Огляд атак на кросчейн мости: 10 значних випадків на суму 1,9 мільярда доларів, 1,55 мільярда вже повернуто або компенсовано
З розвитком екосистеми блокчейну, кросчейн міст як важлива інфраструктура для з'єднання різних публічних блокчейнів, привертає велику увагу до своєї безпеки. В останні роки кілька атак на кросчейн мости призвели до величезних фінансових втрат, викликавши широкі обговорення в галузі. У цій статті буде розглянуто 10 випадків атак на кросчейн мости, які мали глибокий вплив, та підсумовано уроки і висновки з них.
ChainSwap: дві атаки завдали збитків на 8 мільйонів доларів
У липні 2021 року ChainSwap зазнав двох хакерських атак всього за 9 днів. Перша атака призвела до втрат приблизно в 800 000 доларів, друга ж сягнула 8 000 000 доларів, вплинувши на понад 20 проектів, які використовували ChainSwap для крос-ланцюга.
В результаті розслідування з'ясувалося, що зловмисники скористалися вразливістю протоколу у перевірці дійсності підписів, що дозволило їм використовувати власноруч згенеровані підписи для завершення транзакцій. Оскільки основні втрати стосуються токенів управління проекту, кілька постраждалих проектів вирішили провести знімок і повторно випустити токени для компенсації втрат тримачів та LP.
Poly Network: 6,1 мільярда доларів США було вкрадено, але повністю повернуто
10 серпня 2021 року Poly Network зазнав найбільшої в той час атаки DeFi. Хакери вкрали приблизно 610 мільйонів доларів активів на трьох мережах: Ethereum, Binance Smart Chain та Polygon.
Атака в основному використовувала вразливості логіки управління правами контракту Poly Network. Хакер успішно замінив Keeper цільового ланцюга на адресу, яку контролює, отримавши таким чином права на підписання переміщення активів.
Хоча хакери ретельно спланували атаку, вони врешті-решт вирішили повернути всі вкрадені кошти. Poly Network назвала їх "білими капелюшками" і запропонувала найняти їх на посаду головного консультанта з безпеки. Ця подія підкреслює величезні проблеми безпеки, з якими стикаються кросчейн мости.
Multichain:6000000 доларів США втрачених через вразливість вже відшкодовано
У січні 2022 року Multichain виявила важливу вразливість, що вплинула на кілька токенів. Хоча вразливість була виправлена, деякі користувачі зазнали збитків через несвоєчасне відкликання дозволів. За офіційним звітом, було порушено 7962 адреси користувачів, загалом було вкрадено активи на суму близько 604 тисячі доларів.
Команда безпеки проаналізувала ситуацію і вказала, що атака виникла через недбалість Multichain при перевірці легітимності токенів, що надходять від користувачів. Команда вже повернула майже 50% вкрадених коштів і запропонувала план виплат, але лише для користувачів, які відкликали свої дозволи в установлені терміни.
QBridge: збитки в 80 мільйонів доларів компенсовані лише на 2%
В кінці січня 2022 року кросчейн міст QBridge кредитного протоколу Qubit зазнав нападу, внаслідок чого було втрачено близько 80 мільйонів доларів. Зловмисники скористалися логічною вразливістю QBridge при обробці трансакцій токенів зі списку білих, успішно створивши велику кількість xETH токенів з повітря на BSC і використовуючи ці фальшиві токени для отримання інших активів від Qubit.
Наразі проект Qubit майже зупинився, 98% вкрадених коштів ще не були виплачені, що відображає реальність того, що деякі проекти важко відновити після серйозних інцидентів безпеки.
Meter.io: 440 мільйонів доларів США втрат, обіцяють відшкодувати з майбутнього доходу
У лютому 2022 року кросчейн міст Meter Passport зазнав атаки, що призвело до збитків у 4,4 мільйона доларів. Офіційні особи визнали, що проблема полягала в "помилковому довірчому припущенні" в базовому коді, що дозволило зловмисникам підробити перекази BNB та ETH.
