Tổng quan về mười sự kiện an ninh hàng đầu trong lịch sử cầu nối Cross-chain
Cầu nối Cross-chain đóng vai trò là cơ sở hạ tầng quan trọng kết nối các mạng blockchain khác nhau, trong những năm gần đây thường xuyên bị tấn công, gây ra thiệt hại tài chính khổng lồ. Bài viết này xem xét mười sự kiện an ninh lớn đã xảy ra trong lĩnh vực cầu nối Cross-chain, với tổng số tiền liên quan vượt quá 1,9 tỷ đô la, trong đó khoảng 1,55 tỷ đô la đã được thu hồi hoặc bồi thường. Những sự kiện này phản ánh những thách thức an ninh mà cầu nối Cross-chain phải đối mặt, đồng thời cung cấp những bài học kinh nghiệm quý báu cho ngành.
ChainSwap: Hai lần tấn công gây thiệt hại khoảng 880 triệu đô la Mỹ
Vào tháng 7 năm 2021, ChainSwap đã gặp phải hai cuộc tấn công hacker trong một thời gian ngắn. Cuộc tấn công đầu tiên gây thiệt hại khoảng 800.000 USD, cuộc tấn công thứ hai gây thiệt hại khoảng 8.000.000 USD, ảnh hưởng đến hơn 20 dự án sử dụng ChainSwap để thực hiện chuỗi cross.
Khảo sát cho thấy, nguyên nhân tấn công là do giao thức không xác minh chặt chẽ tính hợp lệ của chữ ký, cho phép kẻ tấn công sử dụng chữ ký tự tạo của mình để thực hiện giao dịch. Xét thấy tổn thất chủ yếu là token quản trị của dự án, nhiều dự án bị ảnh hưởng đã chọn thực hiện chụp ảnh và phát hành lại token để bù đắp cho những người nắm giữ và nhà cung cấp thanh khoản.
Poly Network: Toàn bộ 6.1 triệu đô la tài sản bị đánh cắp đã được thu hồi
Vào ngày 10 tháng 8 năm 2021, giao thức cầu nối Cross-chain Poly Network đã遭遇 một cuộc tấn công quy mô lớn, mất khoảng 610 triệu đô la tài sản trên Ethereum, chuỗi Binance Smart và Polygon.
Kẻ tấn công đã lợi dụng lỗ hổng trong quản lý quyền hợp đồng của Poly Network, thành công thay thế địa chỉ xác thực trên chuỗi mục tiêu bằng địa chỉ của chính mình, từ đó kiểm soát việc chuyển nhượng tài sản. Mặc dù quy mô tấn công rất lớn, nhưng hacker cuối cùng đã hoàn trả toàn bộ số tiền. Poly Network gọi đây là hacker "mũ trắng" và mời người này đảm nhận vị trí cố vấn an ninh chính.
Multichain:600万美元 lỗ hổng đã được bồi thường cơ bản
Vào tháng 1 năm 2022, Multichain phát hiện một lỗ hổng quan trọng ảnh hưởng đến nhiều loại token. Mặc dù lỗ hổng đã được sửa chữa, nhưng vẫn có tài sản của người dùng đối mặt với rủi ro. Báo cáo điều tra sau một tháng cho thấy, tổng cộng 7962 địa chỉ người dùng bị ảnh hưởng, gây thiệt hại khoảng 604 triệu USD.
Phân tích an ninh chỉ ra rằng, vấn đề nằm ở sự bất cẩn của Multichain khi kiểm tra tính hợp pháp của Token người dùng gửi đến. Chính thức đã thu hồi gần 50% số tiền bị đánh cắp và đề xuất bồi thường cho những người dùng đã kịp thời hủy quyền.
QBridge: 8000 triệu USD tấn công chỉ bồi thường 2%
Ngày 28 tháng 1 năm 2022, cầu nối Cross-chain QBridge của giao thức cho vay Qubit đã bị tấn công, thiệt hại khoảng 80 triệu USD. Kẻ tấn công đã lợi dụng lỗ hổng của QBridge trong việc xử lý chuyển khoản token trong danh sách trắng, thành công trong việc đúc một lượng lớn token xETH trên BSC và sử dụng những token này để vay các tài sản khác từ Qubit.
