Tổng quan mười sự kiện tấn công cầu nối Cross-chain: Thiệt hại hơn 1,9 tỷ USD, gần 80% số tiền đã được thu hồi hoặc bồi thường
Trong ngành công nghiệp blockchain, cầu nối Cross-chain được coi là cơ sở hạ tầng quan trọng kết nối các công chain khác nhau, và tính an toàn của nó luôn được chú ý. Trong những năm gần đây, nhiều sự kiện tấn công lớn đã phơi bày sự yếu kém của cầu nối Cross-chain. Bài viết này sẽ xem xét mười vụ tấn công cầu nối Cross-chain lớn, tổng kết thiệt hại lên tới 1,9 tỷ USD, trong đó khoảng 1,55 tỷ USD đã được thu hồi hoặc bồi thường.
ChainSwap: Hai cuộc tấn công dẫn đến thiệt hại 8 triệu đô la
Vào tháng 7 năm 2021, ChainSwap đã遭遇 hai cuộc tấn công chỉ trong 9 ngày. Cuộc tấn công đầu tiên gây thiệt hại khoảng 800.000 đô la Mỹ, cuộc tấn công thứ hai tăng lên 8 triệu đô la Mỹ, ảnh hưởng đến hơn 20 dự án sử dụng dịch vụ của họ.
Nguyên nhân tấn công là do giao thức không xác thực chặt chẽ tính hợp lệ của chữ ký, cho phép kẻ tấn công sử dụng chữ ký tự tạo. Như một biện pháp khắc phục, nhiều dự án bị ảnh hưởng như ChainSwap đã chọn thực hiện chụp ảnh và phát hành lại token.
Poly Network: 6,1 triệu USD bị đánh cắp đã được thu hồi hoàn toàn
Vào tháng 8 năm 2021, Poly Network đã gặp phải cuộc tấn công DeFi quy mô lớn nhất vào thời điểm đó, với tổn thất lên tới 610 triệu USD. Kẻ tấn công đã lợi dụng lỗ hổng quản lý quyền hợp đồng, thành công trong việc thay thế địa chỉ xác thực và chuyển giao tài sản.
Mặc dù phương pháp tấn công rất tinh vi, nhưng các hacker cuối cùng đã trả lại toàn bộ số tiền. Poly Network thậm chí đã mời bên đối diện đảm nhận vị trí cố vấn an ninh chính, biến khủng hoảng thành cơ hội.
Multichain:600万美元损失 đã được bồi thường toàn bộ
Vào tháng 1 năm 2022, Multichain phát hiện ra một lỗ hổng nghiêm trọng ảnh hưởng đến sáu loại token. Mặc dù đã được sửa chữa kịp thời, nhưng vẫn có gần 3000 địa chỉ chưa thu hồi quyền truy cập, dẫn đến việc khoảng 6 triệu đô la tài sản bị đánh cắp.
Qua điều tra, vấn đề nằm ở giai đoạn kiểm tra tính hợp pháp của Token mà người dùng nhập vào. Multichain đã thu hồi gần một nửa số tiền, và thông qua đề xuất, đã bồi thường cho những người dùng đã bị thu hồi quyền hạn.
QBridge: Mất 80 triệu USD chỉ bồi thường 2%
Vào cuối tháng 1 năm 2022, cầu nối Cross-chain QBridge của nền tảng cho vay Qubit đã bị tấn công, gây thiệt hại khoảng 80 triệu USD. Kẻ tấn công đã lợi dụng lỗ hổng không kiểm tra lại địa chỉ zero trong hợp đồng, đã tạo ra một lượng lớn token xETH trên BSC.
Hiện tại, tỷ lệ sử dụng Qubit rất thấp, 98% số tiền bị đánh cắp vẫn chưa được bồi thường, triển vọng của dự án đang đáng lo ngại.
Meter.io: Thiệt hại 4,4 triệu đô la, cam kết bồi thường bằng lợi nhuận trong tương lai
Vào tháng 2 năm 2022, cầu nối Cross-chain Meter Passport đã bị tấn công do "giả định tin cậy sai" trong mã, gây thiệt hại 4,4 triệu đô la. Kẻ tấn công đã thành công trong việc giả mạo giao dịch chuyển BNB và ETH.
Meter ban đầu đề xuất bồi thường bằng token gốc MTRG, sau đó đã chuyển sang phát hành token mới PASS và cam kết sẽ mua lại bằng lợi nhuận trong tương lai. Tuy nhiên, đến nay vẫn chưa thực hiện việc mua lại thực chất.
