Огляд інцидентів безпеки кросчейн мостів: близько 2 мільярдів доларів США коштів під загрозою, частина вже повернена або компенсована
Останніми роками, з швидким розвитком екосистеми блокчейну, кросчейн міст як важлива інфраструктура для з'єднання різних публічних блокчейнів став популярною мішенню для хакерських атак через високу ліквідність коштів. У цій статті буде розглянуто недавні значні інциденти безпеки кросчейн мостів, проаналізовано їх причини та обговорено подальші дії.
ChainSwap: Дві атаки призвели до збитків приблизно в 8,8 мільйона доларів
У липні 2021 року ChainSwap зазнав двох хакерських атак всього за 9 днів. Перший раз втратили приблизно 800 тисяч доларів, а другий раз – близько 8 мільйонів доларів, що вплинуло на понад 20 проектів, які використовували його послуги. Причина атаки полягала в тому, що протокол не строго перевіряв дійсність підписів транзакцій. Оскільки основні втрати понесли токени управління, кілька постраждалих проектів вирішили зробити знімок і пере випустити токени для компенсації власникам.
Poly Network: 6,1 мільярда доларів США, вкрадених коштів, були повністю повернуті
У серпні 2021 року крос-ланцюг протокол Poly Network зазнав найбільшої на той час атаки DeFi, в якій були задіяні кошти на суму до 610 мільйонів доларів. Зловмисники скористалися вразливістю управління правами контракту, успішно замінивши адреси валідаторів і перемістивши активи. Проте, хакер врешті-решт вирішив повернути всі кошти, а Poly Network назвала його "білим капелюшником" і висловила готовність найняти його в якості консультанта з безпеки.
Multichain: втрати від вразливості на 6 мільйонів доларів, частково виплачено
У січні 2022 року Multichain виявив важливу уразливість, що вплинула на кілька токенів. Приблизно 7962 адреси користувачів постраждали, що спричинило збитки в 604 тисячі доларів США. Причина полягає в тому, що контракт мав дефект при перевірці законності переданих токенів користувачів. Команда Multichain повернула майже 50% вкрадених коштів і запропонувала план компенсації, але лише для користувачів, які відкликали авторизацію до зазначеної дати.
QBridge: втрата 80 мільйонів доларів, компенсація просувається повільно
В кінці січня 2022 року кросчейн міст QBridge протоколу позик Qubit зазнав атаки, внаслідок якої було втрачено близько 80 мільйонів доларів. Зловмисники скористалися вразливістю контракту, що не перевіряє повторну верифікацію нульової адреси, щоб безкоштовно створити велику кількість токенів на BSC та реалізувати їх. Наразі використання Qubit дуже низьке, 98% викрадених коштів досі не були компенсовані.
Meter.io: збитки в 4,4 мільйона доларів, планує компенсувати за рахунок майбутнього прибутку
У лютому 2022 року кросчейн міст Meter Passport був атакований через "помилкове довірче припущення" в коді, що призвело до збитків у розмірі 4,4 мільйона доларів. Спочатку проектна команда запропонувала компенсацію у вигляді токенів MTRG, але потім змінила на випуск нових токенів PASS та пообіцяла викупити їх за рахунок майбутніх доходів, але до теперішнього часу не було здійснено суттєвих виплат.
Ronin: вкрадено 620 мільйонів доларів, вже виплачено в повному обсязі
У березні 2022 року блокчейн Ronin, за яким стоїть Axie Infinity, зазнав величезної атаки на суму 620 мільйонів доларів. Зловмисники отримали контроль над кількома валідаційними вузлами за допомогою соціальної інженерії. Хоча вкрадені кошти не вдалося повернути, розробник Sky Mavis залучив 150 мільйонів доларів через фінансування для компенсації збитків користувачів.
Wormhole: 326 мільйонів доларів США уразливість, вже отримано компенсацію
У лютому 2022 року крос-ланцюг протокол Wormhole був атакований через помилку верифікації підпису контракту на стороні Solana, внаслідок чого було втрачено близько 326 мільйонів доларів. Jump Crypto швидко ввів еквівалентні кошти у Wormhole, щоб відновити його нормальну роботу.
EvoDeFi: оцінені збитки понад десять мільйонів доларів, не отримали вирішення
У червні 2022 року USDT на Oasis екосистемному DEX ValleySwap серйозно втратило прив'язку, причиною чого стала недостатня ліквідність кросчейн мосту EvoDeFi. Конкретна сума збитків невідома, але оцінюється в десятки мільйонів доларів. Наразі зацікавлені сторони не надали жодних рішень, а розробники схоже припинили свою діяльність.
