Rétrospective des dix principaux incidents d'attaques sur les bridges cross-chain : pertes de plus de 1,9 milliard de dollars, près de 80 % des fonds ont été récupérés ou remboursés.
Dans l'industrie de la blockchain, les bridges cross-chain, en tant qu'infrastructure essentielle reliant différentes blockchains publiques, ont toujours été au cœur des préoccupations en matière de sécurité. Ces dernières années, plusieurs incidents d'attaques à grande échelle ont exposé la vulnérabilité des bridges cross-chain. Cet article passera en revue dix cas majeurs d'attaques de bridges cross-chain, résumant des pertes s'élevant à 1,9 milliard de dollars, dont environ 1,55 milliard de dollars ont été récupérés ou indemnisés.
ChainSwap : Deux attaques entraînent une perte de 8 millions de dollars
En juillet 2021, ChainSwap a subi deux attaques en seulement 9 jours. La première a entraîné une perte d'environ 800 000 dollars, et la seconde a porté la perte à 8 millions de dollars, affectant plus de 20 projets utilisant ses services.
La raison de l'attaque réside dans le fait que le protocole n'a pas vérifié strictement la validité des signatures, permettant aux attaquants d'utiliser des signatures générées par eux-mêmes. En tant que mesure corrective, plusieurs projets affectés, tels que ChainSwap, ont choisi de faire un instantané et de réémettre des jetons.
Poly Network : 6,1 milliards de dollars de fonds volés récupérés en totalité
En août 2021, Poly Network a subi la plus grande attaque DeFi jamais enregistrée, avec des pertes s'élevant à 610 millions de dollars. L'attaquant a exploité une vulnérabilité dans la gestion des droits de contrat pour remplacer avec succès l'adresse du validateur et transférer les actifs.
Bien que la méthode d'attaque soit sophistiquée, les hackers ont finalement restitué tous les fonds. Poly Network a même invité l'autre partie à devenir conseiller en sécurité principal, transformant la crise en opportunité.
Multichain : 6 millions de dollars de pertes ont été intégralement remboursés
En janvier 2022, Multichain a découvert une vulnérabilité majeure affectant six jetons. Bien qu'elle ait été corrigée à temps, près de 3000 adresses n'avaient toujours pas révoqué leurs autorisations, entraînant le vol d'environ 6 millions de dollars d'actifs.
Après enquête, le problème réside dans l'étape de vérification de la légitimité des tokens entrés par les utilisateurs. Multichain a récupéré près de la moitié des fonds et a proposé une compensation aux utilisateurs dont les autorisations ont été annulées.
QBridge : perte de 80 millions de dollars, seulement 2 % remboursés
À la fin janvier 2022, le pont cross-chain QBridge de la plateforme de prêt Qubit a été attaqué, entraînant une perte d'environ 80 millions de dollars. L'attaquant a exploité une vulnérabilité dans le contrat qui ne vérifiait pas à nouveau les adresses nulles, permettant ainsi de créer arbitrairement une grande quantité de jetons xETH sur la BSC.
Actuellement, le taux d'utilisation de Qubit est extrêmement faible, 98 % des fonds volés n'ont pas encore été remboursés, et l'avenir du projet est préoccupant.
Meter.io : perte de 4,4 millions de dollars, engagement à indemniser avec des revenus futurs
En février 2022, le pont cross-chain Meter Passport a été attaqué en raison d'une "hypothèse de confiance erronée" dans le code, entraînant une perte de 4,4 millions de dollars. L'attaquant a réussi à falsifier des transferts de BNB et d'ETH.
Meter a d'abord proposé de compenser avec le token natif MTRG, puis a changé pour émettre un nouveau token PASS et a promis de racheter avec les futurs revenus. Mais jusqu'à présent, aucun rachat substantiel n'a été effectué.
Ronin : 620 millions de dollars de pertes ont été entièrement remboursées
En mars 2022, la chaîne Ronin du jeu Axie Infinity a subi un vol massif de 620 millions de dollars. Les attaquants ont obtenu des droits de validation par des moyens d'ingénierie sociale.
Bien que les fonds volés n'aient pas pu être récupérés, le développeur Sky Mavis a rapidement levé 150 millions de dollars pour indemniser. Cependant, en raison de la forte baisse du prix de l'ETH, la valeur des compensations effectivement reçues par les utilisateurs a diminué.
Wormhole : 3,26 millions de dollars de pertes compensées intégralement
En février 2022, Wormhole a été attaqué en raison d'une vulnérabilité dans le contrat de Solana, entraînant une perte de 120 000 ETH, d'une valeur d'environ 326 millions de dollars. L'attaquant a exploité une erreur de vérification de signature pour falsifier des messages et frapper du whETH.
Heureusement, Jump Crypto a rapidement investi 120 000 ETH, compensant toutes les pertes et permettant à Wormhole de reprendre ses opérations.
EvoDeFi : pertes estimées à des millions de dollars non traitées
En juin 2022, le manque de liquidités du pont cross-chain EvoDeFi a entraîné un désancrage sévère des actifs sur le DEX ValleySwap de l'écosystème Oasis. Le montant exact des pertes n'est pas précisé, mais il est estimé à plusieurs millions de dollars.
