Revue des incidents de sécurité des ponts cross-chain : 10 cas d'attaque impliquant plus de 1,9 milliard de dollars
Ces dernières années, les bridges cross-chain sont devenus des cibles populaires pour les attaques de hackers. Étant donné que de nombreuses nouvelles blockchains manquent d'actifs mainstream, il est nécessaire d'obtenir des actifs via des bridges cross-chain à partir de blockchains matures comme Ethereum, ce qui fait des bridges cross-chain un pivot important pour le flux de fonds. Cependant, la fréquence des incidents de sécurité a également révélé la vulnérabilité des bridges cross-chain. Cet article examinera 10 événements majeurs d'attaques de bridges cross-chain, résumera les leçons tirées et fournira des références pour la sécurité future.
ChainSwap : pertes d'environ 8,8 millions de dollars suite à deux attaques
En juillet 2021, ChainSwap a subi deux attaques de hackers en seulement 9 jours. La première attaque a entraîné une perte d'environ 800 000 dollars, la deuxième attaque étant encore plus grave, avec des pertes atteignant 8 millions de dollars, affectant plus de 20 projets utilisant ChainSwap pour des bridges cross-chain.
Une enquête révèle que les attaquants ont exploité une vulnérabilité dans le protocole lors de la vérification de la validité des signatures. Pour compenser les pertes, ChainSwap et plusieurs projets affectés ont choisi de faire un instantané et de réémettre des jetons.
Poly Network : 6,1 milliards de dollars d'actifs volés récupérés en totalité
En août 2021, le protocole cross-chain Poly Network a subi une attaque de grande envergure, impliquant des fonds s'élevant à 610 millions de dollars. L'attaquant a exploité une vulnérabilité dans la logique de gestion des droits des contrats, réussissant à remplacer l'adresse des validateurs de la chaîne cible, permettant ainsi le transfert d'un large éventail d'actifs.
Bien que la méthode d'attaque soit sophistiquée, le hacker a finalement choisi de rendre tous les fonds volés. Poly Network l'a qualifié de "white hat hacker" et lui a même proposé de devenir conseiller en sécurité. Bien que cet incident se soit terminé par un règlement, il a également mis en évidence des risques majeurs en matière de gestion des droits dans les bridges cross-chain.
Multichain : 6 millions de dollars de pertes dues à une vulnérabilité ont été remboursés
En janvier 2022, Multichain a découvert une vulnérabilité importante affectant plusieurs jetons. Bien que la vulnérabilité ait été rapidement corrigée, environ 6,04 millions de dollars d'actifs ont été volés.
La vulnérabilité provient d'une négligence de Multichain lors de la validation de la légitimité des jetons saisis par les utilisateurs, sans prendre en compte que tous les jetons n'implémentent pas des fonctions spécifiques. L'équipe a rapidement agi, récupérant près de 50 % des fonds volés, et a proposé une indemnisation pour les utilisateurs dont les autorisations ont été révoquées.
QBridge : 2 % de remboursement sur une perte de 80 millions de dollars
Fin janvier 2022, le pont cross-chain QBridge de Qubit a été attaqué, entraînant une perte d'environ 80 millions de dollars. L'attaquant a exploité une vulnérabilité dans le traitement des transferts de jetons en liste blanche par QBridge pour créer avec succès un grand nombre de faux jetons sur BSC.
Cet incident a presque paralysé la plateforme Qubit, et 98 % des fonds volés n'ont toujours pas été remboursés, mettant en évidence la vulnérabilité de certains projets face à des accidents de sécurité majeurs.
Meter.io : 4,4 millions de dollars de pertes, promet de rembourser avec les revenus futurs
En février 2022, le pont cross-chain Meter Passport a été attaqué, entraînant une perte de 4,4 millions de dollars. Le problème provenait d'une "hypothèse de confiance erronée" dans le code sous-jacent, permettant aux attaquants de falsifier des transferts de tokens.
L'équipe Meter a d'abord proposé d'utiliser des tokens MTRG pour la compensation, mais a ensuite décidé d'émettre de nouveaux tokens PASS. Le plan est d'utiliser les gains futurs pour racheter ces tokens, bien qu'aucun rachat n'ait encore eu lieu. Cette approche met en lumière les défis liés à la compensation des utilisateurs après une violation de la sécurité.
