Обзор десяти атак на кроссчейн мосты: убытки свыше 1,9 миллиарда долларов, почти 80% средств уже возвращены или компенсированы
В индустрии блокчейна кроссчейн мосты являются важной инфраструктурой, соединяющей различные публичные цепочки, и их безопасность всегда была в центре внимания. В последние годы несколько крупных атак выявили уязвимости кроссчейн мостов. В данной статье будет рассмотрено десять серьезных случаев атак на кроссчейн мосты, общие убытки составили 1,9 миллиарда долларов, из которых около 1,55 миллиарда были возвращены или компенсированы.
ChainSwap: Два атаки привели к убыткам в 8 миллионов долларов
В июле 2021 года ChainSwap за короткий период в 9 дней подвергся двум атакам. Первая атака привела к ущербу около 800 тысяч долларов, во второй раз ущерб увеличился до 8 миллионов долларов, что затронуло более 20 проектов, использующих его услуги.
Причина атаки заключается в том, что протокол не строго проверял действительность подписи, что позволило злоумышленникам использовать собственноручно сгенерированные подписи. В качестве меры по устранению проблемы несколько пострадавших проектов, таких как ChainSwap, выбрали вариант сделать снимок и переиздать токены.
Poly Network: Все 610 миллионов долларов, похищенных средств, были возвращены
В августе 2021 года Poly Network подвергся крупнейшей на тот момент атаке DeFi, в результате которой были потеряны 610 миллионов долларов. Злоумышленник использовал уязвимость в управлении правами контракта, успешно заменив адреса валидаторов и переместив активы.
Несмотря на мастерство атакующих, хакеры в конечном итоге вернули все средства. Poly Network даже пригласила их занять должность главного консультанта по безопасности, превратив кризис в возможность.
Multichain: 6000000 долларов США убытков полностью возмещены
В январе 2022 года Multichain обнаружил серьезную уязвимость, затрагивающую шесть токенов. Несмотря на своевременное исправление, около 3000 адресов не отозвали свои разрешения, что привело к краже активов на сумму около 6040000 долларов.
По результатам расследования проблема возникла на этапе проверки законности введенного пользователем токена. Multichain вернул почти половину средств и предложил компенсировать пользователям, чьи полномочия были отозваны.
QBridge: убытки в 80 миллионов долларов компенсированы лишь на 2%
В конце января 2022 года кроссчейн мост QBridge платформы кредитования Qubit подвергся атаке, в результате которой был потерян около 80 миллионов долларов. Злоумышленник воспользовался уязвимостью в контракте, не проверяющем нулевой адрес, и на BSC произвольно создал большое количество токенов xETH.
В настоящее время использование Qubit крайне низкое, 98% украденных средств еще не были возвращены, перспективы проекта вызывают тревогу.
Meter.io: Убытки в 4,4 миллиона долларов, обещание компенсировать из будущих доходов
В феврале 2022 года кроссчейн мост Meter Passport был атакован из-за "ошибочного предположения о доверии" в коде, что привело к убыткам в 4,4 миллиона долларов. Злоумышленник успешно подделал переводы BNB и ETH.
Meter изначально предложил компенсацию с помощью родного токена MTRG, но затем изменил решение и выпустил новый токен PASS, пообещав выкупить его за счет будущих доходов. Однако до сих пор не было проведено значительного выкупа.
Ronin: Убытки в размере 620 миллионов долларов были полностью компенсированы
В марте 2022 года блокчейн Ronin игры Axie Infinity столкнулся с масштабным кражей средств на сумму 620 миллионов долларов. Злоумышленники получили права валидатора с помощью социальных инженерных методов.
Хотя украденные средства не были возвращены, разработчик Sky Mavis быстро собрал 150 миллионов долларов для компенсации. Однако из-за резкого падения цены ETH фактическая стоимость компенсации, полученной пользователями, значительно снизилась.
Wormhole: Полное возмещение убытков в 326 миллионов долларов
В феврале 2022 года Wormhole был атакован из-за уязвимости контракта на стороне Solana, в результате чего было потеряно 120000 ETH на сумму около 326 миллионов долларов. Атакующий воспользовался ошибкой в проверке подписи для подделки сообщения и создания whETH.
К счастью, Jump Crypto быстро вложила 120 000 ETH, что компенсировало все потери и позволило Wormhole восстановить свою работу.