Horizon: збитки майже 100 мільйонів доларів, план компенсації все ще розробляється
У червні 2022 року офіційний кросчейн міст Harmony Horizon зазнав атаки через витік приватного ключа, в результаті чого було втрачено близько 100 мільйонів доларів. Ініціатори проекту спочатку запропонували компенсувати збитки шляхом випуску нових токенів у кілька етапів, але це не знайшло підтримки в спільноті. Наразі розробляється новий план компенсації.
Nomad: вкрадено 190 мільйонів доларів, частину коштів можна повернути
У серпні 2022 року Nomad втратив 190 мільйонів доларів через помилку в оновленні контракту. Атака вплинула на 1251 адресу, з яких адреси ENS становили 38% від загальної суми. Деякі етичні хакери висловили готовність повернути кошти, але проект ще не надав чіткий план компенсації.
Підсумок
Кросчейн міст як високоризикова сфера, навіть провідні проекти не застраховані від безпекових інцидентів. В порівнянні, проекти з потужним бекграундом та достатнім фінансуванням зазвичай краще справляються з кризовими ситуаціями, здебільшого можуть повернути активи або компенсувати втрати. Крім того, ефективний моніторинг в реальному часі та швидка реакція є ключовими для запобігання та зменшення втрат від атак. Користувачам слід бути особливо обережними при виборі кросчейн мосту, перевагу слід надавати проектам з вищою безпекою та сильнішими можливостями реагування на ризики.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
11 лайків
Нагородити
11
7
Поділіться
Прокоментувати
0/400
LightningPacketLoss
· 3год тому
Так багато атак, страховий бізнес має заробити.
Переглянути оригіналвідповісти на0
MetaMuskRat
· 4год тому
Грати — грати, але не руйнувати міст!
Переглянути оригіналвідповісти на0
liquidation_watcher
· 5год тому
Вразливість безпеки ще не виправлена, а вже запущено?
Переглянути оригіналвідповісти на0
DaoGovernanceOfficer
· 5год тому
*с sigh* ще одна емпірична невдача базових протоколів перевірки підписів
Переглянути оригіналвідповісти на0
LeverageAddict
· 5год тому
іти в лонг одну ручку, просто роби!
Переглянути оригіналвідповісти на0
CryptoWageSlave
· 5год тому
Ці втрати грошей набагато серйозніші, ніж просто байдикування.
Кросчейн міст: 2 мільярди доларів США під атакою, частина проектів вже завершила повернення коштів та виплату компенсацій.
Огляд інцидентів безпеки кросчейн мостів: близько 2 мільярдів доларів США коштів під загрозою, частина вже повернена або компенсована
Останніми роками, з швидким розвитком екосистеми блокчейну, кросчейн міст як важлива інфраструктура для з'єднання різних публічних блокчейнів став популярною мішенню для хакерських атак через високу ліквідність коштів. У цій статті буде розглянуто недавні значні інциденти безпеки кросчейн мостів, проаналізовано їх причини та обговорено подальші дії.
ChainSwap: Дві атаки призвели до збитків приблизно в 8,8 мільйона доларів
У липні 2021 року ChainSwap зазнав двох хакерських атак всього за 9 днів. Перший раз втратили приблизно 800 тисяч доларів, а другий раз – близько 8 мільйонів доларів, що вплинуло на понад 20 проектів, які використовували його послуги. Причина атаки полягала в тому, що протокол не строго перевіряв дійсність підписів транзакцій. Оскільки основні втрати понесли токени управління, кілька постраждалих проектів вирішили зробити знімок і пере випустити токени для компенсації власникам.
Poly Network: 6,1 мільярда доларів США, вкрадених коштів, були повністю повернуті
У серпні 2021 року крос-ланцюг протокол Poly Network зазнав найбільшої на той час атаки DeFi, в якій були задіяні кошти на суму до 610 мільйонів доларів. Зловмисники скористалися вразливістю управління правами контракту, успішно замінивши адреси валідаторів і перемістивши активи. Проте, хакер врешті-решт вирішив повернути всі кошти, а Poly Network назвала його "білим капелюшником" і висловила готовність найняти його в якості консультанта з безпеки.