Meter спочатку планував компенсувати збитки користувачів за допомогою токенів MTRG, але після голосування спільноти було вирішено випустити нові токени PASS як компенсацію, і було обіцяно викупити їх за рахунок майбутніх доходів. Однак до теперішнього часу не було проведено жодних суттєвих дій щодо викупу.
Ronin: вкрадено 620 мільйонів доларів, вже відшкодовано в повному обсязі
У березні 2022 року блокчейн Ronin, що стоїть за Axie Infinity, зазнав суттєвої крадіжки на суму 620 мільйонів доларів. Ця атака підкреслила небезпеку соціальної інженерії у кібербезпеці. Зловмисники через ретельно сплановану фальшиву вакансію успішно проникли в систему Sky Mavis, врешті-решт контролюючи більшість вузлів перевірки мережі Ronin.
Хоча вкрадені кошти не були повернуті, компанія Sky Mavis успішно забезпечила повну компенсацію користувачам завдяки додатковому фінансуванню в 150 мільйонів доларів. Ця подія також стала поштовхом для всебічного вдосконалення механізмів безпеки мережі Ronin.
Wormhole: втрата 326 мільйонів доларів, швидке відшкодування
У лютому 2022 року кросчейн протокол Wormhole зазнав хакерської атаки, внаслідок якої було втрачено близько 120 000 ETH на суму 326 мільйонів доларів. Зловмисники скористалися уразливістю перевірки підпису в контракті на стороні Solana, успішно випустивши велику кількість підроблених whETH.
Варто зазначити, що Jump Crypto швидко інвестувала 120 000 ETH, заповнивши фінансовий дефіцит Wormhole, що дозволило протоколу швидко відновити роботу. Цей крок продемонстрував важливість потужної фінансової підтримки у вирішенні криз.
EvoDeFi: десятки мільйонів доларів втрат не були оброблені
У червні 2022 року на DEX ValleySwap в екосистемі Oasis USDT серйозно втратив прив'язку, що призвело до очікуваних збитків в десятки мільйонів доларів. Проблема виникла через недостатню ліквідність на вихідному ланцюзі кросчейн моста EVODeFi.
На жаль, ця подія досі не була належним чином вирішена. Учасники швидко відмежувалися, а команда проекту фактично перебуває у стані втрати зв'язку, що призвело до втрат користувачів, які не можуть бути компенсовані. Це підкреслює відсутність відповідальності та здатності реагувати деяких проектів у випадку серйозних криз.
Horizon: майже 100 мільйонів доларів було вкрадено, схема компенсації ще обговорюється
У червні 2022 року офіційний кросчейн міст Harmony Horizon піддався атаці, внаслідок якої було втрачено близько 100 мільйонів доларів. Розслідування показало, що атака, ймовірно, була викликана витоком приватного ключа, що виявило потенційний ризик механізму багатопідпису.
Harmony раніше пропонував поступово компенсувати користувачів протягом 3 років шляхом випуску нових токенів, але не зміг отримати одностайну підтримку спільноти. Наразі новий план компенсації все ще розробляється, що відображає виклики в балансуванні інтересів усіх сторін і підтримці стабільності екосистеми.
Nomad: 1.9 мільярда доларів зникло, частину коштів можливо повернути
У серпні 2022 року кросчейн міст Nomad зазнав втрат у розмірі приблизно 190 мільйонів доларів через просту програмну помилку. Зловмисники скористалися помилкою в налаштуванні ключового параметра під час оновлення контракту, що дозволило їм здійснити атаку на витягнення коштів без жодних складних дій.
Ця подія стосується великої кількості адрес, серед яких є й білий капелюх хакери. Наразі частина коштів вже була обіцяна до повернення, але конкретний план компенсації ще не визначений. Це підкреслює важливість аудиту коду та управління оновленнями у DeFi проектах.
