Revue des attaques de ponts cross-chain : près de 2 milliards de dollars de pertes, plus de 1,5 milliard de dollars de compensations obtenues
Ces dernières années, avec le développement rapide de l'écosystème blockchain, les bridges cross-chain sont devenus une infrastructure essentielle pour connecter différentes blockchains publiques. Cependant, en raison de leur stockage de grandes quantités de fonds et de l'exécution fréquente d'opérations cross-chain, les bridges cross-chain sont également devenus des cibles populaires pour les attaques de hackers. Cet article examinera les 10 principales attaques sur des bridges cross-chain survenues récemment, résumera leurs causes et impacts, ainsi que les mesures prises par les différents projets.
ChainSwap : Deux attaques ont causé près de 9 millions de dollars de pertes
En juillet 2021, ChainSwap a subi deux attaques de hackers en l'espace de neuf jours. La première attaque a entraîné une perte d'environ 800 000 dollars, tandis que la seconde a causé des pertes allant jusqu'à 8 millions de dollars, affectant plus de 20 projets utilisant ChainSwap pour des bridges cross-chain.
Une enquête montre que l'attaque provient de l'incapacité du protocole à vérifier rigoureusement la validité des signatures, ce qui permet aux attaquants d'utiliser des signatures générées par leurs soins pour exécuter des transactions. Étant donné que la perte principale concerne les jetons de gouvernance, ChainSwap et plusieurs projets affectés ont choisi de faire un snapshot et de réémettre des jetons pour compenser les pertes des détenteurs de jetons et des fournisseurs de liquidités.
Poly Network : 6,1 milliards de dollars volés remboursés intégralement
Le 10 août 2021, le protocole cross-chain Poly Network a subi la plus grande attaque DeFi à l'époque, entraînant une perte d'environ 610 millions de dollars d'actifs sur les trois réseaux Ethereum, Binance Smart Chain et Polygon.
L'attaquant a exploité une vulnérabilité dans la logique de gestion des droits des contrats de Poly Network, réussissant à remplacer l'adresse du validateur de la chaîne cible, ce qui lui a donné le droit de transférer des actifs. Bien que la méthode d'attaque soit habile, le hacker a finalement choisi de restituer tous les fonds, et Poly Network l'a également qualifié de "hacker white hat" et l'a invité à devenir conseiller en sécurité de l'entreprise.
Multichain : 6 millions de dollars de pertes, déjà partiellement remboursés
En janvier 2022, Multichain a découvert une vulnérabilité majeure affectant plusieurs jetons. Bien que la vulnérabilité ait été corrigée à temps, environ 6,04 millions de dollars de WETH et d'AVAX ont été volés.
Le problème réside dans le fait que Multichain n'a pas correctement vérifié la légitimité des tokens fournis par les utilisateurs, ce qui a conduit à ce que certains utilisateurs perdent leur WETH transféré vers une adresse malveillante construite par l'attaquant. L'équipe de Multichain a réussi à récupérer près de 50 % des fonds volés et a proposé un plan d'indemnisation, mais cela ne concerne que les utilisateurs ayant révoqué leur autorisation avant une date spécifiée.
QBridge : 80 millions de dollars de pertes, seulement quelques remboursements
Fin janvier 2022, le pont cross-chain QBridge de la plateforme de prêt Qubit a subi une attaque, entraînant une perte d'environ 80 millions de dollars. L'attaquant a exploité une vulnérabilité dans le traitement des transferts de jetons sur la liste blanche de QBridge, réussissant à créer en masse des jetons xETH sur la BSC et à emprunter d'autres actifs à partir de Qubit avec ces jetons.
Actuellement, le taux d'utilisation de Qubit a considérablement diminué, les données officielles montrent qu'il reste 98 % des fonds volés qui n'ont pas été indemnisés.
Meter.io : perte de 4,4 millions de dollars, engagement à indemniser les bénéfices futurs
En février 2022, le pont cross-chain Meter Passport a été attaqué, entraînant une perte de 4,4 millions de dollars. L'attaque provenait d'une "hypothèse de confiance erronée" survenue lors de l'expansion du code source original de Meter, permettant aux hackers de falsifier des transferts de BNB et d'ETH.
L'équipe de Meter avait initialement prévu d'indemniser les utilisateurs avec le jeton MTRG, mais a ensuite décidé d'émettre un nouveau jeton PASS en guise de compensation, promettant de racheter ces jetons avec les bénéfices futurs. Cependant, aucune opération de rachat n'a encore été effectuée jusqu'à présent.
Ronin : 620 millions de dollars volés, remboursement intégral effectué
En mars 2022, la chaîne Ronin derrière Axie Infinity a subi une attaque majeure, entraînant des pertes allant jusqu'à 620 millions de dollars. Cette attaque a impliqué des techniques d'ingénierie sociale complexes, les attaquants se faisant passer pour une société de recrutement, réussissant à infiltrer le réseau Ronin et à prendre le contrôle de plusieurs nœuds de validation.