EvoDeFi: оценка потерь в десятки миллионов долларов не была обработана
В июне 2022 года нехватка ликвидности кроссчейн моста EvoDeFi привела к серьезному отключению активов на экосистемной DEX Oasis ValleySwap. Конкретная сумма убытков не известна, но, по оценкам, составляет миллионы долларов.
Все стороны холодно отреагировали на это событие, Oasis стремится дистанцироваться, в то время как ValleySwap и EvoDeFi, похоже, прекратили свою деятельность, а пользователи до сих пор не получили никакой компенсации за свои потери.
Horizon: убытки почти в 100 миллионов долларов, план компенсации все еще разрабатывается
В июне 2022 года официальный кроссчейн мост Harmony Horizon подвергся атаке, в результате чего были потеряны около 100 миллионов долларов. Позже было подтверждено, что это могло быть вызвано утечкой приватного ключа.
Harmony ранее предлагал компенсировать пользователей путем эмиссии токенов в течение 3 лет, но не получил поддержки сообщества. В настоящее время разрабатывается новый план компенсации.
Nomad: ущерб в 190 миллионов долларов, часть средств может быть возвращена
В августе 2022 года Nomad потерял 190 миллионов долларов из-за ошибки обновления контракта. Злоумышленники использовали уязвимость, связанную с неверной инициализацией корня доверия, чтобы легко вывести средства из моста.
Хотя проектная команда еще не представила четкий план компенсации, некоторые белые хакеры уже выразили готовность вернуть средства, что дает пользователям надежду.
Резюме
Кроссчейн мост как высокорисковая область, даже ведущим проектам трудно полностью избежать аварий безопасности. Однако сильные команды часто могут более эффективно справляться с проблемами после кризиса, как показывают примеры Poly Network, Ronin и Wormhole. Кроме того, своевременный мониторинг и быстрая реакция имеют решающее значение для предотвращения атак, некоторые проекты, такие как Hop Protocol и StarGate, успешно предотвратили потенциальные атаки.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
8 Лайков
Награда
8
5
Поделиться
комментарий
0/400
GateUser-c802f0e8
· 08-04 16:02
Вернуть столько денег неплохо, всего за несколько месяцев.
Посмотреть ОригиналОтветить0
TokenEconomist
· 08-04 16:01
на самом деле основная проблема здесь - это классический случай ошибки проверки подписи... позвольте мне разобрать это математически p(hack) = f(validation_strictness)
Посмотреть ОригиналОтветить0
DegenGambler
· 08-04 15:59
Этот Хакер действительно порядочный, деньги вернули.
Кроссчейн мост十大 атак потерял почти 2 миллиарда долларов, 80% средств уже возвращены или компенсированы.
Обзор десяти атак на кроссчейн мосты: убытки свыше 1,9 миллиарда долларов, почти 80% средств уже возвращены или компенсированы
В индустрии блокчейна кроссчейн мосты являются важной инфраструктурой, соединяющей различные публичные цепочки, и их безопасность всегда была в центре внимания. В последние годы несколько крупных атак выявили уязвимости кроссчейн мостов. В данной статье будет рассмотрено десять серьезных случаев атак на кроссчейн мосты, общие убытки составили 1,9 миллиарда долларов, из которых около 1,55 миллиарда были возвращены или компенсированы.
ChainSwap: Два атаки привели к убыткам в 8 миллионов долларов
В июле 2021 года ChainSwap за короткий период в 9 дней подвергся двум атакам. Первая атака привела к ущербу около 800 тысяч долларов, во второй раз ущерб увеличился до 8 миллионов долларов, что затронуло более 20 проектов, использующих его услуги.
Причина атаки заключается в том, что протокол не строго проверял действительность подписи, что позволило злоумышленникам использовать собственноручно сгенерированные подписи. В качестве меры по устранению проблемы несколько пострадавших проектов, таких как ChainSwap, выбрали вариант сделать снимок и переиздать токены.
Poly Network: Все 610 миллионов долларов, похищенных средств, были возвращены
В августе 2021 года Poly Network подвергся крупнейшей на тот момент атаке DeFi, в результате которой были потеряны 610 миллионов долларов. Злоумышленник использовал уязвимость в управлении правами контракта, успешно заменив адреса валидаторов и переместив активы.
Несмотря на мастерство атакующих, хакеры в конечном итоге вернули все средства. Poly Network даже пригласила их занять должность главного консультанта по безопасности, превратив кризис в возможность.