Підсумок та висновки
Оглядаючи ці напади на кросчейн мости, ми можемо зробити такі важливі висновки:
Кросчейн міст як об'єкт високої вартості завжди стикається з величезними загрозами безпеці. Навіть проекти з високим рейтингом ліквідності не застраховані від атак, тому користувачі повинні залишатися надзвичайно обережними під час використання.
Фон проекту та фінансова спроможність є критично важливими для обробки після інциденту. Сильні команди зазвичай можуть швидше повернути активи або здійснити компенсацію, як показують випадки Poly Network, Ronin та Wormhole.
Система моніторингу в реальному часі та механізм швидкого реагування є ключовими для запобігання атакам. Деякі проекти, такі як Hop Protocol і StarGate, успішно зупинили потенційні атаки завдяки своєчасному виявленню та обробці підозрілих дій.
Важливість аудиту коду, тестування безпеки та управлінні оновленнями не можна недооцінювати. Багато атак походять з простих помилок програмування або логічних вад, що підкреслює необхідність комплексних та строгих заходів безпеки.
Спільнота управління відіграє важливу роль у вирішенні криз. Прозорий та справедливий процес розробки компенсаційних схем сприяє підтримці довіри користувачів та довгостроковому розвитку проєкту.
З розвитком технології крос-ланцюгів безпека залишатиметься центральною темою в цій галузі. Проектні команди, розробники та користувачі повинні залишатися пильними, щоб спільно створити більш безпечну та надійну екосистему крос-ланцюгів.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
20 лайків
Нагородити
20
4
Поділіться
Прокоментувати
0/400
CryptoComedian
· 16год тому
Хакер: Дев'ять днів два напади, ця хвиля, мабуть, подвійне щастя.
Переглянути оригіналвідповісти на0
OvertimeSquid
· 08-03 14:53
Чому експлуатації вразливостей такі схожі? Змінюйте скрипт, копіюйте та вставляйте.
Переглянути оригіналвідповісти на0
FUD_Whisperer
· 08-03 14:52
Найбільша небезпека безпеки полягає в технічних людях.
10 випадків атак на кросчейн міст: Глибина аналізу уроків і підказок за втратами в 1,9 мільярда доларів
Огляд атак на кросчейн мости: 10 значних випадків на суму 1,9 мільярда доларів, 1,55 мільярда вже повернуто або компенсовано
З розвитком екосистеми блокчейну, кросчейн міст як важлива інфраструктура для з'єднання різних публічних блокчейнів, привертає велику увагу до своєї безпеки. В останні роки кілька атак на кросчейн мости призвели до величезних фінансових втрат, викликавши широкі обговорення в галузі. У цій статті буде розглянуто 10 випадків атак на кросчейн мости, які мали глибокий вплив, та підсумовано уроки і висновки з них.
ChainSwap: дві атаки завдали збитків на 8 мільйонів доларів
У липні 2021 року ChainSwap зазнав двох хакерських атак всього за 9 днів. Перша атака призвела до втрат приблизно в 800 000 доларів, друга ж сягнула 8 000 000 доларів, вплинувши на понад 20 проектів, які використовували ChainSwap для крос-ланцюга.
В результаті розслідування з'ясувалося, що зловмисники скористалися вразливістю протоколу у перевірці дійсності підписів, що дозволило їм використовувати власноруч згенеровані підписи для завершення транзакцій. Оскільки основні втрати стосуються токенів управління проекту, кілька постраждалих проектів вирішили провести знімок і повторно випустити токени для компенсації втрат тримачів та LP.
Poly Network: 6,1 мільярда доларів США було вкрадено, але повністю повернуто
10 серпня 2021 року Poly Network зазнав найбільшої в той час атаки DeFi. Хакери вкрали приблизно 610 мільйонів доларів активів на трьох мережах: Ethereum, Binance Smart Chain та Polygon.