Les parties ont réagi froidement à cet événement, Oasis est pressé de se dissocier, tandis que ValleySwap et EvoDeFi semblent avoir cessé leurs opérations, et les utilisateurs n'ont jusqu'à présent reçu aucune compensation pour leurs pertes.
Horizon : près de 100 millions de dollars de pertes, le plan d'indemnisation est toujours en cours d'élaboration
En juin 2022, le pont cross-chain Horizon de Harmony a été attaqué, entraînant une perte d'environ 100 millions de dollars. Il a ensuite été confirmé que cela pourrait être dû à une fuite de clé privée.
Harmony a proposé de compenser les utilisateurs en émettant des tokens supplémentaires sur une période de 3 ans, mais n'a pas reçu le soutien de la communauté. Un nouveau plan de compensation est en cours d'élaboration.
Nomad : 1,9 milliard de dollars de pertes, une partie des fonds pourrait être récupérée
En août 2022, Nomad a perdu 190 millions de dollars en raison d'une erreur de mise à niveau du contrat. Les attaquants ont exploité une vulnérabilité où la racine de confiance a été initialisée à zéro par erreur, permettant d'extraire facilement des fonds au sein du pont.
Bien que l'équipe du projet n'ait pas encore fourni de plan de remboursement clair, certains hackers éthiques ont déjà exprimé leur volonté de restituer des fonds, offrant un espoir aux utilisateurs.
Résumé
Les ponts cross-chain étant un domaine à haut risque, même les projets les plus importants ont du mal à éviter complètement les incidents de sécurité. Cependant, les équipes solides sont souvent capables de gérer les problèmes plus efficacement après une crise, comme le montrent les cas de Poly Network, Ronin et Wormhole. De plus, une surveillance en temps réel et une réponse rapide sont cruciales pour prévenir les attaques, certains projets comme Hop Protocol et StarGate ayant réussi à empêcher des attaques potentielles.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
8 J'aime
Récompense
8
5
Partager
Commentaire
0/400
GateUser-c802f0e8
· Il y a 23h
Récupérer autant d'argent en si peu de temps, c'est pas mal.
Voir l'originalRépondre0
TokenEconomist
· Il y a 23h
en fait, le problème central ici est un cas classique d'échec de validation de signature... laissez-moi le décomposer mathématiquement p(hack) = f(validation_strictness)
Voir l'originalRépondre0
DegenGambler
· Il y a 23h
Ce hacker a vraiment des principes, l'argent a été récupéré.
Voir l'originalRépondre0
GasFeePhobia
· Il y a 23h
C'est vraiment absurde. Même après avoir été pris pour un idiot une deuxième fois, on ne retient pas la leçon.
Les dix attaques des ponts cross-chain ont entraîné des pertes de près de 2 milliards de dollars, 80 % des fonds ayant été récupérés ou indemnisés.
Rétrospective des dix principaux incidents d'attaques sur les bridges cross-chain : pertes de plus de 1,9 milliard de dollars, près de 80 % des fonds ont été récupérés ou remboursés.
Dans l'industrie de la blockchain, les bridges cross-chain, en tant qu'infrastructure essentielle reliant différentes blockchains publiques, ont toujours été au cœur des préoccupations en matière de sécurité. Ces dernières années, plusieurs incidents d'attaques à grande échelle ont exposé la vulnérabilité des bridges cross-chain. Cet article passera en revue dix cas majeurs d'attaques de bridges cross-chain, résumant des pertes s'élevant à 1,9 milliard de dollars, dont environ 1,55 milliard de dollars ont été récupérés ou indemnisés.
ChainSwap : Deux attaques entraînent une perte de 8 millions de dollars
En juillet 2021, ChainSwap a subi deux attaques en seulement 9 jours. La première a entraîné une perte d'environ 800 000 dollars, et la seconde a porté la perte à 8 millions de dollars, affectant plus de 20 projets utilisant ses services.
La raison de l'attaque réside dans le fait que le protocole n'a pas vérifié strictement la validité des signatures, permettant aux attaquants d'utiliser des signatures générées par eux-mêmes. En tant que mesure corrective, plusieurs projets affectés, tels que ChainSwap, ont choisi de faire un instantané et de réémettre des jetons.
Poly Network : 6,1 milliards de dollars de fonds volés récupérés en totalité
En août 2021, Poly Network a subi la plus grande attaque DeFi jamais enregistrée, avec des pertes s'élevant à 610 millions de dollars. L'attaquant a exploité une vulnérabilité dans la gestion des droits de contrat pour remplacer avec succès l'adresse du validateur et transférer les actifs.
Bien que la méthode d'attaque soit sophistiquée, les hackers ont finalement restitué tous les fonds. Poly Network a même invité l'autre partie à devenir conseiller en sécurité principal, transformant la crise en opportunité.