Hiện tại tỷ lệ sử dụng Qubit đã giảm mạnh, dữ liệu chính thức cho thấy 98% số tài sản bị đánh cắp vẫn chưa được bồi thường.
Meter.io: Dự kiến bù đắp khoản lỗ 4,4 triệu USD bằng lợi nhuận tương lai
Ngày 6 tháng 2 năm 2022, cầu nối Cross-chain Meter Passport đã bị tấn công, gây ra thiệt hại 4,4 triệu đô la. Chính thức cho biết vấn đề xuất phát từ "giả định tin cậy sai lầm" trong mã nguồn mở, cho phép kẻ tấn công giả mạo giao dịch BNB và ETH.
Meter ban đầu dự định sử dụng token MTRG để bồi thường thiệt hại, nhưng sau đó đã quyết định phát hành token mới PASS để thanh toán thông qua việc bỏ phiếu của cộng đồng, và hứa sẽ dùng lợi nhuận trong tương lai để mua lại PASS. Tuy nhiên, hiện tại vẫn chưa thực hiện bất kỳ việc mua lại nào.
Ronin: 6.2 triệu đô la Mỹ bị đánh cắp sau khi được bồi thường
Vào tháng 3 năm 2022, chuỗi Ronin đứng sau Axie Infinity đã bị tấn công, gây thiệt hại khoảng 620 triệu USD. Cuộc điều tra cho thấy, cuộc tấn công xuất phát từ một cuộc tấn công kỹ thuật xã hội phức tạp, tin tặc đã xâm nhập vào hệ thống Ronin thông qua việc tuyển dụng giả mạo, cuối cùng đã kiểm soát được nhiều nút xác thực.
Mặc dù số tiền bị đánh cắp không thể thu hồi, nhưng nhà phát triển Sky Mavis đã hoàn thành khoản đầu tư 150 triệu USD dưới sự dẫn dắt của Binance, để bồi thường cho những tổn thất của người dùng. Cuối tháng 6, cầu nối Ronin đã được khôi phục, người dùng có thể nhận bồi thường, nhưng do giá ETH giảm, giá trị bồi thường thực tế đã bị suy giảm.
Wormhole: 3,26 triệu đô la Mỹ lỗ hổng mất mát được bồi thường đầy đủ
Ngày 3 tháng 2 năm 2022, giao thức chuỗi cross Wormhole đã bị tấn công, thiệt hại khoảng 120.000 ETH, trị giá 3,26 triệu USD. Lỗ hổng nằm ở mã xác minh chữ ký của hợp đồng cốt lõi ở phía Solana, kẻ tấn công đã có thể giả mạo tin nhắn "người giám hộ" để đúc whETH.
Sau sự kiện, Jump Crypto đã nhanh chóng bơm vào Wormhole 120.000 ETH, bù đắp toàn bộ tổn thất. Wormhole sau đó đã khôi phục hoạt động.
EvoDeFi: dự kiến thiệt hại lên tới hàng triệu đô la chưa được xử lý
Tháng 6 năm 2022, USDT trên DEX ValleySwap của hệ sinh thái Oasis bị mất giá nghiêm trọng, dẫn đến việc rút tiền ồ ạt. Vấn đề xuất phát từ cầu nối Cross-chain EVODeFi mà nó sử dụng thiếu thanh khoản trên chuỗi nguồn.
Mặc dù số tiền tổn thất cụ thể chưa được biết, nhưng dự kiến ở mức hàng chục triệu đô la. Các bên liên quan đều chưa đưa ra giải pháp rõ ràng cho sự kiện này, và người dùng vẫn chưa nhận được bồi thường cho tổn thất của mình.
Horizon: Kế hoạch bồi thường thiệt hại gần 100 triệu đô la vẫn đang được xây dựng
Ngày 24 tháng 6 năm 2022, cầu nối Cross-chain Horizon chính thức của Harmony đã bị tấn công, gây thiệt hại khoảng 100 triệu USD. Cuộc điều tra cho thấy, cuộc tấn công có thể do rò rỉ khóa riêng gây ra.