Атака в основному використовувала вразливості логіки управління правами контракту Poly Network. Хакер успішно замінив Keeper цільового ланцюга на адресу, яку контролює, отримавши таким чином права на підписання переміщення активів.
Хоча хакери ретельно спланували атаку, вони врешті-решт вирішили повернути всі вкрадені кошти. Poly Network назвала їх "білими капелюшками" і запропонувала найняти їх на посаду головного консультанта з безпеки. Ця подія підкреслює величезні проблеми безпеки, з якими стикаються кросчейн мости.
Multichain:6000000 доларів США втрачених через вразливість вже відшкодовано
У січні 2022 року Multichain виявила важливу вразливість, що вплинула на кілька токенів. Хоча вразливість була виправлена, деякі користувачі зазнали збитків через несвоєчасне відкликання дозволів. За офіційним звітом, було порушено 7962 адреси користувачів, загалом було вкрадено активи на суму близько 604 тисячі доларів.
Команда безпеки проаналізувала ситуацію і вказала, що атака виникла через недбалість Multichain при перевірці легітимності токенів, що надходять від користувачів. Команда вже повернула майже 50% вкрадених коштів і запропонувала план виплат, але лише для користувачів, які відкликали свої дозволи в установлені терміни.
QBridge: збитки в 80 мільйонів доларів компенсовані лише на 2%
В кінці січня 2022 року кросчейн міст QBridge кредитного протоколу Qubit зазнав нападу, внаслідок чого було втрачено близько 80 мільйонів доларів. Зловмисники скористалися логічною вразливістю QBridge при обробці трансакцій токенів зі списку білих, успішно створивши велику кількість xETH токенів з повітря на BSC і використовуючи ці фальшиві токени для отримання інших активів від Qubit.
Наразі проект Qubit майже зупинився, 98% вкрадених коштів ще не були виплачені, що відображає реальність того, що деякі проекти важко відновити після серйозних інцидентів безпеки.
Meter.io: 440 мільйонів доларів США втрат, обіцяють відшкодувати з майбутнього доходу
У лютому 2022 року кросчейн міст Meter Passport зазнав атаки, що призвело до збитків у 4,4 мільйона доларів. Офіційні особи визнали, що проблема полягала в "помилковому довірчому припущенні" в базовому коді, що дозволило зловмисникам підробити перекази BNB та ETH.
Meter спочатку планував компенсувати збитки користувачів за допомогою токенів MTRG, але після голосування спільноти було вирішено випустити нові токени PASS як компенсацію, і було обіцяно викупити їх за рахунок майбутніх доходів. Однак до теперішнього часу не було проведено жодних суттєвих дій щодо викупу.
Ronin: вкрадено 620 мільйонів доларів, вже відшкодовано в повному обсязі
У березні 2022 року блокчейн Ronin, що стоїть за Axie Infinity, зазнав суттєвої крадіжки на суму 620 мільйонів доларів. Ця атака підкреслила небезпеку соціальної інженерії у кібербезпеці. Зловмисники через ретельно сплановану фальшиву вакансію успішно проникли в систему Sky Mavis, врешті-решт контролюючи більшість вузлів перевірки мережі Ronin.
Хоча вкрадені кошти не були повернуті, компанія Sky Mavis успішно забезпечила повну компенсацію користувачам завдяки додатковому фінансуванню в 150 мільйонів доларів. Ця подія також стала поштовхом для всебічного вдосконалення механізмів безпеки мережі Ronin.
Wormhole: втрата 326 мільйонів доларів, швидке відшкодування
У лютому 2022 року кросчейн протокол Wormhole зазнав хакерської атаки, внаслідок якої було втрачено близько 120 000 ETH на суму 326 мільйонів доларів. Зловмисники скористалися уразливістю перевірки підпису в контракті на стороні Solana, успішно випустивши велику кількість підроблених whETH.
