As dez principais incidentes de ataque a pontes de cadeia cruzada resultaram em perdas de quase 2 mil milhões de dólares, 80% dos fundos já foram recuperados ou indemnizados.
Revisão dos dez principais ataques a pontes de cadeia cruzada: perdas superiores a 1,9 mil milhões de dólares, quase 80% dos fundos já recuperados ou compensados
Na indústria de blockchain, as pontes de cadeia cruzada são uma infraestrutura fundamental que conecta diferentes blockchains públicas, e sua segurança sempre foi uma grande preocupação. Nos últimos anos, vários eventos de ataques em larga escala expuseram a vulnerabilidade das pontes de cadeia cruzada. Este artigo irá rever dez casos significativos de ataques a pontes de cadeia cruzada, resumindo perdas que totalizam até 1.9 bilhões de dólares, dos quais cerca de 1.55 bilhões de dólares já foram recuperados ou compensados.
ChainSwap: duas ataques resultaram em perdas de 8 milhões de dólares
Em julho de 2021, o ChainSwap sofreu dois ataques em apenas 9 dias. A primeira perda foi de cerca de 800.000 dólares, e a segunda perda aumentou para 8.000.000 dólares, afetando mais de 20 projetos que utilizavam os seus serviços.
A razão do ataque deve-se ao fato de que o protocolo não verificou rigorosamente a validade das assinaturas, permitindo que o atacante utilizasse assinaturas geradas por ele. Como medida de remediação, vários projetos afetados, como a ChainSwap, optaram por realizar um snapshot e reemitir tokens.
Poly Network: 610 milhões de dólares em fundos roubados foram totalmente recuperados
Em agosto de 2021, a Poly Network sofreu o maior ataque DeFi da época, com perdas de até 610 milhões de dólares. O atacante explorou uma vulnerabilidade na gestão de permissões do contrato, conseguindo substituir o endereço do validor e transferir ativos.
Apesar da habilidade das táticas de ataque, os hackers acabaram por devolver todos os fundos. A Poly Network até convidou a outra parte para se tornar conselheiro-chefe de segurança, transformando a crise em oportunidade.
Multichain: 6 milhões de dólares de perdas foram totalmente compensadas
Em janeiro de 2022, a Multichain descobriu uma vulnerabilidade significativa que afetava seis tipos de tokens. Embora tenha sido corrigida a tempo, ainda havia cerca de 3000 endereços que não revogaram as autorizações, resultando no roubo de aproximadamente 6,04 milhões de dólares em ativos.
Após investigação, o problema estava na verificação da legalidade do Token inserido pelo usuário. A Multichain recuperou quase metade dos fundos e compensou os usuários que tiveram a autorização revogada através de uma proposta.
QBridge: perda de 80 milhões de dólares apenas compensada em 2%
No final de janeiro de 2022, a ponte de cadeia cruzada QBridge da plataforma de empréstimos Qubit foi atacada, resultando em uma perda de cerca de 80 milhões de dólares. O atacante explorou uma vulnerabilidade na qual o contrato não verificava novamente o endereço zero, criando assim uma grande quantidade de tokens xETH no BSC.
Atualmente, a taxa de utilização do Qubit é extremamente baixa, 98% dos fundos roubados ainda não foram compensados, e as perspectivas do projeto são preocupantes.
Meter.io: perda de 4,4 milhões de dólares, prometeu compensar com lucros futuros
Em fevereiro de 2022, a ponte de cadeia cruzada Meter Passport foi atacada devido a uma "suposição de confiança errada" no código, resultando em uma perda de 4,4 milhões de dólares. O atacante conseguiu falsificar transferências de BNB e ETH.
A Meter inicialmente propôs compensar com o token nativo MTRG, mas depois mudou para emitir um novo token PASS e prometeu recomprá-lo com os lucros futuros. No entanto, até agora não houve recompra substancial.
Ronin: A perda de 620 milhões de dólares foi totalmente compensada
Em março de 2022, a cadeia Ronin do jogo Axie Infinity sofreu um roubo massivo de fundos no valor de 620 milhões de dólares. Os atacantes obtiveram permissões de validador por meio de engenharia social.
Embora os fundos roubados não tenham sido recuperados, os desenvolvedores da Sky Mavis rapidamente levantaram 150 milhões de dólares para compensação. No entanto, devido à queda acentuada do preço do ETH, o valor da compensação que os usuários realmente receberam diminuiu.
Wormhole: 326 milhões de dólares em perdas obtêm compensação total
Em fevereiro de 2022, o Wormhole foi atacado devido a uma vulnerabilidade no contrato do lado da Solana, resultando na perda de 120.000 ETH, no valor de cerca de 326 milhões de dólares. O atacante utilizou um erro de verificação de assinatura para falsificar mensagens e cunhar whETH.
Felizmente, a Jump Crypto rapidamente investiu 120 mil ETH, compensando todas as perdas e permitindo que o Wormhole recomeçasse a operar.