Harmony đã đề xuất bồi thường cho người dùng trong vòng 3 năm bằng cách phát hành thêm token, nhưng không được cộng đồng ủng hộ. Hiện tại, nhóm dự án cho biết đang xây dựng lại kế hoạch bồi thường.
Nomad: 1,9 triệu USD bị đánh cắp, một phần tiền có thể sẽ được thu hồi
Ngày 2 tháng 8 năm 2022, cầu nối Cross-chain Nomad bị tấn công, khoảng 190 triệu USD tài sản bị đánh cắp. Phân tích cho thấy, vấn đề nằm ở lỗi khởi tạo trong một lần nâng cấp hợp đồng, dẫn đến việc bất kỳ ai cũng có thể rút tiền từ cầu.
Cuộc tấn công liên quan đến 1251 địa chỉ ETH, trong đó địa chỉ ENS chiếm 38% tổng số tiền. Hiện tại, nhóm dự án vẫn chưa đưa ra kế hoạch bồi thường rõ ràng, nhưng đã có một số hacker mũ trắng bày tỏ sẵn sàng hoàn trả lại tiền.
Những sự kiện này làm nổi bật tính rủi ro cao của cầu nối Cross-chain, bất kỳ cầu nối Cross-chain nào cũng có thể lại xuất hiện vấn đề an ninh. So với đó, các dự án có bối cảnh tốt hơn và tiềm lực tài chính mạnh mẽ thường có khả năng hơn trong việc phục hồi tài sản hoặc bồi thường khi xử lý các sự cố an ninh. Hơn nữa, việc giám sát thời gian thực và phản ứng nhanh chóng của đội ngũ cũng là chìa khóa để ngăn chặn các cuộc tấn công.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
11 thích
Phần thưởng
11
4
Chia sẻ
Bình luận
0/400
0xOverleveraged
· 8giờ trước
Ngày nào cũng luyện tập lặp đi lặp lại mà vẫn bị gây khó dễ, thật phục.
Xem bản gốcTrả lời0
SchroedingerMiner
· 8giờ trước
Cuốn đã cuốn đến cầu nối Cross-chain rồi. Chạy thôi!
Xem bản gốcTrả lời0
DancingCandles
· 8giờ trước
Lại có cầu đã thanh lý, một ngày không bị ăn trộm thì không yên tâm.
Xem bản gốcTrả lời0
GasWaster
· 8giờ trước
Nếu ngay cả 🔒 cũng không khóa được thì đừng có làm cầu nữa.
Nhìn lại mười sự kiện an ninh cầu nối Cross-chain: Bài học và gợi ý từ tổn thất 1,9 tỷ đô la
Tổng quan về mười sự kiện an ninh hàng đầu trong lịch sử cầu nối Cross-chain
Cầu nối Cross-chain đóng vai trò là cơ sở hạ tầng quan trọng kết nối các mạng blockchain khác nhau, trong những năm gần đây thường xuyên bị tấn công, gây ra thiệt hại tài chính khổng lồ. Bài viết này xem xét mười sự kiện an ninh lớn đã xảy ra trong lĩnh vực cầu nối Cross-chain, với tổng số tiền liên quan vượt quá 1,9 tỷ đô la, trong đó khoảng 1,55 tỷ đô la đã được thu hồi hoặc bồi thường. Những sự kiện này phản ánh những thách thức an ninh mà cầu nối Cross-chain phải đối mặt, đồng thời cung cấp những bài học kinh nghiệm quý báu cho ngành.
ChainSwap: Hai lần tấn công gây thiệt hại khoảng 880 triệu đô la Mỹ
Vào tháng 7 năm 2021, ChainSwap đã gặp phải hai cuộc tấn công hacker trong một thời gian ngắn. Cuộc tấn công đầu tiên gây thiệt hại khoảng 800.000 USD, cuộc tấn công thứ hai gây thiệt hại khoảng 8.000.000 USD, ảnh hưởng đến hơn 20 dự án sử dụng ChainSwap để thực hiện chuỗi cross.
