Расследование показало, что атака была вызвана сложной социальной инженерией, хакеры проникли в систему Ronin через поддельные вакансии и в конечном итоге захватили несколько узлов валидации.
Несмотря на то что похищенные средства не удалось вернуть, разработчик Sky Mavis завершил финансирование в размере 150 миллионов долларов с лидирующей ролью Binance для компенсации убытков пользователей. В конце июня мост Ronin был повторно запущен, пользователи могут получить компенсацию, но из-за падения цены ETH фактическая стоимость выплат уменьшилась.
Wormhole: убытки от уязвимости в 326 миллионов долларов были полностью компенсированы
3 февраля 2022 года кросс-чейн протокол Wormhole был атакован, потеряв около 120 000 ETH на сумму 326 миллионов долларов. Уязвимость была в коде проверки подписи основного контракта на стороне Solana, что позволило злоумышленнику подделать сообщение "опекун" для чеканки whETH.
После инцидента Jump Crypto быстро вложила 120000 ETH в Wormhole, компенсировав все убытки. Wormhole затем возобновила работу.
EvoDeFi: ожидаемые убытки более 10 миллионов долларов не были обработаны
В июне 2022 года USDT на DEX Oasis экосистемы ValleySwap сильно отклонился от курса, что привело к значительному оттоку средств. Проблема возникла из-за недостаточной ликвидности на исходной цепочке кроссчейн моста EVODeFi.
Несмотря на то, что конкретная сумма убытков неизвестна, предполагается, что она составляет более десяти миллионов долларов. Все заинтересованные стороны не предложили четкого решения по этому вопросу, и пользователи до сих пор не получили компенсацию за свои убытки.
Horizon: план компенсации убытков в размере почти 100 миллионов долларов все еще разрабатывается
24 июня 2022 года официальный кроссчейн мост Harmony Horizon был атакован, что привело к убыткам около 100 миллионов долларов. Расследование показало, что атака могла быть вызвана утечкой приватного ключа.
Harmony предлагал возместить пользователям через эмиссию токенов в течение 3 лет, но не получил поддержки от сообщества. В настоящее время команда проекта заявляет, что пересматривает план компенсации.
Nomad: 1,9 миллиарда долларов было украдено, часть средств может быть возвращена
2 августа 2022 года кроссчейн мост Nomad был атакован, в результате чего было украдено около 190 миллионов долларов. Анализ показывает, что проблема заключалась в ошибке инициализации во время обновления контракта, что позволило любому извлекать средства из моста.
Атака затронула 1251 ETH-адрес, из которых адреса ENS составляют 38% от общей суммы. В настоящее время проектная команда еще не представила четкий план компенсации, но уже некоторые белые хакеры выразили готовность вернуть средства.
Эти события подчеркивают высокие риски кроссчейн мостов, и любой кроссчейн мост может снова столкнуться с проблемами безопасности. В сравнении, проекты с хорошей репутацией и сильной финансовой мощью обычно имеют больше возможностей для возврата активов или выплат в случае возникновения инцидентов с безопасностью. Кроме того, реализация мониторинга в реальном времени и быстрая реакция команды также являются ключевыми для предотвращения атак.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
14 Лайков
Награда
14
4
Поделиться
комментарий
0/400
0xOverleveraged
· 08-03 15:16
Каждый день повторные тренировки, а всё равно попадаюсь, я в шоке.
Посмотреть ОригиналОтветить0
SchroedingerMiner
· 08-03 15:11
卷都卷到кроссчейн мост了 溜了溜了
Посмотреть ОригиналОтветить0
DancingCandles
· 08-03 14:57
Снова мост ликвидирован. Один день не быть украденным - это уже не успокаивает.
Посмотреть ОригиналОтветить0
GasWaster
· 08-03 14:54
Если даже замок🔒 не может удержать, то не стоит пытаться строить мост.
Обзор десяти основных инцидентов безопасности кроссчейн моста: уроки и выводы из потерь в 1,9 миллиарда долларов
Обзор десяти крупнейших инцидентов безопасности в истории кроссчейн моста
Кроссчейн мост, являющийся важной инфраструктурой, соединяющей различные блокчейн-сети, в последние годы часто подвергался атакам, что приводило к огромным финансовым потерям. В данной статье рассматриваются десять крупных инцидентов безопасности в области кроссчейн мостов, общая сумма средств которых превышает 1,9 миллиарда долларов, из которых около 1,55 миллиарда долларов были возвращены или возмещены. Эти события отражают безопасность, с которой сталкиваются кроссчейн мосты, и предоставляют ценнейший опыт и уроки для отрасли.
ChainSwap: ущерб от двух атак составил около 8,8 миллиона долларов
В июле 2021 года ChainSwap в короткие сроки подвергся двум хакерским атакам. Первая атака привела к убыткам около 800 тысяч долларов, вторая атака нанесла ущерб примерно в 8 миллионов долларов, затронув более 20 проектов, использующих ChainSwap для кросс-чейн.
Исследование показывает, что причиной атаки стало то, что протокол не строго проверял действительность подписи, что дало возможность злоумышленнику использовать сгенерированную им подпись для совершения транзакции. Учитывая, что убытки в основном касаются治理代币 проекта, несколько пострадавших проектов решили провести снимок и переиздать токены, чтобы компенсировать держателям токенов и поставщикам ликвидности.
Poly Network: 6.1 миллиарда долларов активов были украдены и полностью возвращены
10 августа 2021 года кросс-чейн протокол Poly Network подвергся масштабной атаке, в результате которой на Ethereum, Binance Smart Chain и Polygon было потеряно около 610 миллионов долларов активов.