EvoDeFi: prejuízo estimado na casa dos milhões de dólares não tratado
Em junho de 2022, a falta de liquidez da ponte de cadeia cruzada EvoDeFi causou um desvio severo de ativos no DEX ValleySwap do ecossistema Oasis. O valor específico da perda não é claro, mas estima-se que esteja na casa das dezenas de milhões de dólares.
As reações de todas as partes a este evento foram mornas, a Oasis está ansiosa para se distanciar da situação, enquanto a ValleySwap e a EvoDeFi parecem ter parado de operar, e os usuários até agora não receberam nenhuma compensação pelas perdas.
Horizon: perda de quase 100 milhões de dólares, plano de compensação ainda em elaboração
Em junho de 2022, a ponte de cadeia cruzada Horizon da Harmony sofreu um ataque, resultando em uma perda de cerca de 100 milhões de dólares. Posteriormente, foi confirmado que isso pode ter sido causado por um vazamento da chave privada.
A Harmony propôs anteriormente compensar os usuários através da emissão de novos tokens ao longo de 3 anos, mas não obteve o apoio da comunidade. Atualmente, está a rever o plano de compensação.
Nomad: Perda de 190 milhões de dólares, parte dos fundos pode ser recuperada
Em agosto de 2022, a Nomad perdeu 190 milhões de dólares devido a um erro na atualização do contrato. Os atacantes exploraram uma vulnerabilidade onde a raiz de confiança foi erroneamente inicializada como zero, permitindo a extração fácil de fundos da ponte.
Embora a equipe do projeto ainda não tenha apresentado um plano de compensação claro, alguns hackers éticos já expressaram a disposição de devolver os fundos, trazendo uma esperança para os usuários.
Resumo
As pontes de cadeia cruzada são um campo de alto risco, mesmo os projetos de topo têm dificuldade em evitar completamente acidentes de segurança. No entanto, equipas com grande capacidade frequentemente conseguem lidar com problemas de forma mais eficaz após uma crise, como demonstrado pelos casos da Poly Network, Ronin e Wormhole. Além disso, a monitorização oportuna e a resposta rápida são cruciais para prevenir ataques, e alguns projetos como o Hop Protocol e o StarGate conseguiram bloquear ataques potenciais com sucesso.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
8 Curtidas
Recompensa
8
5
Compartilhar
Comentário
0/400
GateUser-c802f0e8
· 23h atrás
Recuperar tanto dinheiro em tão pouco tempo é impressionante.
Ver originalResponder0
TokenEconomist
· 23h atrás
na verdade, a questão central aqui é um caso clássico de falha na validação de assinatura... deixe-me explicar matematicamente p(hack) = f(strictness_de_validação)
Ver originalResponder0
DegenGambler
· 23h atrás
Este hacker tem princípios, o dinheiro foi recuperado.
As dez principais incidentes de ataque a pontes de cadeia cruzada resultaram em perdas de quase 2 mil milhões de dólares, 80% dos fundos já foram recuperados ou indemnizados.
Revisão dos dez principais ataques a pontes de cadeia cruzada: perdas superiores a 1,9 mil milhões de dólares, quase 80% dos fundos já recuperados ou compensados
Na indústria de blockchain, as pontes de cadeia cruzada são uma infraestrutura fundamental que conecta diferentes blockchains públicas, e sua segurança sempre foi uma grande preocupação. Nos últimos anos, vários eventos de ataques em larga escala expuseram a vulnerabilidade das pontes de cadeia cruzada. Este artigo irá rever dez casos significativos de ataques a pontes de cadeia cruzada, resumindo perdas que totalizam até 1.9 bilhões de dólares, dos quais cerca de 1.55 bilhões de dólares já foram recuperados ou compensados.
ChainSwap: duas ataques resultaram em perdas de 8 milhões de dólares
Em julho de 2021, o ChainSwap sofreu dois ataques em apenas 9 dias. A primeira perda foi de cerca de 800.000 dólares, e a segunda perda aumentou para 8.000.000 dólares, afetando mais de 20 projetos que utilizavam os seus serviços.
A razão do ataque deve-se ao fato de que o protocolo não verificou rigorosamente a validade das assinaturas, permitindo que o atacante utilizasse assinaturas geradas por ele. Como medida de remediação, vários projetos afetados, como a ChainSwap, optaram por realizar um snapshot e reemitir tokens.
Poly Network: 610 milhões de dólares em fundos roubados foram totalmente recuperados
Em agosto de 2021, a Poly Network sofreu o maior ataque DeFi da época, com perdas de até 610 milhões de dólares. O atacante explorou uma vulnerabilidade na gestão de permissões do contrato, conseguindo substituir o endereço do validor e transferir ativos.
Apesar da habilidade das táticas de ataque, os hackers acabaram por devolver todos os fundos. A Poly Network até convidou a outra parte para se tornar conselheiro-chefe de segurança, transformando a crise em oportunidade.
