Revisão do Evento de Ataque à Ponte de Cadeia Cruzada: Perdas de quase 2 bilhões de dólares, mais de 1,5 bilhões de dólares em compensação
Nos últimos anos, com o rápido desenvolvimento do ecossistema blockchain, as pontes de cadeia cruzada tornaram-se uma infraestrutura importante para conectar diferentes cadeias públicas. No entanto, devido ao fato de armazenarem grandes quantidades de fundos e realizarem operações de cadeia cruzada com frequência, as pontes de cadeia cruzada também se tornaram um alvo popular para ataques de hackers. Este artigo revisará os 10 principais incidentes de ataque a pontes de cadeia cruzada que ocorreram recentemente, resumindo suas causas e impactos, bem como as medidas adotadas por cada projeto.
ChainSwap: Dois ataques causaram perdas de quase 9 milhões de dólares
Em julho de 2021, o ChainSwap sofreu dois ataques de hackers em apenas 9 dias. O primeiro ataque resultou em uma perda de cerca de 800 mil dólares, enquanto a segunda perda chegou a 8 milhões de dólares, afetando mais de 20 projetos que utilizavam o ChainSwap para cadeia cruzada.
A pesquisa mostra que o ataque originou-se da falha do protocolo em verificar rigorosamente a validade da assinatura, permitindo que os atacantes utilizassem assinaturas geradas por eles mesmos para executar transações. Como a principal perda foi em tokens de governança, a ChainSwap e vários projetos afetados optaram por fazer um snapshot e reemitir tokens, para compensar as perdas dos detentores de tokens e provedores de liquidez.
Poly Network: 6,1 milhões de dólares roubados devolvidos na íntegra
Em 10 de agosto de 2021, o protocolo de cadeia cruzada Poly Network sofreu o maior ataque DeFi da época, resultando em uma perda total de cerca de 610 milhões de dólares em ativos nos três redes: Ethereum, Binance Smart Chain e Polygon.
Os atacantes exploraram a vulnerabilidade na lógica de gestão de permissões do contrato Poly Network, substituindo com sucesso o endereço do validador da cadeia de destino, obtendo assim a permissão para transferir ativos. Embora a técnica de ataque fosse sofisticada, o hacker acabou optando por devolver todos os fundos, e a Poly Network o chamou de "hacker de chapéu branco", convidando-o para ser o conselheiro de segurança da empresa.
Multichain: perda de 6 milhões de dólares, já foi parcialmente compensada
Em janeiro de 2022, a Multichain descobriu uma vulnerabilidade significativa que afetava várias moedas. Embora a vulnerabilidade tenha sido corrigida a tempo, ainda cerca de 6,04 milhões de dólares em WETH e AVAX foram roubados.
O problema está na falta de verificação adequada da legalidade do Token fornecido pelo usuário pelo Multichain, o que resultou na transferência de WETH de alguns usuários para endereços maliciosos construídos pelos atacantes. A equipe do Multichain conseguiu recuperar perto de 50% dos fundos roubados e apresentou um plano de compensação, mas este é limitado apenas aos usuários que revogaram a autorização antes da data especificada.
QBridge: Perda de 80 milhões de dólares, apenas uma pequena compensação
No final de janeiro de 2022, a ponte de cadeia cruzada QBridge da plataforma de empréstimos Qubit foi atacada, resultando numa perda de cerca de 80 milhões de dólares. O atacante explorou uma vulnerabilidade no QBridge ao processar transferências de tokens na lista branca, conseguindo assim criar uma grande quantidade de tokens xETH do nada na BSC e usou esses tokens para emprestar outros ativos da Qubit.
Atualmente, a taxa de utilização do Qubit caiu drasticamente, com dados oficiais a mostrarem que ainda 98% dos fundos roubados não foram compensados.
Meter.io: perda de 4,4 milhões de dólares, compromisso de compensação de lucros futuros
Em fevereiro de 2022, a ponte de cadeia cruzada Meter Passport sofreu um ataque, resultando em uma perda de 4,4 milhões de dólares. A origem do ataque foi uma "suposição de confiança errônea" que surgiu durante a expansão do código original da Meter, permitindo que os hackers falsificassem transferências de BNB e ETH.
A equipe Meter inicialmente planejou compensar as perdas dos usuários com o token MTRG, mas depois decidiu emitir um novo token PASS como compensação e prometeu recomprar esses tokens com os lucros futuros. No entanto, até agora, nenhuma operação de recompra foi realizada.