Ronin: 6.2 triệu USD tổn thất đã được bồi thường toàn bộ
Vào tháng 3 năm 2022, chuỗi Ronin của trò chơi Axie Infinity đã bị đánh cắp 620 triệu đô la Mỹ. Kẻ tấn công đã sử dụng các phương pháp kỹ thuật xã hội để có được quyền kiểm tra.
Mặc dù số tiền bị đánh cắp không thể thu hồi, nhưng nhà phát triển Sky Mavis đã nhanh chóng huy động 150 triệu USD để bồi thường. Tuy nhiên, do giá ETH giảm mạnh, giá trị bồi thường thực tế mà người dùng nhận được đã bị thu hẹp.
Wormhole: Bồi thường toàn bộ cho khoản lỗ 326 triệu USD
Tháng 2 năm 2022, Wormhole đã bị tấn công do lỗ hổng hợp đồng trên Solana, thiệt hại 120.000 ETH, trị giá khoảng 326 triệu USD. Kẻ tấn công đã lợi dụng lỗi xác thực chữ ký để giả mạo thông điệp và đúc whETH.
May mắn thay, Jump Crypto đã nhanh chóng đầu tư 120.000 ETH, bù đắp toàn bộ thiệt hại, giúp Wormhole có thể phục hồi hoạt động.
EvoDeFi: Ước tính tổn thất hàng triệu đô la chưa được xử lý
Tháng 6 năm 2022, cầu nối Cross-chain EvoDeFi thiếu thanh khoản đã dẫn đến việc các tài sản trên DEX Oasis ValleySwap bị mất giá nghiêm trọng. Số tiền thiệt hại cụ thể không rõ, nhưng ước tính ở mức hàng triệu đô la.
Các bên phản ứng lạnh nhạt với sự kiện này, Oasis vội vàng muốn tách mình ra khỏi mối liên hệ, trong khi ValleySwap và EvoDeFi dường như đã ngừng hoạt động, người dùng đến nay vẫn chưa nhận được bất kỳ khoản bồi thường nào.
Horizon: Thiệt hại gần 100 triệu USD, kế hoạch bồi thường vẫn đang được xây dựng.
Vào tháng 6 năm 2022, cầu nối Cross-chain chính thức Horizon của Harmony đã bị tấn công, gây thiệt hại khoảng 100 triệu USD. Sau đó xác nhận có thể do rò rỉ khóa riêng.
Harmony đã từng đề xuất bồi thường cho người dùng trong 3 năm thông qua việc phát hành thêm token, nhưng không nhận được sự ủng hộ từ cộng đồng. Hiện tại đang được xây dựng lại kế hoạch bồi thường.
Nomad: 1,9 triệu đô la Mỹ thiệt hại, một phần tài chính có khả năng được thu hồi
Tháng 8 năm 2022, Nomad đã bị đánh cắp 190 triệu đô la do lỗi nâng cấp hợp đồng. Kẻ tấn công đã tận dụng lỗ hổng của một gốc tin cậy được khởi tạo sai thành số không để dễ dàng rút tiền trong cầu nối.
Mặc dù nhóm dự án vẫn chưa đưa ra kế hoạch bồi thường rõ ràng, nhưng đã có một số hacker mũ trắng bày tỏ sẵn sàng hoàn trả tiền, mang lại cho người dùng hy vọng một tia sáng.
Tóm tắt
Cầu nối Cross-chain là lĩnh vực có rủi ro cao, ngay cả những dự án hàng đầu cũng khó có thể hoàn toàn tránh khỏi sự cố an ninh. Tuy nhiên, những đội ngũ mạnh mẽ thường có thể xử lý vấn đề hiệu quả hơn sau khủng hoảng, như các trường hợp của Poly Network, Ronin và Wormhole đã chỉ ra. Ngoài ra, việc theo dõi kịp thời và phản ứng nhanh chóng là rất quan trọng để ngăn chặn các cuộc tấn công, một số dự án như Hop Protocol và StarGate đã thành công trong việc ngăn chặn các cuộc tấn công tiềm tàng.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
8 thích
Phần thưởng
8
5
Chia sẻ
Bình luận
0/400
GateUser-c802f0e8
· 08-04 16:02
Lấy lại được nhiều tiền như vậy thật là tốt, chỉ trong vài tháng.
Xem bản gốcTrả lời0
TokenEconomist
· 08-04 16:01
thực ra vấn đề cốt lõi ở đây là một trường hợp điển hình của thất bại trong xác thực chữ ký... để tôi phân tích nó theo cách toán học p(hack) = f(validation_strictness)
Xem bản gốcTrả lời0
DegenGambler
· 08-04 15:59
Tên hacker này cũng có chút liêm sỉ, tiền đã được lấy lại.