Multichain: 6 milhões de dólares de perdas foram totalmente compensadas
Em janeiro de 2022, a Multichain descobriu uma vulnerabilidade significativa que afetava seis tipos de tokens. Embora tenha sido corrigida a tempo, ainda havia cerca de 3000 endereços que não revogaram as autorizações, resultando no roubo de aproximadamente 6,04 milhões de dólares em ativos.
Após investigação, o problema estava na verificação da legalidade do Token inserido pelo usuário. A Multichain recuperou quase metade dos fundos e compensou os usuários que tiveram a autorização revogada através de uma proposta.
QBridge: perda de 80 milhões de dólares apenas compensada em 2%
No final de janeiro de 2022, a ponte de cadeia cruzada QBridge da plataforma de empréstimos Qubit foi atacada, resultando em uma perda de cerca de 80 milhões de dólares. O atacante explorou uma vulnerabilidade na qual o contrato não verificava novamente o endereço zero, criando assim uma grande quantidade de tokens xETH no BSC.
Atualmente, a taxa de utilização do Qubit é extremamente baixa, 98% dos fundos roubados ainda não foram compensados, e as perspectivas do projeto são preocupantes.
Meter.io: perda de 4,4 milhões de dólares, prometeu compensar com lucros futuros
Em fevereiro de 2022, a ponte de cadeia cruzada Meter Passport foi atacada devido a uma "suposição de confiança errada" no código, resultando em uma perda de 4,4 milhões de dólares. O atacante conseguiu falsificar transferências de BNB e ETH.
A Meter inicialmente propôs compensar com o token nativo MTRG, mas depois mudou para emitir um novo token PASS e prometeu recomprá-lo com os lucros futuros. No entanto, até agora não houve recompra substancial.
Ronin: A perda de 620 milhões de dólares foi totalmente compensada
Em março de 2022, a cadeia Ronin do jogo Axie Infinity sofreu um roubo massivo de fundos no valor de 620 milhões de dólares. Os atacantes obtiveram permissões de validador por meio de engenharia social.
Embora os fundos roubados não tenham sido recuperados, os desenvolvedores da Sky Mavis rapidamente levantaram 150 milhões de dólares para compensação. No entanto, devido à queda acentuada do preço do ETH, o valor da compensação que os usuários realmente receberam diminuiu.
Wormhole: 326 milhões de dólares em perdas obtêm compensação total
Em fevereiro de 2022, o Wormhole foi atacado devido a uma vulnerabilidade no contrato do lado da Solana, resultando na perda de 120.000 ETH, no valor de cerca de 326 milhões de dólares. O atacante utilizou um erro de verificação de assinatura para falsificar mensagens e cunhar whETH.
Felizmente, a Jump Crypto rapidamente investiu 120 mil ETH, compensando todas as perdas e permitindo que o Wormhole recomeçasse a operar.
EvoDeFi: prejuízo estimado na casa dos milhões de dólares não tratado
Em junho de 2022, a falta de liquidez da ponte de cadeia cruzada EvoDeFi causou um desvio severo de ativos no DEX ValleySwap do ecossistema Oasis. O valor específico da perda não é claro, mas estima-se que esteja na casa das dezenas de milhões de dólares.
As reações de todas as partes a este evento foram mornas, a Oasis está ansiosa para se distanciar da situação, enquanto a ValleySwap e a EvoDeFi parecem ter parado de operar, e os usuários até agora não receberam nenhuma compensação pelas perdas.
Horizon: perda de quase 100 milhões de dólares, plano de compensação ainda em elaboração
Em junho de 2022, a ponte de cadeia cruzada Horizon da Harmony sofreu um ataque, resultando em uma perda de cerca de 100 milhões de dólares. Posteriormente, foi confirmado que isso pode ter sido causado por um vazamento da chave privada.
A Harmony propôs anteriormente compensar os usuários através da emissão de novos tokens ao longo de 3 anos, mas não obteve o apoio da comunidade. Atualmente, está a rever o plano de compensação.
Nomad: Perda de 190 milhões de dólares, parte dos fundos pode ser recuperada
Em agosto de 2022, a Nomad perdeu 190 milhões de dólares devido a um erro na atualização do contrato. Os atacantes exploraram uma vulnerabilidade onde a raiz de confiança foi erroneamente inicializada como zero, permitindo a extração fácil de fundos da ponte.
Embora a equipe do projeto ainda não tenha apresentado um plano de compensação claro, alguns hackers éticos já expressaram a disposição de devolver os fundos, trazendo uma esperança para os usuários.
Resumo
As pontes de cadeia cruzada são um campo de alto risco, mesmo os projetos de topo têm dificuldade em evitar completamente acidentes de segurança. No entanto, equipas com grande capacidade frequentemente conseguem lidar com problemas de forma mais eficaz após uma crise, como demonstrado pelos casos da Poly Network, Ronin e Wormhole. Além disso, a monitorização oportuna e a resposta rápida são cruciais para prevenir ataques, e alguns projetos como o Hop Protocol e o StarGate conseguiram bloquear ataques potenciais com sucesso.