Обзор инцидента с кроссчейн мостом: убытки почти 2 миллиарда долларов, более 1,5 миллиарда долларов получено в качестве компенсации
В последние годы, с быстрым развитием экосистемы блокчейна, кроссчейн мосты стали важной инфраструктурой, соединяющей различные публичные блокчейны. Однако, из-за хранения значительных объемов средств и частых кросс-чейн операций, кроссчейн мосты также стали热门目标ом для хакерских атак. В этой статье будет рассмотрено 10 недавних крупных атак на кроссчейн мосты, подведены итоги причин и последствий, а также меры реагирования различных проектов.
ChainSwap: Два нападения привели к убыткам почти в 9 миллионов долларов
В июле 2021 года ChainSwap за короткие 9 дней подвергся двум хакерским атакам. Первая атака привела к убыткам около 800 000 долларов, вторая же составила целых 8 000 000 долларов, затронув более 20 проектов, использующих ChainSwap для кросс-чейн.
Исследование показывает, что атака произошла из-за того, что протокол не смог строго проверить действительность подписи, что позволило злоумышленникам использовать сгенерированные ими подписи для выполнения транзакций. Поскольку основными потерями стали токены управления, ChainSwap и несколько затронутых проектов выбрали проведение снимка и повторное выпуск токенов для компенсации убытков держателей и поставщиков ликвидности.
Poly Network: 6,1 миллиарда долларов США были украдены и полностью возвращены
10 августа 2021 года кросс-чейн протокол Poly Network подвергся крупнейшей на тот момент атаке в DeFi, в результате которой на трех сетях — Ethereum, Binance Smart Chain и Polygon — было потеряно около 610 миллионов долларов активов.
Атакующий использовал уязвимость в логике управления правами контракта Poly Network, успешно заменив адреса валидаторов целевой цепи, тем самым получив права на перевод активов. Несмотря на мастерство атаки, хакер в конечном итоге решил вернуть все средства, и Poly Network назвал его "белым хакером" и пригласил занять пост главного консультанта по безопасности компании.
Multichain: убыток в 6 миллионов долларов, частично компенсирован
В январе 2022 года Multichain обнаружил серьезную уязвимость, затрагивающую несколько токенов. Хотя уязвимость была своевременно устранена, около 604 тысяч долларов США в WETH и AVAX были похищены.
Проблема заключалась в том, что Multichain неправильно проверял законность токенов, переданных пользователями, что привело к тому, что WETH некоторых пользователей был переведен на злонамеренные адреса, созданные атакующими. Команда Multichain успешно вернула почти 50% украденных средств и предложила план компенсации, но он ограничен пользователями, отменившими авторизацию до указанной даты.
QBridge: убытки в 80 миллионов долларов, лишь небольшие выплаты
В конце января 2022 года кроссчейн мост QBridge платформы кредитования Qubit был атакован, в результате чего были потеряны около 80 миллионов долларов. Злоумышленники использовали уязвимость QBridge при обработке переводов токенов из белого списка, успешно создав большое количество xETH токенов на BSC из воздуха и используя эти токены для заимствования других активов из Qubit.
В настоящее время использование Qubit значительно снизилось, официальные данные показывают, что все еще 98% украденных средств не были компенсированы.
Meter.io: убытки в 4,4 миллиона долларов, обещание компенсации будущих доходов
В феврале 2022 года кроссчейн мост Meter Passport подвергся атаке, в результате которой было потеряно 4,4 миллиона долларов. Атака произошла из-за "ошибочного доверия" в оригинальном коде Meter при его расширении, что позволило хакерам подделать переводы BNB и ETH.
Команда Meter изначально планировала компенсировать убытки пользователей с помощью токенов MTRG, но позже решила выпустить новые токены PASS в качестве компенсации и пообещала выкупать эти токены за счет будущих доходов. Однако до сих пор не было проведено никаких операций по выкупу.
Ronin: 620 миллионов долларов украдено, полностью компенсировано
В марте 2022 года блокчейн Ronin, стоящий за Axie Infinity, подвергся серьезной атаке, в результате которой было потеряно до 620 миллионов долларов. Эта атака использовала сложные методы социальной инженерии, и злоумышленники, замаскировавшись под рекрутинговую компанию, успешно проникли в сеть Ronin и контролировали несколько узлов проверки.