Xem bản gốcTrả lời0
GasFeePhobia
· 08-04 15:53
Thật sự là quá lố, hai lần bị chơi đùa với mọi người cũng không nhớ.
Top 10 sự kiện tấn công cầu nối Cross-chain gây thiệt hại gần 2 tỷ USD, 80% số vốn đã được thu hồi hoặc bồi thường.
Tổng quan mười sự kiện tấn công cầu nối Cross-chain: Thiệt hại hơn 1,9 tỷ USD, gần 80% số tiền đã được thu hồi hoặc bồi thường
Trong ngành công nghiệp blockchain, cầu nối Cross-chain được coi là cơ sở hạ tầng quan trọng kết nối các công chain khác nhau, và tính an toàn của nó luôn được chú ý. Trong những năm gần đây, nhiều sự kiện tấn công lớn đã phơi bày sự yếu kém của cầu nối Cross-chain. Bài viết này sẽ xem xét mười vụ tấn công cầu nối Cross-chain lớn, tổng kết thiệt hại lên tới 1,9 tỷ USD, trong đó khoảng 1,55 tỷ USD đã được thu hồi hoặc bồi thường.
ChainSwap: Hai cuộc tấn công dẫn đến thiệt hại 8 triệu đô la
Vào tháng 7 năm 2021, ChainSwap đã遭遇 hai cuộc tấn công chỉ trong 9 ngày. Cuộc tấn công đầu tiên gây thiệt hại khoảng 800.000 đô la Mỹ, cuộc tấn công thứ hai tăng lên 8 triệu đô la Mỹ, ảnh hưởng đến hơn 20 dự án sử dụng dịch vụ của họ.
Nguyên nhân tấn công là do giao thức không xác thực chặt chẽ tính hợp lệ của chữ ký, cho phép kẻ tấn công sử dụng chữ ký tự tạo. Như một biện pháp khắc phục, nhiều dự án bị ảnh hưởng như ChainSwap đã chọn thực hiện chụp ảnh và phát hành lại token.
Poly Network: 6,1 triệu USD bị đánh cắp đã được thu hồi hoàn toàn
Vào tháng 8 năm 2021, Poly Network đã gặp phải cuộc tấn công DeFi quy mô lớn nhất vào thời điểm đó, với tổn thất lên tới 610 triệu USD. Kẻ tấn công đã lợi dụng lỗ hổng quản lý quyền hợp đồng, thành công trong việc thay thế địa chỉ xác thực và chuyển giao tài sản.
Mặc dù phương pháp tấn công rất tinh vi, nhưng các hacker cuối cùng đã trả lại toàn bộ số tiền. Poly Network thậm chí đã mời bên đối diện đảm nhận vị trí cố vấn an ninh chính, biến khủng hoảng thành cơ hội.
Multichain:600万美元损失 đã được bồi thường toàn bộ
Vào tháng 1 năm 2022, Multichain phát hiện ra một lỗ hổng nghiêm trọng ảnh hưởng đến sáu loại token. Mặc dù đã được sửa chữa kịp thời, nhưng vẫn có gần 3000 địa chỉ chưa thu hồi quyền truy cập, dẫn đến việc khoảng 6 triệu đô la tài sản bị đánh cắp.
Qua điều tra, vấn đề nằm ở giai đoạn kiểm tra tính hợp pháp của Token mà người dùng nhập vào. Multichain đã thu hồi gần một nửa số tiền, và thông qua đề xuất, đã bồi thường cho những người dùng đã bị thu hồi quyền hạn.
QBridge: Mất 80 triệu USD chỉ bồi thường 2%
Vào cuối tháng 1 năm 2022, cầu nối Cross-chain QBridge của nền tảng cho vay Qubit đã bị tấn công, gây thiệt hại khoảng 80 triệu USD. Kẻ tấn công đã lợi dụng lỗ hổng không kiểm tra lại địa chỉ zero trong hợp đồng, đã tạo ra một lượng lớn token xETH trên BSC.
Hiện tại, tỷ lệ sử dụng Qubit rất thấp, 98% số tiền bị đánh cắp vẫn chưa được bồi thường, triển vọng của dự án đang đáng lo ngại.
Meter.io: Thiệt hại 4,4 triệu đô la, cam kết bồi thường bằng lợi nhuận trong tương lai
Vào tháng 2 năm 2022, cầu nối Cross-chain Meter Passport đã bị tấn công do "giả định tin cậy sai" trong mã, gây thiệt hại 4,4 triệu đô la. Kẻ tấn công đã thành công trong việc giả mạo giao dịch chuyển BNB và ETH.