Атакующий воспользовался уязвимостью в управлении правами контракта Poly Network, успешно заменив адрес валидатора целевой цепи на свой собственный адрес, тем самым контролируя перемещение активов. Несмотря на огромный масштаб атаки, хакер в конечном итоге вернул все средства. Poly Network назвал его "белым хакером" и пригласил занять должность главного консультанта по безопасности.
Multichain: Потери в 6 миллионов долларов из-за уязвимости почти полностью возмещены
В январе 2022 года Multichain обнаружил важную уязвимость, затрагивающую множество токенов. Хотя уязвимость была исправлена, активы некоторых пользователей все еще находятся под угрозой. Через месяц после этого отчет о расследовании показал, что всего было затронуто 7962 адреса пользователей, что привело к убыткам примерно в 604 тысячи долларов.
Безопасный анализ указывает, что проблема возникла из-за небрежности Multichain при проверке легитимности токенов, передаваемых пользователями. Официальные лица уже вернули почти 50% украденных средств и предложили возместить убытки пользователям, которые вовремя отменили свои полномочия.
QBridge: Атака на 80 миллионов долларов компенсировала лишь 2%
28 января 2022 года кроссчейн мост QBridge кредитного протокола Qubit подвергся атаке, в результате которой были потеряны около 80 миллионов долларов. Злоумышленник использовал уязвимость QBridge при обработке переводов токенов из белого списка, успешно создав на BSC большое количество токенов xETH и используя эти токены для заимствования других активов из Qubit.
В настоящее время использование Qubit значительно снизилось, согласно официальным данным, 98% украденных средств еще не были возмещены.
Meter.io: планирует компенсировать убытки в 4,4 миллиона долларов за счет будущих доходов
6 февраля 2022 года кроссчейн мост Meter Passport подвергся атаке, что привело к ущербу в 4,4 миллиона долларов. Официальные лица заявили, что проблема заключалась в "ошибочной предпосылке доверия" в расширенном исходном коде, что позволило злоумышленникам подделать переводы BNB и ETH.
Сначала Meter планировал компенсировать убытки с помощью токена MTRG, но после голосования сообщества было решено выпустить новый токен PASS для компенсации и пообещали выкупать PASS за счет будущих доходов. Однако на данный момент никаких выкупов не проводилось.
Ronin: Получение компенсации после кражи 620 миллионов долларов
В марте 2022 года блокчейн Ronin, стоящий за Axie Infinity, подвергся атаке, в результате которой было потеряно около 620 миллионов долларов. Расследование показало, что атака была вызвана сложной социальной инженерией, хакеры проникли в систему Ronin через поддельные вакансии и в конечном итоге захватили несколько узлов валидации.
Несмотря на то что похищенные средства не удалось вернуть, разработчик Sky Mavis завершил финансирование в размере 150 миллионов долларов с лидирующей ролью Binance для компенсации убытков пользователей. В конце июня мост Ronin был повторно запущен, пользователи могут получить компенсацию, но из-за падения цены ETH фактическая стоимость выплат уменьшилась.
Wormhole: убытки от уязвимости в 326 миллионов долларов были полностью компенсированы
3 февраля 2022 года кросс-чейн протокол Wormhole был атакован, потеряв около 120 000 ETH на сумму 326 миллионов долларов. Уязвимость была в коде проверки подписи основного контракта на стороне Solana, что позволило злоумышленнику подделать сообщение "опекун" для чеканки whETH.
После инцидента Jump Crypto быстро вложила 120000 ETH в Wormhole, компенсировав все убытки. Wormhole затем возобновила работу.
EvoDeFi: ожидаемые убытки более 10 миллионов долларов не были обработаны
В июне 2022 года USDT на DEX Oasis экосистемы ValleySwap сильно отклонился от курса, что привело к значительному оттоку средств. Проблема возникла из-за недостаточной ликвидности на исходной цепочке кроссчейн моста EVODeFi.
Несмотря на то, что конкретная сумма убытков неизвестна, предполагается, что она составляет более десяти миллионов долларов. Все заинтересованные стороны не предложили четкого решения по этому вопросу, и пользователи до сих пор не получили компенсацию за свои убытки.
Horizon: план компенсации убытков в размере почти 100 миллионов долларов все еще разрабатывается
24 июня 2022 года официальный кроссчейн мост Harmony Horizon был атакован, что привело к убыткам около 100 миллионов долларов. Расследование показало, что атака могла быть вызвана утечкой приватного ключа.
Harmony предлагал возместить пользователям через эмиссию токенов в течение 3 лет, но не получил поддержки от сообщества. В настоящее время команда проекта заявляет, что пересматривает план компенсации.
Nomad: 1,9 миллиарда долларов было украдено, часть средств может быть возвращена
2 августа 2022 года кроссчейн мост Nomad был атакован, в результате чего было украдено около 190 миллионов долларов. Анализ показывает, что проблема заключалась в ошибке инициализации во время обновления контракта, что позволило любому извлекать средства из моста.
Атака затронула 1251 ETH-адрес, из которых адреса ENS составляют 38% от общей суммы. В настоящее время проектная команда еще не представила четкий план компенсации, но уже некоторые белые хакеры выразили готовность вернуть средства.
Эти события подчеркивают высокие риски кроссчейн мостов, и любой кроссчейн мост может снова столкнуться с проблемами безопасности. В сравнении, проекты с хорошей репутацией и сильной финансовой мощью обычно имеют больше возможностей для возврата активов или выплат в случае возникновения инцидентов с безопасностью. Кроме того, реализация мониторинга в реальном времени и быстрая реакция команды также являются ключевыми для предотвращения атак.