Multichain: втрати від вразливості на 6 мільйонів доларів, частково виплачено
У січні 2022 року Multichain виявив важливу уразливість, що вплинула на кілька токенів. Приблизно 7962 адреси користувачів постраждали, що спричинило збитки в 604 тисячі доларів США. Причина полягає в тому, що контракт мав дефект при перевірці законності переданих токенів користувачів. Команда Multichain повернула майже 50% вкрадених коштів і запропонувала план компенсації, але лише для користувачів, які відкликали авторизацію до зазначеної дати.
QBridge: втрата 80 мільйонів доларів, компенсація просувається повільно
В кінці січня 2022 року кросчейн міст QBridge протоколу позик Qubit зазнав атаки, внаслідок якої було втрачено близько 80 мільйонів доларів. Зловмисники скористалися вразливістю контракту, що не перевіряє повторну верифікацію нульової адреси, щоб безкоштовно створити велику кількість токенів на BSC та реалізувати їх. Наразі використання Qubit дуже низьке, 98% викрадених коштів досі не були компенсовані.
Meter.io: збитки в 4,4 мільйона доларів, планує компенсувати за рахунок майбутнього прибутку
У лютому 2022 року кросчейн міст Meter Passport був атакований через "помилкове довірче припущення" в коді, що призвело до збитків у розмірі 4,4 мільйона доларів. Спочатку проектна команда запропонувала компенсацію у вигляді токенів MTRG, але потім змінила на випуск нових токенів PASS та пообіцяла викупити їх за рахунок майбутніх доходів, але до теперішнього часу не було здійснено суттєвих виплат.
Ronin: вкрадено 620 мільйонів доларів, вже виплачено в повному обсязі
У березні 2022 року блокчейн Ronin, за яким стоїть Axie Infinity, зазнав величезної атаки на суму 620 мільйонів доларів. Зловмисники отримали контроль над кількома валідаційними вузлами за допомогою соціальної інженерії. Хоча вкрадені кошти не вдалося повернути, розробник Sky Mavis залучив 150 мільйонів доларів через фінансування для компенсації збитків користувачів.
Wormhole: 326 мільйонів доларів США уразливість, вже отримано компенсацію
У лютому 2022 року крос-ланцюг протокол Wormhole був атакований через помилку верифікації підпису контракту на стороні Solana, внаслідок чого було втрачено близько 326 мільйонів доларів. Jump Crypto швидко ввів еквівалентні кошти у Wormhole, щоб відновити його нормальну роботу.
EvoDeFi: оцінені збитки понад десять мільйонів доларів, не отримали вирішення
У червні 2022 року USDT на Oasis екосистемному DEX ValleySwap серйозно втратило прив'язку, причиною чого стала недостатня ліквідність кросчейн мосту EvoDeFi. Конкретна сума збитків невідома, але оцінюється в десятки мільйонів доларів. Наразі зацікавлені сторони не надали жодних рішень, а розробники схоже припинили свою діяльність.
Horizon: збитки майже 100 мільйонів доларів, план компенсації все ще розробляється
У червні 2022 року офіційний кросчейн міст Harmony Horizon зазнав атаки через витік приватного ключа, в результаті чого було втрачено близько 100 мільйонів доларів. Ініціатори проекту спочатку запропонували компенсувати збитки шляхом випуску нових токенів у кілька етапів, але це не знайшло підтримки в спільноті. Наразі розробляється новий план компенсації.
Nomad: вкрадено 190 мільйонів доларів, частину коштів можна повернути
У серпні 2022 року Nomad втратив 190 мільйонів доларів через помилку в оновленні контракту. Атака вплинула на 1251 адресу, з яких адреси ENS становили 38% від загальної суми. Деякі етичні хакери висловили готовність повернути кошти, але проект ще не надав чіткий план компенсації.
Підсумок
Кросчейн міст як високоризикова сфера, навіть провідні проекти не застраховані від безпекових інцидентів. В порівнянні, проекти з потужним бекграундом та достатнім фінансуванням зазвичай краще справляються з кризовими ситуаціями, здебільшого можуть повернути активи або компенсувати втрати. Крім того, ефективний моніторинг в реальному часі та швидка реакція є ключовими для запобігання та зменшення втрат від атак. Користувачам слід бути особливо обережними при виборі кросчейн мосту, перевагу слід надавати проектам з вищою безпекою та сильнішими можливостями реагування на ризики.