Ronin: 620 milhões de dólares roubados, já foram reembolsados na totalidade
Em março de 2022, a cadeia Ronin, por trás do Axie Infinity, sofreu um ataque significativo, resultando em perdas de até 620 milhões de dólares. Este ataque envolveu técnicas complexas de engenharia social, onde os atacantes se disfarçaram como uma empresa de recrutamento e conseguiram infiltrar a rede Ronin, controlando vários nós de validação.
Embora os fundos roubados não tenham sido recuperados, a empresa Sky Mavis, por trás do Ronin, rapidamente angariou 150 milhões de dólares para compensar as perdas dos usuários. É importante notar que, devido à queda acentuada do preço do ETH durante o período entre o ataque e a compensação, o valor da compensação que os usuários realmente receberam foi inferior ao valor dos ativos no momento do roubo.
Wormhole: 326 milhões de dólares em perdas, recebendo compensação total
No início de fevereiro de 2022, o protocolo de cadeia cruzada Wormhole foi atacado, resultando na perda de cerca de 120.000 ETH, no valor de 326 milhões de dólares. O atacante explorou uma vulnerabilidade na verificação de assinatura do contrato central do Wormhole no lado da Solana, conseguindo falsificar mensagens de "guardião" para cunhar uma grande quantidade de whETH.
Felizmente, a Jump Crypto, por trás do Wormhole, injetou rapidamente 120.000 ETH, compensando completamente as perdas e permitindo que o Wormhole recuperasse rapidamente a operação.
EvoDeFi: estimativa de perdas superiores a dez milhões de dólares, sem resolução
Em junho de 2022, o DEX ValleySwap no ecossistema Oasis apresentou um grave desvio do USDT, resultando em grandes perdas para os usuários. O problema originou-se da falta de liquidez na cadeia de origem da ponte de cadeia cruzada EVODeFi utilizada pelo ValleySwap.
Embora o montante exato das perdas seja desconhecido, estima-se que esteja na ordem das dezenas de milhões de dólares. Infelizmente, as partes envolvidas estão a tentar se isentar de responsabilidade, e os usuários não receberam qualquer compensação ou solução até agora.
Horizon: Perda de quase 100 milhões de dólares, o plano de compensação ainda está em elaboração.
Em junho de 2022, a ponte de cadeia cruzada Horizon da blockchain Harmony foi atacada, resultando em uma perda de cerca de 100 milhões de dólares. A investigação revelou que o ataque pode ter sido causado por um vazamento de chave privada.
A equipe Harmony propôs compensar gradualmente os usuários por perdas através da emissão adicional de tokens ONE ao longo de 3 anos, mas essa proposta não obteve apoio da comunidade. Atualmente, um novo plano de compensação está sendo elaborado.
Nomad: 190 milhões de dólares roubados, parte dos fundos pode ser recuperada
Em agosto de 2022, o protocolo de cadeia cruzada Nomad sofreu um grave incidente de segurança, resultando na perda de 190 milhões de dólares em fundos. O ataque originou-se de um erro significativo durante uma atualização de contrato, permitindo que qualquer pessoa pudesse retirar fundos da ponte.
Este incidente envolve um grande número de endereços, incluindo utilizadores de domínios ENS. Embora as autoridades ainda não tenham apresentado um plano de compensação claro, alguns hackers éticos já se mostraram dispostos a devolver os fundos, trazendo esperança para uma resolução final.
Resumo
Ao rever esses importantes ataques a pontes de cadeia cruzada, podemos ver:
Pontes de cadeia cruzada ainda são uma área de alto risco no ecossistema DeFi, mesmo projetos conhecidos não estão imunes a ataques.
As razões para os ataques são diversas, incluindo falhas em contratos, problemas de gestão de permissões, ataques de engenharia social, entre outros, sendo necessário que a equipe do projeto fortaleça a segurança de forma abrangente.
O contexto do projeto e a solidez financeira são cruciais para o tratamento pós-evento. Projetos com forte capital geralmente conseguem arrecadar rapidamente fundos para compensações, enquanto projetos menores podem ter dificuldades para sobreviver.
A monitorização em tempo real e a resposta rápida podem efetivamente reduzir perdas. Alguns projetos evitaram com sucesso ataques em grande escala ao detectar e lidar com atividades suspeitas a tempo.
Os utilizadores devem ser cautelosos ao escolher pontes de cadeia cruzada, dando prioridade a projetos com força e histórico, e também devem prestar atenção a avisos de segurança e atualizações do projeto em tempo hábil.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
23 Curtidas
Recompensa
23
5
Compartilhar
Comentário
0/400
Degentleman
· 07-30 14:17
Já basta, já basta, mais um contrato foi violado.
Ver originalResponder0
StakeHouseDirector
· 07-29 23:32
Dia a dia de fazer as pessoas de parvas
Ver originalResponder0
ThesisInvestor
· 07-28 14:59
Depois de tantos anos a fazer isto, ainda aconteceu esta situação.