Bien que les fonds volés n'aient pas pu être récupérés, la société Sky Mavis, derrière Ronin, a rapidement levé 150 millions de dollars pour indemniser les utilisateurs. Il convient de noter qu'en raison de la forte baisse du prix de l'ETH pendant la période de l'attaque jusqu'à l'indemnisation, la valeur réelle de l'indemnisation reçue par les utilisateurs est inférieure à la valeur des actifs au moment du vol.
Wormhole : 326 millions de dollars de pertes, compensation intégrale obtenue
Début février 2022, le protocole cross-chain Wormhole a subi une attaque, entraînant une perte d'environ 120 000 ETH, d'une valeur de 326 millions de dollars. L'attaquant a exploité une vulnérabilité de vérification de signature dans le contrat central Wormhole côté Solana, réussissant à falsifier des messages "gardiens" pour frapper une grande quantité de whETH.
Heureusement, Jump Crypto, qui se cache derrière Wormhole, a rapidement injecté 120 000 ETH, compensant complètement les pertes, permettant à Wormhole de reprendre ses opérations rapidement.
EvoDeFi : pertes estimées à plusieurs millions de dollars, non résolues
En juin 2022, le DEX ValleySwap dans l'écosystème Oasis a connu un grave désancrage de l'USDT, entraînant des pertes importantes pour de nombreux utilisateurs. Le problème provient du manque de liquidité sur la chaîne source du pont cross-chain EVODeFi utilisé par ValleySwap.
Bien que le montant exact des pertes soit inconnu, il est estimé dans la fourchette de plusieurs millions de dollars. Malheureusement, les parties concernées tentent toutes de se décharger de leurs responsabilités, et les pertes des utilisateurs n'ont jusqu'à présent reçu aucune compensation ni solution.
Horizon : pertes de près de 100 millions de dollars, le plan d'indemnisation est encore en cours d'élaboration
En juin 2022, le pont cross-chain officiel de la blockchain Harmony, Horizon, a été attaqué, entraînant une perte d'environ 100 millions de dollars. L'enquête a révélé que l'attaque pourrait avoir été causée par la fuite de clés privées.
L'équipe de Harmony avait proposé de compenser progressivement les pertes des utilisateurs par l'émission supplémentaire de tokens ONE sur une période de 3 ans, mais cette proposition n'a pas reçu le soutien de la communauté. Actuellement, un nouveau plan de compensation est en cours d'élaboration.
Nomad : 1,9 milliard de dollars volés, une partie des fonds pourrait être récupérée
En août 2022, le protocole cross-chain Nomad a subi un grave incident de sécurité, entraînant la perte de 190 millions de dollars de fonds. L'attaque est survenue en raison d'une grave erreur lors d'une mise à niveau de contrat, permettant à quiconque de retirer des fonds du bridges cross-chain.
Cet incident implique de nombreuses adresses, y compris des utilisateurs de noms de domaine ENS. Bien que les autorités n'aient pas encore proposé de plan de compensation clair, certains hackers éthiques ont déjà exprimé leur volonté de restituer les fonds, apportant ainsi de l'espoir pour une résolution finale.
Résumé
En examinant ces événements majeurs d'attaques de bridges cross-chain, nous pouvons voir :
Les ponts cross-chain restent un domaine à haut risque dans l'écosystème DeFi, même les projets connus ne peuvent échapper aux attaques.
Les raisons des attaques sont variées, notamment les vulnérabilités des contrats, les problèmes de gestion des permissions, les attaques par ingénierie sociale, etc. Les équipes de projet doivent renforcer la protection de la sécurité de manière globale.
Le contexte du projet et la solidité financière sont essentiels pour le traitement postérieur. Les projets solides peuvent souvent lever rapidement des fonds pour indemniser, tandis que les petits projets peuvent avoir du mal à survivre.
La surveillance en temps réel et la réponse rapide peuvent réduire efficacement les pertes. Certains projets ont réussi à éviter des attaques à grande échelle en détectant et en traitant rapidement des activités suspectes.
Les utilisateurs doivent être prudents lorsqu'ils choisissent des bridges cross-chain, en privilégiant les projets solides et bien établis, tout en veillant à suivre les avertissements de sécurité et les mises à jour des projets en temps opportun.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
23 J'aime
Récompense
23
5
Partager
Commentaire
0/400
Degentleman
· 07-30 14:17
C'est bon, c'est bon, encore un contrat qui a été percé.