Multichain: 6000000 долларов США убытков полностью возмещены
В январе 2022 года Multichain обнаружил серьезную уязвимость, затрагивающую шесть токенов. Несмотря на своевременное исправление, около 3000 адресов не отозвали свои разрешения, что привело к краже активов на сумму около 6040000 долларов.
По результатам расследования проблема возникла на этапе проверки законности введенного пользователем токена. Multichain вернул почти половину средств и предложил компенсировать пользователям, чьи полномочия были отозваны.
QBridge: убытки в 80 миллионов долларов компенсированы лишь на 2%
В конце января 2022 года кроссчейн мост QBridge платформы кредитования Qubit подвергся атаке, в результате которой был потерян около 80 миллионов долларов. Злоумышленник воспользовался уязвимостью в контракте, не проверяющем нулевой адрес, и на BSC произвольно создал большое количество токенов xETH.
В настоящее время использование Qubit крайне низкое, 98% украденных средств еще не были возвращены, перспективы проекта вызывают тревогу.
Meter.io: Убытки в 4,4 миллиона долларов, обещание компенсировать из будущих доходов
В феврале 2022 года кроссчейн мост Meter Passport был атакован из-за "ошибочного предположения о доверии" в коде, что привело к убыткам в 4,4 миллиона долларов. Злоумышленник успешно подделал переводы BNB и ETH.
Meter изначально предложил компенсацию с помощью родного токена MTRG, но затем изменил решение и выпустил новый токен PASS, пообещав выкупить его за счет будущих доходов. Однако до сих пор не было проведено значительного выкупа.
Ronin: Убытки в размере 620 миллионов долларов были полностью компенсированы
В марте 2022 года блокчейн Ronin игры Axie Infinity столкнулся с масштабным кражей средств на сумму 620 миллионов долларов. Злоумышленники получили права валидатора с помощью социальных инженерных методов.
Хотя украденные средства не были возвращены, разработчик Sky Mavis быстро собрал 150 миллионов долларов для компенсации. Однако из-за резкого падения цены ETH фактическая стоимость компенсации, полученной пользователями, значительно снизилась.
Wormhole: Полное возмещение убытков в 326 миллионов долларов
В феврале 2022 года Wormhole был атакован из-за уязвимости контракта на стороне Solana, в результате чего было потеряно 120000 ETH на сумму около 326 миллионов долларов. Атакующий воспользовался ошибкой в проверке подписи для подделки сообщения и создания whETH.
К счастью, Jump Crypto быстро вложила 120 000 ETH, что компенсировало все потери и позволило Wormhole восстановить свою работу.
EvoDeFi: оценка потерь в десятки миллионов долларов не была обработана
В июне 2022 года нехватка ликвидности кроссчейн моста EvoDeFi привела к серьезному отключению активов на экосистемной DEX Oasis ValleySwap. Конкретная сумма убытков не известна, но, по оценкам, составляет миллионы долларов.
Все стороны холодно отреагировали на это событие, Oasis стремится дистанцироваться, в то время как ValleySwap и EvoDeFi, похоже, прекратили свою деятельность, а пользователи до сих пор не получили никакой компенсации за свои потери.
Horizon: убытки почти в 100 миллионов долларов, план компенсации все еще разрабатывается
В июне 2022 года официальный кроссчейн мост Harmony Horizon подвергся атаке, в результате чего были потеряны около 100 миллионов долларов. Позже было подтверждено, что это могло быть вызвано утечкой приватного ключа.
Harmony ранее предлагал компенсировать пользователей путем эмиссии токенов в течение 3 лет, но не получил поддержки сообщества. В настоящее время разрабатывается новый план компенсации.
Nomad: ущерб в 190 миллионов долларов, часть средств может быть возвращена
В августе 2022 года Nomad потерял 190 миллионов долларов из-за ошибки обновления контракта. Злоумышленники использовали уязвимость, связанную с неверной инициализацией корня доверия, чтобы легко вывести средства из моста.
Хотя проектная команда еще не представила четкий план компенсации, некоторые белые хакеры уже выразили готовность вернуть средства, что дает пользователям надежду.
Резюме
Кроссчейн мост как высокорисковая область, даже ведущим проектам трудно полностью избежать аварий безопасности. Однако сильные команды часто могут более эффективно справляться с проблемами после кризиса, как показывают примеры Poly Network, Ronin и Wormhole. Кроме того, своевременный мониторинг и быстрая реакция имеют решающее значение для предотвращения атак, некоторые проекты, такие как Hop Protocol и StarGate, успешно предотвратили потенциальные атаки.