Огляд десяти найбільших інцидентів безпеки в історії кросчейн мостів
Кросчейн міст як важлива інфраструктура, що з'єднує різні блокчейн-мережі, у останні роки часто піддавався атакам, що призвело до величезних фінансових втрат. У цій статті розглянуто десять значних інцидентів безпеки, що сталися в сфері кросчейн міст, загальна сума яких перевищує 1,9 мільярда доларів США, з яких близько 1,55 мільярда доларів було повернуто або компенсовано. Ці події відображають безпекові виклики, з якими стикаються кросчейн мости, а також надають цінний досвід та уроки для галузі.
ChainSwap: дві атаки призвели до збитків приблизно 8,8 мільйонів доларів США
У липні 2021 року ChainSwap зазнав двох хакерських атак за короткий проміжок часу. Перша атака спричинила збитки приблизно в 800 тисяч доларів, друга атака призвела до збитків близько 8 мільйонів доларів, що вплинуло на понад 20 проектів, які використовували ChainSwap для крос-ланцюга.
Дослідження показує, що причиною атаки стало те, що протокол не суворо перевіряв дійсність підписів, внаслідок чого зловмисники змогли використовувати самостійно згенеровані підписи для проведення транзакцій. У зв'язку з тим, що збитки в основному стосуються токенів управління проекту, кілька постраждалих проектів вирішили провести знімок і повторно випустити токени, щоб компенсувати тримачів токенів і постачальників ліквідності.
Poly Network: 6,1 мільярда доларів активів були вкрадені, але повністю повернені
10 серпня 2021 року крос-ланцюг протокол Poly Network зазнав масштабної атаки, внаслідок чого було втрачено приблизно 610 мільйонів доларів США активів на Ethereum, Binance Smart Chain та Polygon.
Зловмисник використав вразливість управління правами доступу контракту Poly Network, успішно замінивши адресу валідатора цільового ланцюга на свою адресу, таким чином контролюючи переміщення активів. Незважаючи на величезний масштаб атаки, хакер врешті-решт повернув усі кошти. Poly Network назвала його "білим капелюшком" і запросила на посаду головного безпекового консультанта.
Multichain: 6 мільйонів доларів США збитків через вразливість вже майже компенсовано
У січні 2022 року Multichain виявив важливу уразливість, що вплинула на кілька токенів. Хоча уразливість була виправлена, все ще існує ризик для активів користувачів. Звіт розслідування, що з'явився через місяць, показав, що всього було під загрозою 7962 адреси користувачів, що призвело до втрат приблизно в 604 тисячі доларів.
Аналіз безпеки вказує на те, що проблема полягає в недбалості Multichain під час перевірки законності токенів, які надходять від користувачів. Офіційні особи вже повернули майже 50% вкрадених коштів і запропонували компенсувати користувачів, які своєчасно відкликали свої дозволи.
QBridge:8000 мільйонів доларів атаки лише 2% компенсації
28 січня 2022 року кросчейн міст QBridge кредитного протоколу Qubit зазнав атаки, в результаті якої було втрачено близько 80 мільйонів доларів. Зловмисники скористалися вразливістю QBridge при обробці трансакцій токенів зі списку білих адрес, успішно емітуючи велику кількість токенів xETH на BSC та використовуючи ці токени для отримання інших активів з Qubit.
Наразі використання Qubit значно зменшилося, офіційні дані показують, що 98% вкрадених коштів досі не було компенсовано.
Meter.io: 440 мільйонів доларів США втрат буде компенсовано за рахунок майбутніх доходів
6 лютого 2022 року кросчейн міст Meter Passport зазнав атаки, що призвела до збитків у 4,4 мільйона доларів. Офіційні особи заявили, що проблема полягала в "помилковому довірчому допущенні" в розширеному вихідному коді, що дозволило зловмисникам підробити перекази BNB та ETH.
Meter спочатку планував компенсувати збитки за допомогою токена MTRG, але після голосування спільноти було вирішено випустити новий токен PASS для компенсації та пообіцяли викупити PASS за рахунок майбутніх доходів. Проте наразі ще не було проведено жодного викупу.