Варто зазначити, що Jump Crypto швидко інвестувала 120 000 ETH, заповнивши фінансовий дефіцит Wormhole, що дозволило протоколу швидко відновити роботу. Цей крок продемонстрував важливість потужної фінансової підтримки у вирішенні криз.
EvoDeFi: десятки мільйонів доларів втрат не були оброблені
У червні 2022 року на DEX ValleySwap в екосистемі Oasis USDT серйозно втратив прив'язку, що призвело до очікуваних збитків в десятки мільйонів доларів. Проблема виникла через недостатню ліквідність на вихідному ланцюзі кросчейн моста EVODeFi.
На жаль, ця подія досі не була належним чином вирішена. Учасники швидко відмежувалися, а команда проекту фактично перебуває у стані втрати зв'язку, що призвело до втрат користувачів, які не можуть бути компенсовані. Це підкреслює відсутність відповідальності та здатності реагувати деяких проектів у випадку серйозних криз.
Horizon: майже 100 мільйонів доларів було вкрадено, схема компенсації ще обговорюється
У червні 2022 року офіційний кросчейн міст Harmony Horizon піддався атаці, внаслідок якої було втрачено близько 100 мільйонів доларів. Розслідування показало, що атака, ймовірно, була викликана витоком приватного ключа, що виявило потенційний ризик механізму багатопідпису.
Harmony раніше пропонував поступово компенсувати користувачів протягом 3 років шляхом випуску нових токенів, але не зміг отримати одностайну підтримку спільноти. Наразі новий план компенсації все ще розробляється, що відображає виклики в балансуванні інтересів усіх сторін і підтримці стабільності екосистеми.
Nomad: 1.9 мільярда доларів зникло, частину коштів можливо повернути
У серпні 2022 року кросчейн міст Nomad зазнав втрат у розмірі приблизно 190 мільйонів доларів через просту програмну помилку. Зловмисники скористалися помилкою в налаштуванні ключового параметра під час оновлення контракту, що дозволило їм здійснити атаку на витягнення коштів без жодних складних дій.
Ця подія стосується великої кількості адрес, серед яких є й білий капелюх хакери. Наразі частина коштів вже була обіцяна до повернення, але конкретний план компенсації ще не визначений. Це підкреслює важливість аудиту коду та управління оновленнями у DeFi проектах.
Підсумок та висновки
Оглядаючи ці напади на кросчейн мости, ми можемо зробити такі важливі висновки:
Кросчейн міст як об'єкт високої вартості завжди стикається з величезними загрозами безпеці. Навіть проекти з високим рейтингом ліквідності не застраховані від атак, тому користувачі повинні залишатися надзвичайно обережними під час використання.
Фон проекту та фінансова спроможність є критично важливими для обробки після інциденту. Сильні команди зазвичай можуть швидше повернути активи або здійснити компенсацію, як показують випадки Poly Network, Ronin та Wormhole.
Система моніторингу в реальному часі та механізм швидкого реагування є ключовими для запобігання атакам. Деякі проекти, такі як Hop Protocol і StarGate, успішно зупинили потенційні атаки завдяки своєчасному виявленню та обробці підозрілих дій.
Важливість аудиту коду, тестування безпеки та управлінні оновленнями не можна недооцінювати. Багато атак походять з простих помилок програмування або логічних вад, що підкреслює необхідність комплексних та строгих заходів безпеки.
Спільнота управління відіграє важливу роль у вирішенні криз. Прозорий та справедливий процес розробки компенсаційних схем сприяє підтримці довіри користувачів та довгостроковому розвитку проєкту.
З розвитком технології крос-ланцюгів безпека залишатиметься центральною темою в цій галузі. Проектні команди, розробники та користувачі повинні залишатися пильними, щоб спільно створити більш безпечну та надійну екосистему крос-ланцюгів.