Voir l'originalRépondre0
StakeHouseDirector
· 07-29 23:32
Prendre les gens pour des idiots quotidiennement
Voir l'originalRépondre0
ThesisInvestor
· 07-28 14:59
Après toutes ces années, il y a encore ce genre de problème.
Les pertes dues à l'attaque du pont cross-chain s'élèvent à près de 2 milliards de dollars, dont 1,5 milliard a déjà été compensé.
Revue des attaques de ponts cross-chain : près de 2 milliards de dollars de pertes, plus de 1,5 milliard de dollars de compensations obtenues
Ces dernières années, avec le développement rapide de l'écosystème blockchain, les bridges cross-chain sont devenus une infrastructure essentielle pour connecter différentes blockchains publiques. Cependant, en raison de leur stockage de grandes quantités de fonds et de l'exécution fréquente d'opérations cross-chain, les bridges cross-chain sont également devenus des cibles populaires pour les attaques de hackers. Cet article examinera les 10 principales attaques sur des bridges cross-chain survenues récemment, résumera leurs causes et impacts, ainsi que les mesures prises par les différents projets.
ChainSwap : Deux attaques ont causé près de 9 millions de dollars de pertes
En juillet 2021, ChainSwap a subi deux attaques de hackers en l'espace de neuf jours. La première attaque a entraîné une perte d'environ 800 000 dollars, tandis que la seconde a causé des pertes allant jusqu'à 8 millions de dollars, affectant plus de 20 projets utilisant ChainSwap pour des bridges cross-chain.
Une enquête montre que l'attaque provient de l'incapacité du protocole à vérifier rigoureusement la validité des signatures, ce qui permet aux attaquants d'utiliser des signatures générées par leurs soins pour exécuter des transactions. Étant donné que la perte principale concerne les jetons de gouvernance, ChainSwap et plusieurs projets affectés ont choisi de faire un snapshot et de réémettre des jetons pour compenser les pertes des détenteurs de jetons et des fournisseurs de liquidités.
Poly Network : 6,1 milliards de dollars volés remboursés intégralement
Le 10 août 2021, le protocole cross-chain Poly Network a subi la plus grande attaque DeFi à l'époque, entraînant une perte d'environ 610 millions de dollars d'actifs sur les trois réseaux Ethereum, Binance Smart Chain et Polygon.
L'attaquant a exploité une vulnérabilité dans la logique de gestion des droits des contrats de Poly Network, réussissant à remplacer l'adresse du validateur de la chaîne cible, ce qui lui a donné le droit de transférer des actifs. Bien que la méthode d'attaque soit habile, le hacker a finalement choisi de restituer tous les fonds, et Poly Network l'a également qualifié de "hacker white hat" et l'a invité à devenir conseiller en sécurité de l'entreprise.
Multichain : 6 millions de dollars de pertes, déjà partiellement remboursés
En janvier 2022, Multichain a découvert une vulnérabilité majeure affectant plusieurs jetons. Bien que la vulnérabilité ait été corrigée à temps, environ 6,04 millions de dollars de WETH et d'AVAX ont été volés.
Le problème réside dans le fait que Multichain n'a pas correctement vérifié la légitimité des tokens fournis par les utilisateurs, ce qui a conduit à ce que certains utilisateurs perdent leur WETH transféré vers une adresse malveillante construite par l'attaquant. L'équipe de Multichain a réussi à récupérer près de 50 % des fonds volés et a proposé un plan d'indemnisation, mais cela ne concerne que les utilisateurs ayant révoqué leur autorisation avant une date spécifiée.
QBridge : 80 millions de dollars de pertes, seulement quelques remboursements
Fin janvier 2022, le pont cross-chain QBridge de la plateforme de prêt Qubit a subi une attaque, entraînant une perte d'environ 80 millions de dollars. L'attaquant a exploité une vulnérabilité dans le traitement des transferts de jetons sur la liste blanche de QBridge, réussissant à créer en masse des jetons xETH sur la BSC et à emprunter d'autres actifs à partir de Qubit avec ces jetons.
Actuellement, le taux d'utilisation de Qubit a considérablement diminué, les données officielles montrent qu'il reste 98 % des fonds volés qui n'ont pas été indemnisés.
Meter.io : perte de 4,4 millions de dollars, engagement à indemniser les bénéfices futurs
En février 2022, le pont cross-chain Meter Passport a été attaqué, entraînant une perte de 4,4 millions de dollars. L'attaque provenait d'une "hypothèse de confiance erronée" survenue lors de l'expansion du code source original de Meter, permettant aux hackers de falsifier des transferts de BNB et d'ETH.
L'équipe de Meter avait initialement prévu d'indemniser les utilisateurs avec le jeton MTRG, mais a ensuite décidé d'émettre un nouveau jeton PASS en guise de compensation, promettant de racheter ces jetons avec les bénéfices futurs. Cependant, aucune opération de rachat n'a encore été effectuée jusqu'à présent.