Ronin: отримано компенсацію після крадіжки 6,2 мільярда доларів
У березні 2022 року блокчейн Ronin, що стоїть за Axie Infinity, зазнав атаки, внаслідок якої було втрачено близько 620 мільйонів доларів. Розслідування показало, що атака походила з складної соціальної інженерії; хакери проникли в систему Ronin через фальшиві вакансії, врешті-решт контролюючи кілька валідаторів.
Хоча вкрадені кошти не вдалося повернути, але розробник Sky Mavis завершив фінансування на суму 150 мільйонів доларів під керівництвом Binance для компенсації збитків користувачів. Наприкінці червня кросчейн міст Ronin знову запрацював, користувачі можуть отримати компенсацію, але через падіння ціни ETH фактична вартість виплат зменшилася.
Wormhole: 3,26 млн доларів США втрачених через уразливість були компенсовані в повному обсязі
3 лютого 2022 року крос-ланцюг протокол Wormhole зазнав атаки, в результаті якої було втрачено близько 120 тисяч ETH, вартістю 3,26 мільярда доларів. Вразливість полягала в коді перевірки підписів основного контракту на стороні Solana, що дозволило зловмиснику підробити повідомлення "опікуна" для випуску whETH.
Після події Jump Crypto швидко влив 120 000 ETH у Wormhole, компенсуючи всі втрати. Wormhole потім відновив свою роботу.
EvoDeFi: очікувані збитки понад десять мільйонів доларів не були оброблені
У червні 2022 року USDT на екосистемному DEX ValleySwap Oasis сильно втратив прив'язку, що призвело до значних витоків капіталу. Проблема виникла через недостатню ліквідність кросчейн мосту EVODeFi на вихідному ланцюзі.
Хоча конкретна сума збитків невідома, але очікується, що вона становитиме понад десятки мільйонів доларів. Учасники події не надали чітких рішень по цьому питанню, користувачі досі не отримали компенсацію.
Horizon: план компенсації за збитки в розмірі майже 100 мільйонів доларів все ще розробляється
24 червня 2022 року офіційний кросчейн міст Harmony Horizon зазнав атаки, що призвела до втрат приблизно в 100 мільйонів доларів. Розслідування показало, що атака могла бути спричинена витоком приватного ключа.
Harmony раніше пропонував компенсувати користувачів шляхом емісії токенів протягом 3 років, але не отримав підтримки спільноти. Наразі команда проекту повідомила, що працює над новим планом компенсації.
Nomad: 1.9 мільярда доларів було вкрадено, частина коштів може бути повернена
2 серпня 2022 року кросчейн міст Nomad зазнав атаки, внаслідок якої було вкрадено близько 190 мільйонів доларів. Аналіз показав, що проблема полягала в помилці ініціалізації під час оновлення контракту, що дозволяло будь-кому витягувати кошти з моста.
Атака стосується 1251 ETH-адреси, з яких адреси ENS складають 38% від загальної суми. Наразі команда проекту ще не надала чіткий план компенсації, але вже частина білих хакерів висловила готовність повернути кошти.
Ці події підкреслюють високу ризиковість кросчейн міст, будь-який крос-ланцюг може знову зіткнутися з проблемами безпеки. Відносно кажучи, проекти з кращим фоном і сильним фінансовим потенціалом часто мають більше можливостей для повернення активів або компенсації під час вирішення інцидентів безпеки. Крім того, оперативний моніторинг команди та швидка реакція є ключовими для запобігання атакам.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
11 лайків
Нагородити
11
4
Поділіться
Прокоментувати
0/400
0xOverleveraged
· 9год тому
Щодня повторюю вправи, а все одно щось не так. Здається, я втомився.
Переглянути оригіналвідповісти на0
SchroedingerMiner
· 9год тому
卷都卷到кросчейн міст了 溜了溜了
Переглянути оригіналвідповісти на0
DancingCandles
· 9год тому
Знову міст зліквідовано, не спокійно, якщо день не вкрали.