Ronin : le cas de vol de 620 millions de dollars a été entièrement remboursé
En mars 2022, la chaîne Ronin derrière Axie Infinity a subi un grave incident de sécurité, avec des pertes atteignant 620 millions de dollars. Cette attaque a utilisé des techniques d'ingénierie sociale pour infiltrer le système de Sky Mavis en se faisant passer pour une entreprise de recrutement.
Bien que les fonds volés n'aient pas pu être récupérés, Sky Mavis a rapidement levé 150 millions de dollars pour indemniser les utilisateurs. Ce cas montre l'importance d'un soutien communautaire fort et d'une capacité de réaction rapide dans la gestion des crises.
Wormhole : 326 millions de dollars de pertes obtenues avec un remboursement immédiat
En février 2022, le protocole cross-chain Wormhole a subi une attaque, entraînant une perte d'environ 326 millions de dollars. Les attaquants ont exploité une vulnérabilité de vérification de signature dans le contrat côté Solana, réussissant à frapper un grand nombre de faux jetons.
Jump Crypto a rapidement investi 120 000 ETH, compensant complètement les pertes de Wormhole. Ce cas montre l'importance d'un solide soutien financier pour maintenir la confiance des utilisateurs.
EvoDeFi : estimation de pertes de plusieurs millions de dollars, non résolues jusqu'à présent
En juin 2022, le DEX ValleySwap de l'écosystème Oasis a connu un grave décrochage du USDT, entraînant d'importantes pertes pour de nombreux utilisateurs. Le problème provient du manque de liquidité sur la chaîne source du pont cross-chain EVODeFi utilisé.
Cet événement a mis en évidence l'importance de la gestion de la liquidité des bridges cross-chain, ainsi que la nécessité d'effectuer une due diligence adéquate lors du choix des partenaires.
Horizon : près de 100 millions de dollars de pertes, le plan d'indemnisation est toujours en cours d'élaboration.
En juin 2022, le pont cross-chain Horizon de Harmony a été attaqué, entraînant une perte d'environ 100 millions de dollars. Une enquête a révélé que l'attaque pouvait être due à une fuite de clé privée.
Harmony a initialement proposé l'émission de jetons pour compensation, mais la communauté a rejeté cette approche. Les discussions en cours sur la compensation mettent en évidence les complexités de l'équilibre entre les intérêts des utilisateurs et la durabilité du projet à la suite d'un incident de sécurité majeur.
Nomad : 190 millions de dollars volés, une partie des fonds pourrait être récupérée
En août 2022, le pont cross-chain Nomad a été attaqué, entraînant des pertes allant jusqu'à 190 millions de dollars. L'attaque a été causée par une erreur de configuration lors d'une mise à niveau de contrat, permettant à quiconque de retirer des fonds du pont.
Malgré les pertes énormes, certains hackers éthiques ont déclaré être prêts à restituer des fonds, ce qui offre de l'espoir pour la récupération des actifs. Cet événement souligne l'importance d'audits de sécurité rigoureux lors des mises à niveau du système.
Résumé
En examinant ces accidents de sécurité des bridges cross-chain, nous pouvons en tirer les conclusions suivantes :
Les bridges cross-chain sont des éléments à haut risque dans l'écosystème DeFi, même les projets les plus performants peuvent rencontrer des problèmes de sécurité.
Un solide background d'équipe de développement et un soutien financier adéquat sont cruciaux pour traiter rapidement les incidents de sécurité.
Un mécanisme de surveillance en temps réel et de réponse rapide peut réduire efficacement les pertes.
La confiance de la communauté et une communication transparente jouent un rôle important dans la gestion de crise.
Les audits de sécurité et les revues de code devraient devenir la norme, en particulier lors des mises à jour du système.
Des mécanismes tels que la décentralisation et la multi-signature peuvent améliorer la sécurité du système, mais leur mise en œuvre doit être faite avec prudence.
L'utilisateur doit être prudent lors du choix des ponts cross-chain, en privilégiant les projets ayant un bon dossier et un solide soutien.