Multichain : 6 millions de dollars de pertes ont été intégralement remboursés
En janvier 2022, Multichain a découvert une vulnérabilité majeure affectant six jetons. Bien qu'elle ait été corrigée à temps, près de 3000 adresses n'avaient toujours pas révoqué leurs autorisations, entraînant le vol d'environ 6 millions de dollars d'actifs.
Après enquête, le problème réside dans l'étape de vérification de la légitimité des tokens entrés par les utilisateurs. Multichain a récupéré près de la moitié des fonds et a proposé une compensation aux utilisateurs dont les autorisations ont été annulées.
QBridge : perte de 80 millions de dollars, seulement 2 % remboursés
À la fin janvier 2022, le pont cross-chain QBridge de la plateforme de prêt Qubit a été attaqué, entraînant une perte d'environ 80 millions de dollars. L'attaquant a exploité une vulnérabilité dans le contrat qui ne vérifiait pas à nouveau les adresses nulles, permettant ainsi de créer arbitrairement une grande quantité de jetons xETH sur la BSC.
Actuellement, le taux d'utilisation de Qubit est extrêmement faible, 98 % des fonds volés n'ont pas encore été remboursés, et l'avenir du projet est préoccupant.
Meter.io : perte de 4,4 millions de dollars, engagement à indemniser avec des revenus futurs
En février 2022, le pont cross-chain Meter Passport a été attaqué en raison d'une "hypothèse de confiance erronée" dans le code, entraînant une perte de 4,4 millions de dollars. L'attaquant a réussi à falsifier des transferts de BNB et d'ETH.
Meter a d'abord proposé de compenser avec le token natif MTRG, puis a changé pour émettre un nouveau token PASS et a promis de racheter avec les futurs revenus. Mais jusqu'à présent, aucun rachat substantiel n'a été effectué.
Ronin : 620 millions de dollars de pertes ont été entièrement remboursées
En mars 2022, la chaîne Ronin du jeu Axie Infinity a subi un vol massif de 620 millions de dollars. Les attaquants ont obtenu des droits de validation par des moyens d'ingénierie sociale.
Bien que les fonds volés n'aient pas pu être récupérés, le développeur Sky Mavis a rapidement levé 150 millions de dollars pour indemniser. Cependant, en raison de la forte baisse du prix de l'ETH, la valeur des compensations effectivement reçues par les utilisateurs a diminué.
Wormhole : 3,26 millions de dollars de pertes compensées intégralement
En février 2022, Wormhole a été attaqué en raison d'une vulnérabilité dans le contrat de Solana, entraînant une perte de 120 000 ETH, d'une valeur d'environ 326 millions de dollars. L'attaquant a exploité une erreur de vérification de signature pour falsifier des messages et frapper du whETH.
Heureusement, Jump Crypto a rapidement investi 120 000 ETH, compensant toutes les pertes et permettant à Wormhole de reprendre ses opérations.
EvoDeFi : pertes estimées à des millions de dollars non traitées
En juin 2022, le manque de liquidités du pont cross-chain EvoDeFi a entraîné un désancrage sévère des actifs sur le DEX ValleySwap de l'écosystème Oasis. Le montant exact des pertes n'est pas précisé, mais il est estimé à plusieurs millions de dollars.
Les parties ont réagi froidement à cet événement, Oasis est pressé de se dissocier, tandis que ValleySwap et EvoDeFi semblent avoir cessé leurs opérations, et les utilisateurs n'ont jusqu'à présent reçu aucune compensation pour leurs pertes.
Horizon : près de 100 millions de dollars de pertes, le plan d'indemnisation est toujours en cours d'élaboration
En juin 2022, le pont cross-chain Horizon de Harmony a été attaqué, entraînant une perte d'environ 100 millions de dollars. Il a ensuite été confirmé que cela pourrait être dû à une fuite de clé privée.
Harmony a proposé de compenser les utilisateurs en émettant des tokens supplémentaires sur une période de 3 ans, mais n'a pas reçu le soutien de la communauté. Un nouveau plan de compensation est en cours d'élaboration.
Nomad : 1,9 milliard de dollars de pertes, une partie des fonds pourrait être récupérée
En août 2022, Nomad a perdu 190 millions de dollars en raison d'une erreur de mise à niveau du contrat. Les attaquants ont exploité une vulnérabilité où la racine de confiance a été initialisée à zéro par erreur, permettant d'extraire facilement des fonds au sein du pont.
Bien que l'équipe du projet n'ait pas encore fourni de plan de remboursement clair, certains hackers éthiques ont déjà exprimé leur volonté de restituer des fonds, offrant un espoir aux utilisateurs.
Résumé
Les ponts cross-chain étant un domaine à haut risque, même les projets les plus importants ont du mal à éviter complètement les incidents de sécurité. Cependant, les équipes solides sont souvent capables de gérer les problèmes plus efficacement après une crise, comme le montrent les cas de Poly Network, Ronin et Wormhole. De plus, une surveillance en temps réel et une réponse rapide sont cruciales pour prévenir les attaques, certains projets comme Hop Protocol et StarGate ayant réussi à empêcher des attaques potentielles.