Ver originalResponder0
GasWaster
· 07-28 14:55
De novo, o White está a enviar dinheiro ao Hacker.
pontes de cadeia cruzada ataque perdas de quase 2 mil milhões de dólares, 1,5 mil milhões de dólares já foram compensados
Revisão do Evento de Ataque à Ponte de Cadeia Cruzada: Perdas de quase 2 bilhões de dólares, mais de 1,5 bilhões de dólares em compensação
Nos últimos anos, com o rápido desenvolvimento do ecossistema blockchain, as pontes de cadeia cruzada tornaram-se uma infraestrutura importante para conectar diferentes cadeias públicas. No entanto, devido ao fato de armazenarem grandes quantidades de fundos e realizarem operações de cadeia cruzada com frequência, as pontes de cadeia cruzada também se tornaram um alvo popular para ataques de hackers. Este artigo revisará os 10 principais incidentes de ataque a pontes de cadeia cruzada que ocorreram recentemente, resumindo suas causas e impactos, bem como as medidas adotadas por cada projeto.
ChainSwap: Dois ataques causaram perdas de quase 9 milhões de dólares
Em julho de 2021, o ChainSwap sofreu dois ataques de hackers em apenas 9 dias. O primeiro ataque resultou em uma perda de cerca de 800 mil dólares, enquanto a segunda perda chegou a 8 milhões de dólares, afetando mais de 20 projetos que utilizavam o ChainSwap para cadeia cruzada.
A pesquisa mostra que o ataque originou-se da falha do protocolo em verificar rigorosamente a validade da assinatura, permitindo que os atacantes utilizassem assinaturas geradas por eles mesmos para executar transações. Como a principal perda foi em tokens de governança, a ChainSwap e vários projetos afetados optaram por fazer um snapshot e reemitir tokens, para compensar as perdas dos detentores de tokens e provedores de liquidez.
Poly Network: 6,1 milhões de dólares roubados devolvidos na íntegra
Em 10 de agosto de 2021, o protocolo de cadeia cruzada Poly Network sofreu o maior ataque DeFi da época, resultando em uma perda total de cerca de 610 milhões de dólares em ativos nos três redes: Ethereum, Binance Smart Chain e Polygon.
Os atacantes exploraram a vulnerabilidade na lógica de gestão de permissões do contrato Poly Network, substituindo com sucesso o endereço do validador da cadeia de destino, obtendo assim a permissão para transferir ativos. Embora a técnica de ataque fosse sofisticada, o hacker acabou optando por devolver todos os fundos, e a Poly Network o chamou de "hacker de chapéu branco", convidando-o para ser o conselheiro de segurança da empresa.
Multichain: perda de 6 milhões de dólares, já foi parcialmente compensada
Em janeiro de 2022, a Multichain descobriu uma vulnerabilidade significativa que afetava várias moedas. Embora a vulnerabilidade tenha sido corrigida a tempo, ainda cerca de 6,04 milhões de dólares em WETH e AVAX foram roubados.
O problema está na falta de verificação adequada da legalidade do Token fornecido pelo usuário pelo Multichain, o que resultou na transferência de WETH de alguns usuários para endereços maliciosos construídos pelos atacantes. A equipe do Multichain conseguiu recuperar perto de 50% dos fundos roubados e apresentou um plano de compensação, mas este é limitado apenas aos usuários que revogaram a autorização antes da data especificada.
QBridge: Perda de 80 milhões de dólares, apenas uma pequena compensação
No final de janeiro de 2022, a ponte de cadeia cruzada QBridge da plataforma de empréstimos Qubit foi atacada, resultando numa perda de cerca de 80 milhões de dólares. O atacante explorou uma vulnerabilidade no QBridge ao processar transferências de tokens na lista branca, conseguindo assim criar uma grande quantidade de tokens xETH do nada na BSC e usou esses tokens para emprestar outros ativos da Qubit.
Atualmente, a taxa de utilização do Qubit caiu drasticamente, com dados oficiais a mostrarem que ainda 98% dos fundos roubados não foram compensados.
Meter.io: perda de 4,4 milhões de dólares, compromisso de compensação de lucros futuros
Em fevereiro de 2022, a ponte de cadeia cruzada Meter Passport sofreu um ataque, resultando em uma perda de 4,4 milhões de dólares. A origem do ataque foi uma "suposição de confiança errônea" que surgiu durante a expansão do código original da Meter, permitindo que os hackers falsificassem transferências de BNB e ETH.