Avec le développement continu de la technologie cross-chain, les problèmes de sécurité continueront d'être l'un des principaux défis auxquels ce domaine est confronté. Les développeurs, les utilisateurs et l'ensemble de l'industrie doivent rester vigilants et améliorer constamment les mesures de sécurité afin de construire un écosystème cross-chain plus sûr et plus fiable.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
Revue de la sécurité des ponts cross-chain : 10 cas d'attaques avec des pertes de plus de 1,9 milliard de dollars
Revue des incidents de sécurité des ponts cross-chain : 10 cas d'attaque impliquant plus de 1,9 milliard de dollars
Ces dernières années, les bridges cross-chain sont devenus des cibles populaires pour les attaques de hackers. Étant donné que de nombreuses nouvelles blockchains manquent d'actifs mainstream, il est nécessaire d'obtenir des actifs via des bridges cross-chain à partir de blockchains matures comme Ethereum, ce qui fait des bridges cross-chain un pivot important pour le flux de fonds. Cependant, la fréquence des incidents de sécurité a également révélé la vulnérabilité des bridges cross-chain. Cet article examinera 10 événements majeurs d'attaques de bridges cross-chain, résumera les leçons tirées et fournira des références pour la sécurité future.
ChainSwap : pertes d'environ 8,8 millions de dollars suite à deux attaques
En juillet 2021, ChainSwap a subi deux attaques de hackers en seulement 9 jours. La première attaque a entraîné une perte d'environ 800 000 dollars, la deuxième attaque étant encore plus grave, avec des pertes atteignant 8 millions de dollars, affectant plus de 20 projets utilisant ChainSwap pour des bridges cross-chain.
Une enquête révèle que les attaquants ont exploité une vulnérabilité dans le protocole lors de la vérification de la validité des signatures. Pour compenser les pertes, ChainSwap et plusieurs projets affectés ont choisi de faire un instantané et de réémettre des jetons.
Poly Network : 6,1 milliards de dollars d'actifs volés récupérés en totalité
En août 2021, le protocole cross-chain Poly Network a subi une attaque de grande envergure, impliquant des fonds s'élevant à 610 millions de dollars. L'attaquant a exploité une vulnérabilité dans la logique de gestion des droits des contrats, réussissant à remplacer l'adresse des validateurs de la chaîne cible, permettant ainsi le transfert d'un large éventail d'actifs.
Bien que la méthode d'attaque soit sophistiquée, le hacker a finalement choisi de rendre tous les fonds volés. Poly Network l'a qualifié de "white hat hacker" et lui a même proposé de devenir conseiller en sécurité. Bien que cet incident se soit terminé par un règlement, il a également mis en évidence des risques majeurs en matière de gestion des droits dans les bridges cross-chain.
Multichain : 6 millions de dollars de pertes dues à une vulnérabilité ont été remboursés
En janvier 2022, Multichain a découvert une vulnérabilité importante affectant plusieurs jetons. Bien que la vulnérabilité ait été rapidement corrigée, environ 6,04 millions de dollars d'actifs ont été volés.
La vulnérabilité provient d'une négligence de Multichain lors de la validation de la légitimité des jetons saisis par les utilisateurs, sans prendre en compte que tous les jetons n'implémentent pas des fonctions spécifiques. L'équipe a rapidement agi, récupérant près de 50 % des fonds volés, et a proposé une indemnisation pour les utilisateurs dont les autorisations ont été révoquées.
QBridge : 2 % de remboursement sur une perte de 80 millions de dollars
Fin janvier 2022, le pont cross-chain QBridge de Qubit a été attaqué, entraînant une perte d'environ 80 millions de dollars. L'attaquant a exploité une vulnérabilité dans le traitement des transferts de jetons en liste blanche par QBridge pour créer avec succès un grand nombre de faux jetons sur BSC.
Cet incident a presque paralysé la plateforme Qubit, et 98 % des fonds volés n'ont toujours pas été remboursés, mettant en évidence la vulnérabilité de certains projets face à des accidents de sécurité majeurs.
Meter.io : 4,4 millions de dollars de pertes, promet de rembourser avec les revenus futurs
En février 2022, le pont cross-chain Meter Passport a été attaqué, entraînant une perte de 4,4 millions de dollars. Le problème provenait d'une "hypothèse de confiance erronée" dans le code sous-jacent, permettant aux attaquants de falsifier des transferts de tokens.
L'équipe Meter a d'abord proposé d'utiliser des tokens MTRG pour la compensation, mais a ensuite décidé d'émettre de nouveaux tokens PASS. Le plan est d'utiliser les gains futurs pour racheter ces tokens, bien qu'aucun rachat n'ait encore eu lieu. Cette approche met en lumière les défis liés à la compensation des utilisateurs après une violation de la sécurité.