Khảo sát cho thấy, nguyên nhân tấn công là do giao thức không xác minh chặt chẽ tính hợp lệ của chữ ký, cho phép kẻ tấn công sử dụng chữ ký tự tạo của mình để thực hiện giao dịch. Xét thấy tổn thất chủ yếu là token quản trị của dự án, nhiều dự án bị ảnh hưởng đã chọn thực hiện chụp ảnh và phát hành lại token để bù đắp cho những người nắm giữ và nhà cung cấp thanh khoản.
Poly Network: Toàn bộ 6.1 triệu đô la tài sản bị đánh cắp đã được thu hồi
Vào ngày 10 tháng 8 năm 2021, giao thức cầu nối Cross-chain Poly Network đã遭遇 một cuộc tấn công quy mô lớn, mất khoảng 610 triệu đô la tài sản trên Ethereum, chuỗi Binance Smart và Polygon.
Kẻ tấn công đã lợi dụng lỗ hổng trong quản lý quyền hợp đồng của Poly Network, thành công thay thế địa chỉ xác thực trên chuỗi mục tiêu bằng địa chỉ của chính mình, từ đó kiểm soát việc chuyển nhượng tài sản. Mặc dù quy mô tấn công rất lớn, nhưng hacker cuối cùng đã hoàn trả toàn bộ số tiền. Poly Network gọi đây là hacker "mũ trắng" và mời người này đảm nhận vị trí cố vấn an ninh chính.
Multichain:600万美元 lỗ hổng đã được bồi thường cơ bản
Vào tháng 1 năm 2022, Multichain phát hiện một lỗ hổng quan trọng ảnh hưởng đến nhiều loại token. Mặc dù lỗ hổng đã được sửa chữa, nhưng vẫn có tài sản của người dùng đối mặt với rủi ro. Báo cáo điều tra sau một tháng cho thấy, tổng cộng 7962 địa chỉ người dùng bị ảnh hưởng, gây thiệt hại khoảng 604 triệu USD.
Phân tích an ninh chỉ ra rằng, vấn đề nằm ở sự bất cẩn của Multichain khi kiểm tra tính hợp pháp của Token người dùng gửi đến. Chính thức đã thu hồi gần 50% số tiền bị đánh cắp và đề xuất bồi thường cho những người dùng đã kịp thời hủy quyền.
QBridge: 8000 triệu USD tấn công chỉ bồi thường 2%
Ngày 28 tháng 1 năm 2022, cầu nối Cross-chain QBridge của giao thức cho vay Qubit đã bị tấn công, thiệt hại khoảng 80 triệu USD. Kẻ tấn công đã lợi dụng lỗ hổng của QBridge trong việc xử lý chuyển khoản token trong danh sách trắng, thành công trong việc đúc một lượng lớn token xETH trên BSC và sử dụng những token này để vay các tài sản khác từ Qubit.
Hiện tại tỷ lệ sử dụng Qubit đã giảm mạnh, dữ liệu chính thức cho thấy 98% số tài sản bị đánh cắp vẫn chưa được bồi thường.
Meter.io: Dự kiến bù đắp khoản lỗ 4,4 triệu USD bằng lợi nhuận tương lai
Ngày 6 tháng 2 năm 2022, cầu nối Cross-chain Meter Passport đã bị tấn công, gây ra thiệt hại 4,4 triệu đô la. Chính thức cho biết vấn đề xuất phát từ "giả định tin cậy sai lầm" trong mã nguồn mở, cho phép kẻ tấn công giả mạo giao dịch BNB và ETH.
Meter ban đầu dự định sử dụng token MTRG để bồi thường thiệt hại, nhưng sau đó đã quyết định phát hành token mới PASS để thanh toán thông qua việc bỏ phiếu của cộng đồng, và hứa sẽ dùng lợi nhuận trong tương lai để mua lại PASS. Tuy nhiên, hiện tại vẫn chưa thực hiện bất kỳ việc mua lại nào.
Ronin: 6.2 triệu đô la Mỹ bị đánh cắp sau khi được bồi thường
Vào tháng 3 năm 2022, chuỗi Ronin đứng sau Axie Infinity đã bị tấn công, gây thiệt hại khoảng 620 triệu USD. Cuộc điều tra cho thấy, cuộc tấn công xuất phát từ một cuộc tấn công kỹ thuật xã hội phức tạp, tin tặc đã xâm nhập vào hệ thống Ronin thông qua việc tuyển dụng giả mạo, cuối cùng đã kiểm soát được nhiều nút xác thực.