A equipe Meter inicialmente planejou compensar as perdas dos usuários com o token MTRG, mas depois decidiu emitir um novo token PASS como compensação e prometeu recomprar esses tokens com os lucros futuros. No entanto, até agora, nenhuma operação de recompra foi realizada.
Ronin: 620 milhões de dólares roubados, já foram reembolsados na totalidade
Em março de 2022, a cadeia Ronin, por trás do Axie Infinity, sofreu um ataque significativo, resultando em perdas de até 620 milhões de dólares. Este ataque envolveu técnicas complexas de engenharia social, onde os atacantes se disfarçaram como uma empresa de recrutamento e conseguiram infiltrar a rede Ronin, controlando vários nós de validação.
Embora os fundos roubados não tenham sido recuperados, a empresa Sky Mavis, por trás do Ronin, rapidamente angariou 150 milhões de dólares para compensar as perdas dos usuários. É importante notar que, devido à queda acentuada do preço do ETH durante o período entre o ataque e a compensação, o valor da compensação que os usuários realmente receberam foi inferior ao valor dos ativos no momento do roubo.
Wormhole: 326 milhões de dólares em perdas, recebendo compensação total
No início de fevereiro de 2022, o protocolo de cadeia cruzada Wormhole foi atacado, resultando na perda de cerca de 120.000 ETH, no valor de 326 milhões de dólares. O atacante explorou uma vulnerabilidade na verificação de assinatura do contrato central do Wormhole no lado da Solana, conseguindo falsificar mensagens de "guardião" para cunhar uma grande quantidade de whETH.
Felizmente, a Jump Crypto, por trás do Wormhole, injetou rapidamente 120.000 ETH, compensando completamente as perdas e permitindo que o Wormhole recuperasse rapidamente a operação.
EvoDeFi: estimativa de perdas superiores a dez milhões de dólares, sem resolução
Em junho de 2022, o DEX ValleySwap no ecossistema Oasis apresentou um grave desvio do USDT, resultando em grandes perdas para os usuários. O problema originou-se da falta de liquidez na cadeia de origem da ponte de cadeia cruzada EVODeFi utilizada pelo ValleySwap.
Embora o montante exato das perdas seja desconhecido, estima-se que esteja na ordem das dezenas de milhões de dólares. Infelizmente, as partes envolvidas estão a tentar se isentar de responsabilidade, e os usuários não receberam qualquer compensação ou solução até agora.
Horizon: Perda de quase 100 milhões de dólares, o plano de compensação ainda está em elaboração.
Em junho de 2022, a ponte de cadeia cruzada Horizon da blockchain Harmony foi atacada, resultando em uma perda de cerca de 100 milhões de dólares. A investigação revelou que o ataque pode ter sido causado por um vazamento de chave privada.
A equipe Harmony propôs compensar gradualmente os usuários por perdas através da emissão adicional de tokens ONE ao longo de 3 anos, mas essa proposta não obteve apoio da comunidade. Atualmente, um novo plano de compensação está sendo elaborado.
Nomad: 190 milhões de dólares roubados, parte dos fundos pode ser recuperada
Em agosto de 2022, o protocolo de cadeia cruzada Nomad sofreu um grave incidente de segurança, resultando na perda de 190 milhões de dólares em fundos. O ataque originou-se de um erro significativo durante uma atualização de contrato, permitindo que qualquer pessoa pudesse retirar fundos da ponte.
Este incidente envolve um grande número de endereços, incluindo utilizadores de domínios ENS. Embora as autoridades ainda não tenham apresentado um plano de compensação claro, alguns hackers éticos já se mostraram dispostos a devolver os fundos, trazendo esperança para uma resolução final.
Resumo
Ao rever esses importantes ataques a pontes de cadeia cruzada, podemos ver:
Pontes de cadeia cruzada ainda são uma área de alto risco no ecossistema DeFi, mesmo projetos conhecidos não estão imunes a ataques.
As razões para os ataques são diversas, incluindo falhas em contratos, problemas de gestão de permissões, ataques de engenharia social, entre outros, sendo necessário que a equipe do projeto fortaleça a segurança de forma abrangente.
O contexto do projeto e a solidez financeira são cruciais para o tratamento pós-evento. Projetos com forte capital geralmente conseguem arrecadar rapidamente fundos para compensações, enquanto projetos menores podem ter dificuldades para sobreviver.
A monitorização em tempo real e a resposta rápida podem efetivamente reduzir perdas. Alguns projetos evitaram com sucesso ataques em grande escala ao detectar e lidar com atividades suspeitas a tempo.
Os utilizadores devem ser cautelosos ao escolher pontes de cadeia cruzada, dando prioridade a projetos com força e histórico, e também devem prestar atenção a avisos de segurança e atualizações do projeto em tempo hábil.