Ronin : le cas de vol de 620 millions de dollars a été entièrement remboursé
En mars 2022, la chaîne Ronin derrière Axie Infinity a subi un grave incident de sécurité, avec des pertes atteignant 620 millions de dollars. Cette attaque a utilisé des techniques d'ingénierie sociale pour infiltrer le système de Sky Mavis en se faisant passer pour une entreprise de recrutement.
Bien que les fonds volés n'aient pas pu être récupérés, Sky Mavis a rapidement levé 150 millions de dollars pour indemniser les utilisateurs. Ce cas montre l'importance d'un soutien communautaire fort et d'une capacité de réaction rapide dans la gestion des crises.
Wormhole : 326 millions de dollars de pertes obtenues avec un remboursement immédiat
En février 2022, le protocole cross-chain Wormhole a subi une attaque, entraînant une perte d'environ 326 millions de dollars. Les attaquants ont exploité une vulnérabilité de vérification de signature dans le contrat côté Solana, réussissant à frapper un grand nombre de faux jetons.
Jump Crypto a rapidement investi 120 000 ETH, compensant complètement les pertes de Wormhole. Ce cas montre l'importance d'un solide soutien financier pour maintenir la confiance des utilisateurs.
EvoDeFi : estimation de pertes de plusieurs millions de dollars, non résolues jusqu'à présent
En juin 2022, le DEX ValleySwap de l'écosystème Oasis a connu un grave décrochage du USDT, entraînant d'importantes pertes pour de nombreux utilisateurs. Le problème provient du manque de liquidité sur la chaîne source du pont cross-chain EVODeFi utilisé.
Cet événement a mis en évidence l'importance de la gestion de la liquidité des bridges cross-chain, ainsi que la nécessité d'effectuer une due diligence adéquate lors du choix des partenaires.
Horizon : près de 100 millions de dollars de pertes, le plan d'indemnisation est toujours en cours d'élaboration.
En juin 2022, le pont cross-chain Horizon de Harmony a été attaqué, entraînant une perte d'environ 100 millions de dollars. Une enquête a révélé que l'attaque pouvait être due à une fuite de clé privée.
Harmony a initialement proposé l'émission de jetons pour compensation, mais la communauté a rejeté cette approche. Les discussions en cours sur la compensation mettent en évidence les complexités de l'équilibre entre les intérêts des utilisateurs et la durabilité du projet à la suite d'un incident de sécurité majeur.
Nomad : 190 millions de dollars volés, une partie des fonds pourrait être récupérée
En août 2022, le pont cross-chain Nomad a été attaqué, entraînant des pertes allant jusqu'à 190 millions de dollars. L'attaque a été causée par une erreur de configuration lors d'une mise à niveau de contrat, permettant à quiconque de retirer des fonds du pont.
Malgré les pertes énormes, certains hackers éthiques ont déclaré être prêts à restituer des fonds, ce qui offre de l'espoir pour la récupération des actifs. Cet événement souligne l'importance d'audits de sécurité rigoureux lors des mises à niveau du système.
Résumé
En examinant ces accidents de sécurité des bridges cross-chain, nous pouvons en tirer les conclusions suivantes :
Les bridges cross-chain sont des éléments à haut risque dans l'écosystème DeFi, même les projets les plus performants peuvent rencontrer des problèmes de sécurité.
Un solide background d'équipe de développement et un soutien financier adéquat sont cruciaux pour traiter rapidement les incidents de sécurité.
Un mécanisme de surveillance en temps réel et de réponse rapide peut réduire efficacement les pertes.
La confiance de la communauté et une communication transparente jouent un rôle important dans la gestion de crise.
Les audits de sécurité et les revues de code devraient devenir la norme, en particulier lors des mises à jour du système.
Des mécanismes tels que la décentralisation et la multi-signature peuvent améliorer la sécurité du système, mais leur mise en œuvre doit être faite avec prudence.
L'utilisateur doit être prudent lors du choix des ponts cross-chain, en privilégiant les projets ayant un bon dossier et un solide soutien.
Avec le développement continu de la technologie cross-chain, les problèmes de sécurité continueront d'être l'un des principaux défis auxquels ce domaine est confronté. Les développeurs, les utilisateurs et l'ensemble de l'industrie doivent rester vigilants et améliorer constamment les mesures de sécurité afin de construire un écosystème cross-chain plus sûr et plus fiable.