Переглянути оригіналвідповісти на0
GasWaster
· 9год тому
Якщо навіть🔒 не може бути заблокованим, то не намагайтеся створити ніяких мостів.
Огляд десяти найважливіших подій безпеки кросчейн мостів: уроки та висновки втрачених 1,9 мільярда доларів
Огляд десяти найбільших інцидентів безпеки в історії кросчейн мостів
Кросчейн міст як важлива інфраструктура, що з'єднує різні блокчейн-мережі, у останні роки часто піддавався атакам, що призвело до величезних фінансових втрат. У цій статті розглянуто десять значних інцидентів безпеки, що сталися в сфері кросчейн міст, загальна сума яких перевищує 1,9 мільярда доларів США, з яких близько 1,55 мільярда доларів було повернуто або компенсовано. Ці події відображають безпекові виклики, з якими стикаються кросчейн мости, а також надають цінний досвід та уроки для галузі.
ChainSwap: дві атаки призвели до збитків приблизно 8,8 мільйонів доларів США
У липні 2021 року ChainSwap зазнав двох хакерських атак за короткий проміжок часу. Перша атака спричинила збитки приблизно в 800 тисяч доларів, друга атака призвела до збитків близько 8 мільйонів доларів, що вплинуло на понад 20 проектів, які використовували ChainSwap для крос-ланцюга.
Дослідження показує, що причиною атаки стало те, що протокол не суворо перевіряв дійсність підписів, внаслідок чого зловмисники змогли використовувати самостійно згенеровані підписи для проведення транзакцій. У зв'язку з тим, що збитки в основному стосуються токенів управління проекту, кілька постраждалих проектів вирішили провести знімок і повторно випустити токени, щоб компенсувати тримачів токенів і постачальників ліквідності.
Poly Network: 6,1 мільярда доларів активів були вкрадені, але повністю повернені
10 серпня 2021 року крос-ланцюг протокол Poly Network зазнав масштабної атаки, внаслідок чого було втрачено приблизно 610 мільйонів доларів США активів на Ethereum, Binance Smart Chain та Polygon.
Зловмисник використав вразливість управління правами доступу контракту Poly Network, успішно замінивши адресу валідатора цільового ланцюга на свою адресу, таким чином контролюючи переміщення активів. Незважаючи на величезний масштаб атаки, хакер врешті-решт повернув усі кошти. Poly Network назвала його "білим капелюшком" і запросила на посаду головного безпекового консультанта.
Multichain: 6 мільйонів доларів США збитків через вразливість вже майже компенсовано
У січні 2022 року Multichain виявив важливу уразливість, що вплинула на кілька токенів. Хоча уразливість була виправлена, все ще існує ризик для активів користувачів. Звіт розслідування, що з'явився через місяць, показав, що всього було під загрозою 7962 адреси користувачів, що призвело до втрат приблизно в 604 тисячі доларів.
Аналіз безпеки вказує на те, що проблема полягає в недбалості Multichain під час перевірки законності токенів, які надходять від користувачів. Офіційні особи вже повернули майже 50% вкрадених коштів і запропонували компенсувати користувачів, які своєчасно відкликали свої дозволи.
QBridge:8000 мільйонів доларів атаки лише 2% компенсації
28 січня 2022 року кросчейн міст QBridge кредитного протоколу Qubit зазнав атаки, в результаті якої було втрачено близько 80 мільйонів доларів. Зловмисники скористалися вразливістю QBridge при обробці трансакцій токенів зі списку білих адрес, успішно емітуючи велику кількість токенів xETH на BSC та використовуючи ці токени для отримання інших активів з Qubit.
Наразі використання Qubit значно зменшилося, офіційні дані показують, що 98% вкрадених коштів досі не було компенсовано.