Mặc dù số tiền bị đánh cắp không thể thu hồi, nhưng nhà phát triển Sky Mavis đã hoàn thành khoản đầu tư 150 triệu USD dưới sự dẫn dắt của Binance, để bồi thường cho những tổn thất của người dùng. Cuối tháng 6, cầu nối Ronin đã được khôi phục, người dùng có thể nhận bồi thường, nhưng do giá ETH giảm, giá trị bồi thường thực tế đã bị suy giảm.
Wormhole: 3,26 triệu đô la Mỹ lỗ hổng mất mát được bồi thường đầy đủ
Ngày 3 tháng 2 năm 2022, giao thức chuỗi cross Wormhole đã bị tấn công, thiệt hại khoảng 120.000 ETH, trị giá 3,26 triệu USD. Lỗ hổng nằm ở mã xác minh chữ ký của hợp đồng cốt lõi ở phía Solana, kẻ tấn công đã có thể giả mạo tin nhắn "người giám hộ" để đúc whETH.
Sau sự kiện, Jump Crypto đã nhanh chóng bơm vào Wormhole 120.000 ETH, bù đắp toàn bộ tổn thất. Wormhole sau đó đã khôi phục hoạt động.
EvoDeFi: dự kiến thiệt hại lên tới hàng triệu đô la chưa được xử lý
Tháng 6 năm 2022, USDT trên DEX ValleySwap của hệ sinh thái Oasis bị mất giá nghiêm trọng, dẫn đến việc rút tiền ồ ạt. Vấn đề xuất phát từ cầu nối Cross-chain EVODeFi mà nó sử dụng thiếu thanh khoản trên chuỗi nguồn.
Mặc dù số tiền tổn thất cụ thể chưa được biết, nhưng dự kiến ở mức hàng chục triệu đô la. Các bên liên quan đều chưa đưa ra giải pháp rõ ràng cho sự kiện này, và người dùng vẫn chưa nhận được bồi thường cho tổn thất của mình.
Horizon: Kế hoạch bồi thường thiệt hại gần 100 triệu đô la vẫn đang được xây dựng
Ngày 24 tháng 6 năm 2022, cầu nối Cross-chain Horizon chính thức của Harmony đã bị tấn công, gây thiệt hại khoảng 100 triệu USD. Cuộc điều tra cho thấy, cuộc tấn công có thể do rò rỉ khóa riêng gây ra.
Harmony đã đề xuất bồi thường cho người dùng trong vòng 3 năm bằng cách phát hành thêm token, nhưng không được cộng đồng ủng hộ. Hiện tại, nhóm dự án cho biết đang xây dựng lại kế hoạch bồi thường.
Nomad: 1,9 triệu USD bị đánh cắp, một phần tiền có thể sẽ được thu hồi
Ngày 2 tháng 8 năm 2022, cầu nối Cross-chain Nomad bị tấn công, khoảng 190 triệu USD tài sản bị đánh cắp. Phân tích cho thấy, vấn đề nằm ở lỗi khởi tạo trong một lần nâng cấp hợp đồng, dẫn đến việc bất kỳ ai cũng có thể rút tiền từ cầu.
Cuộc tấn công liên quan đến 1251 địa chỉ ETH, trong đó địa chỉ ENS chiếm 38% tổng số tiền. Hiện tại, nhóm dự án vẫn chưa đưa ra kế hoạch bồi thường rõ ràng, nhưng đã có một số hacker mũ trắng bày tỏ sẵn sàng hoàn trả lại tiền.
Những sự kiện này làm nổi bật tính rủi ro cao của cầu nối Cross-chain, bất kỳ cầu nối Cross-chain nào cũng có thể lại xuất hiện vấn đề an ninh. So với đó, các dự án có bối cảnh tốt hơn và tiềm lực tài chính mạnh mẽ thường có khả năng hơn trong việc phục hồi tài sản hoặc bồi thường khi xử lý các sự cố an ninh. Hơn nữa, việc giám sát thời gian thực và phản ứng nhanh chóng của đội ngũ cũng là chìa khóa để ngăn chặn các cuộc tấn công.