Meter ban đầu đề xuất bồi thường bằng token gốc MTRG, sau đó đã chuyển sang phát hành token mới PASS và cam kết sẽ mua lại bằng lợi nhuận trong tương lai. Tuy nhiên, đến nay vẫn chưa thực hiện việc mua lại thực chất.
Ronin: 6.2 triệu USD tổn thất đã được bồi thường toàn bộ
Vào tháng 3 năm 2022, chuỗi Ronin của trò chơi Axie Infinity đã bị đánh cắp 620 triệu đô la Mỹ. Kẻ tấn công đã sử dụng các phương pháp kỹ thuật xã hội để có được quyền kiểm tra.
Mặc dù số tiền bị đánh cắp không thể thu hồi, nhưng nhà phát triển Sky Mavis đã nhanh chóng huy động 150 triệu USD để bồi thường. Tuy nhiên, do giá ETH giảm mạnh, giá trị bồi thường thực tế mà người dùng nhận được đã bị thu hẹp.
Wormhole: Bồi thường toàn bộ cho khoản lỗ 326 triệu USD
Tháng 2 năm 2022, Wormhole đã bị tấn công do lỗ hổng hợp đồng trên Solana, thiệt hại 120.000 ETH, trị giá khoảng 326 triệu USD. Kẻ tấn công đã lợi dụng lỗi xác thực chữ ký để giả mạo thông điệp và đúc whETH.
May mắn thay, Jump Crypto đã nhanh chóng đầu tư 120.000 ETH, bù đắp toàn bộ thiệt hại, giúp Wormhole có thể phục hồi hoạt động.
EvoDeFi: Ước tính tổn thất hàng triệu đô la chưa được xử lý
Tháng 6 năm 2022, cầu nối Cross-chain EvoDeFi thiếu thanh khoản đã dẫn đến việc các tài sản trên DEX Oasis ValleySwap bị mất giá nghiêm trọng. Số tiền thiệt hại cụ thể không rõ, nhưng ước tính ở mức hàng triệu đô la.
Các bên phản ứng lạnh nhạt với sự kiện này, Oasis vội vàng muốn tách mình ra khỏi mối liên hệ, trong khi ValleySwap và EvoDeFi dường như đã ngừng hoạt động, người dùng đến nay vẫn chưa nhận được bất kỳ khoản bồi thường nào.
Horizon: Thiệt hại gần 100 triệu USD, kế hoạch bồi thường vẫn đang được xây dựng.
Vào tháng 6 năm 2022, cầu nối Cross-chain chính thức Horizon của Harmony đã bị tấn công, gây thiệt hại khoảng 100 triệu USD. Sau đó xác nhận có thể do rò rỉ khóa riêng.
Harmony đã từng đề xuất bồi thường cho người dùng trong 3 năm thông qua việc phát hành thêm token, nhưng không nhận được sự ủng hộ từ cộng đồng. Hiện tại đang được xây dựng lại kế hoạch bồi thường.
Nomad: 1,9 triệu đô la Mỹ thiệt hại, một phần tài chính có khả năng được thu hồi
Tháng 8 năm 2022, Nomad đã bị đánh cắp 190 triệu đô la do lỗi nâng cấp hợp đồng. Kẻ tấn công đã tận dụng lỗ hổng của một gốc tin cậy được khởi tạo sai thành số không để dễ dàng rút tiền trong cầu nối.
Mặc dù nhóm dự án vẫn chưa đưa ra kế hoạch bồi thường rõ ràng, nhưng đã có một số hacker mũ trắng bày tỏ sẵn sàng hoàn trả tiền, mang lại cho người dùng hy vọng một tia sáng.
Tóm tắt
Cầu nối Cross-chain là lĩnh vực có rủi ro cao, ngay cả những dự án hàng đầu cũng khó có thể hoàn toàn tránh khỏi sự cố an ninh. Tuy nhiên, những đội ngũ mạnh mẽ thường có thể xử lý vấn đề hiệu quả hơn sau khủng hoảng, như các trường hợp của Poly Network, Ronin và Wormhole đã chỉ ra. Ngoài ra, việc theo dõi kịp thời và phản ứng nhanh chóng là rất quan trọng để ngăn chặn các cuộc tấn công, một số dự án như Hop Protocol và StarGate đã thành công trong việc ngăn chặn các cuộc tấn công tiềm tàng.