Meter.io: 440 мільйонів доларів США втрат буде компенсовано за рахунок майбутніх доходів
6 лютого 2022 року кросчейн міст Meter Passport зазнав атаки, що призвела до збитків у 4,4 мільйона доларів. Офіційні особи заявили, що проблема полягала в "помилковому довірчому допущенні" в розширеному вихідному коді, що дозволило зловмисникам підробити перекази BNB та ETH.
Meter спочатку планував компенсувати збитки за допомогою токена MTRG, але після голосування спільноти було вирішено випустити новий токен PASS для компенсації та пообіцяли викупити PASS за рахунок майбутніх доходів. Проте наразі ще не було проведено жодного викупу.
Ronin: отримано компенсацію після крадіжки 6,2 мільярда доларів
У березні 2022 року блокчейн Ronin, що стоїть за Axie Infinity, зазнав атаки, внаслідок якої було втрачено близько 620 мільйонів доларів. Розслідування показало, що атака походила з складної соціальної інженерії; хакери проникли в систему Ronin через фальшиві вакансії, врешті-решт контролюючи кілька валідаторів.
Хоча вкрадені кошти не вдалося повернути, але розробник Sky Mavis завершив фінансування на суму 150 мільйонів доларів під керівництвом Binance для компенсації збитків користувачів. Наприкінці червня кросчейн міст Ronin знову запрацював, користувачі можуть отримати компенсацію, але через падіння ціни ETH фактична вартість виплат зменшилася.
Wormhole: 3,26 млн доларів США втрачених через уразливість були компенсовані в повному обсязі
3 лютого 2022 року крос-ланцюг протокол Wormhole зазнав атаки, в результаті якої було втрачено близько 120 тисяч ETH, вартістю 3,26 мільярда доларів. Вразливість полягала в коді перевірки підписів основного контракту на стороні Solana, що дозволило зловмиснику підробити повідомлення "опікуна" для випуску whETH.
Після події Jump Crypto швидко влив 120 000 ETH у Wormhole, компенсуючи всі втрати. Wormhole потім відновив свою роботу.
EvoDeFi: очікувані збитки понад десять мільйонів доларів не були оброблені
У червні 2022 року USDT на екосистемному DEX ValleySwap Oasis сильно втратив прив'язку, що призвело до значних витоків капіталу. Проблема виникла через недостатню ліквідність кросчейн мосту EVODeFi на вихідному ланцюзі.
Хоча конкретна сума збитків невідома, але очікується, що вона становитиме понад десятки мільйонів доларів. Учасники події не надали чітких рішень по цьому питанню, користувачі досі не отримали компенсацію.
Horizon: план компенсації за збитки в розмірі майже 100 мільйонів доларів все ще розробляється
24 червня 2022 року офіційний кросчейн міст Harmony Horizon зазнав атаки, що призвела до втрат приблизно в 100 мільйонів доларів. Розслідування показало, що атака могла бути спричинена витоком приватного ключа.
Harmony раніше пропонував компенсувати користувачів шляхом емісії токенів протягом 3 років, але не отримав підтримки спільноти. Наразі команда проекту повідомила, що працює над новим планом компенсації.
Nomad: 1.9 мільярда доларів було вкрадено, частина коштів може бути повернена
2 серпня 2022 року кросчейн міст Nomad зазнав атаки, внаслідок якої було вкрадено близько 190 мільйонів доларів. Аналіз показав, що проблема полягала в помилці ініціалізації під час оновлення контракту, що дозволяло будь-кому витягувати кошти з моста.
Атака стосується 1251 ETH-адреси, з яких адреси ENS складають 38% від загальної суми. Наразі команда проекту ще не надала чіткий план компенсації, але вже частина білих хакерів висловила готовність повернути кошти.
Ці події підкреслюють високу ризиковість кросчейн міст, будь-який крос-ланцюг може знову зіткнутися з проблемами безпеки. Відносно кажучи, проекти з кращим фоном і сильним фінансовим потенціалом часто мають більше можливостей для повернення активів або компенсації під час вирішення інцидентів безпеки. Крім того, оперативний моніторинг команди та швидка реакція є ключовими для запобігання атакам.