Ronin : 620 millions de dollars volés, remboursement intégral effectué
En mars 2022, la chaîne Ronin derrière Axie Infinity a subi une attaque majeure, entraînant des pertes allant jusqu'à 620 millions de dollars. Cette attaque a impliqué des techniques d'ingénierie sociale complexes, les attaquants se faisant passer pour une société de recrutement, réussissant à infiltrer le réseau Ronin et à prendre le contrôle de plusieurs nœuds de validation.
Bien que les fonds volés n'aient pas pu être récupérés, la société Sky Mavis, derrière Ronin, a rapidement levé 150 millions de dollars pour indemniser les utilisateurs. Il convient de noter qu'en raison de la forte baisse du prix de l'ETH pendant la période de l'attaque jusqu'à l'indemnisation, la valeur réelle de l'indemnisation reçue par les utilisateurs est inférieure à la valeur des actifs au moment du vol.
Wormhole : 326 millions de dollars de pertes, compensation intégrale obtenue
Début février 2022, le protocole cross-chain Wormhole a subi une attaque, entraînant une perte d'environ 120 000 ETH, d'une valeur de 326 millions de dollars. L'attaquant a exploité une vulnérabilité de vérification de signature dans le contrat central Wormhole côté Solana, réussissant à falsifier des messages "gardiens" pour frapper une grande quantité de whETH.
Heureusement, Jump Crypto, qui se cache derrière Wormhole, a rapidement injecté 120 000 ETH, compensant complètement les pertes, permettant à Wormhole de reprendre ses opérations rapidement.
EvoDeFi : pertes estimées à plusieurs millions de dollars, non résolues
En juin 2022, le DEX ValleySwap dans l'écosystème Oasis a connu un grave désancrage de l'USDT, entraînant des pertes importantes pour de nombreux utilisateurs. Le problème provient du manque de liquidité sur la chaîne source du pont cross-chain EVODeFi utilisé par ValleySwap.
Bien que le montant exact des pertes soit inconnu, il est estimé dans la fourchette de plusieurs millions de dollars. Malheureusement, les parties concernées tentent toutes de se décharger de leurs responsabilités, et les pertes des utilisateurs n'ont jusqu'à présent reçu aucune compensation ni solution.
Horizon : pertes de près de 100 millions de dollars, le plan d'indemnisation est encore en cours d'élaboration
En juin 2022, le pont cross-chain officiel de la blockchain Harmony, Horizon, a été attaqué, entraînant une perte d'environ 100 millions de dollars. L'enquête a révélé que l'attaque pourrait avoir été causée par la fuite de clés privées.
L'équipe de Harmony avait proposé de compenser progressivement les pertes des utilisateurs par l'émission supplémentaire de tokens ONE sur une période de 3 ans, mais cette proposition n'a pas reçu le soutien de la communauté. Actuellement, un nouveau plan de compensation est en cours d'élaboration.
Nomad : 1,9 milliard de dollars volés, une partie des fonds pourrait être récupérée
En août 2022, le protocole cross-chain Nomad a subi un grave incident de sécurité, entraînant la perte de 190 millions de dollars de fonds. L'attaque est survenue en raison d'une grave erreur lors d'une mise à niveau de contrat, permettant à quiconque de retirer des fonds du bridges cross-chain.
Cet incident implique de nombreuses adresses, y compris des utilisateurs de noms de domaine ENS. Bien que les autorités n'aient pas encore proposé de plan de compensation clair, certains hackers éthiques ont déjà exprimé leur volonté de restituer les fonds, apportant ainsi de l'espoir pour une résolution finale.
Résumé
En examinant ces événements majeurs d'attaques de bridges cross-chain, nous pouvons voir :
Les ponts cross-chain restent un domaine à haut risque dans l'écosystème DeFi, même les projets connus ne peuvent échapper aux attaques.
Les raisons des attaques sont variées, notamment les vulnérabilités des contrats, les problèmes de gestion des permissions, les attaques par ingénierie sociale, etc. Les équipes de projet doivent renforcer la protection de la sécurité de manière globale.
Le contexte du projet et la solidité financière sont essentiels pour le traitement postérieur. Les projets solides peuvent souvent lever rapidement des fonds pour indemniser, tandis que les petits projets peuvent avoir du mal à survivre.
La surveillance en temps réel et la réponse rapide peuvent réduire efficacement les pertes. Certains projets ont réussi à éviter des attaques à grande échelle en détectant et en traitant rapidement des activités suspectes.
Les utilisateurs doivent être prudents lorsqu'ils choisissent des bridges cross-chain, en privilégiant les projets solides et bien établis, tout en veillant à suivre les avertissements de sécurité et les mises à jour des projets en temps opportun.