Хотя украденные средства не были возвращены, компания Sky Mavis, стоящая за Ronin,迅速 собрала 150 миллионов долларов для возмещения убытков пользователей. Следует отметить, что из-за значительного падения цены ETH в период между атакой и компенсацией фактическая стоимость возмещения, полученная пользователями, оказалась ниже стоимости активов на момент кражи.
Wormhole: убытки в размере 326 миллионов долларов, полное возмещение.
В начале февраля 2022 года кросс-чейн протокол Wormhole подвергся атаке, в результате которой было потеряно около 120000 ETH на сумму 326 миллионов долларов. Злоумышленник использовал уязвимость в проверке подписи основного контракта Wormhole на стороне Solana, успешно подделав сообщение "опекуна" для выпуска большого количества whETH.
К счастью, Jump Crypto, стоящий за Wormhole, быстро вложил 120000 ETH, полностью компенсировав убытки, что позволило Wormhole быстро восстановить работу.
EvoDeFi: оцененные потери составляют более 10 миллионов долларов, не решены
В июне 2022 года на DEX ValleySwap в экосистеме Oasis произошла серьезная девальвация USDT, что привело к огромным потерям пользователей. Проблема возникла из-за недостатка ликвидности на исходной цепи в кроссчейн мосте EVODeFi, используемом ValleySwap.
Хотя точная сумма убытков неизвестна, предполагается, что она составляет десятки миллионов долларов. К сожалению, связанные стороны пытаются снять с себя ответственность, и пользователи до сих пор не получили никакой компенсации или решения.
Horizon: убытки почти в 100 миллионов долларов, план компенсации все еще разрабатывается
В июне 2022 года официальный кроссчейн мост Harmony Horizon подвергся атаке, в результате которой было потеряно около 100 миллионов долларов. Расследование показало, что атака могла быть вызвана утечкой приватного ключа.
Команда Harmony предложила постепенно возместить убытки пользователей в течение 3 лет путем эмиссии дополнительных токенов ONE, но это предложение не получило поддержки сообщества. В настоящее время разрабатывается новый план компенсации.
Nomad: 190 миллионов долларов украдено, часть средств может быть возвращена
В августе 2022 года кроссчейн протокол Nomad столкнулся с серьезным инцидентом безопасности, в результате которого было утеряно 190 миллионов долларов. Атака произошла из-за серьезной ошибки при обновлении контракта, которая позволила любому человеку извлекать средства из моста.
Это событие затрагивает большое количество адресов, среди которых есть пользователи доменных имен ENS. Хотя официальные лица еще не представили четкий план компенсации, некоторые белые хакеры уже выразили желание вернуть средства, что принесло надежду на окончательное решение.
Резюме
Оглядываясь на эти важные события атак на кроссчейн мосты, мы можем увидеть:
Кроссчейн мост все еще является высокорисковой областью в экосистеме DeFi, даже известные проекты не застрахованы от атак.
Причины атак разнообразны, включая уязвимости контрактов, проблемы управления доступом, атаки социальной инженерии и т.д., командам проектов необходимо всесторонне усиливать меры безопасности.
Фон проекта и финансовая мощь имеют решающее значение для последующей обработки. Проекты с сильной финансовой базой часто могут быстро привлечь средства для компенсации, в то время как небольшим проектам может быть трудно выжить.
Реальное время мониторинга и быстрая реакция могут эффективно снизить убытки. Некоторые проекты смогли избежать массовых атак благодаря своевременному выявлению и обработке подозрительной активности.
Пользователи должны осторожно выбирать кроссчейн мост, отдавая предпочтение проектам с хорошей репутацией и поддержкой, а также следить за предупреждениями о безопасности и обновлениями от команды проекта.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
кроссчейн мост атака убытков почти 2 миллиарда долларов 1.5 миллиарда долларов уже компенсированы
Обзор инцидента с кроссчейн мостом: убытки почти 2 миллиарда долларов, более 1,5 миллиарда долларов получено в качестве компенсации
В последние годы, с быстрым развитием экосистемы блокчейна, кроссчейн мосты стали важной инфраструктурой, соединяющей различные публичные блокчейны. Однако, из-за хранения значительных объемов средств и частых кросс-чейн операций, кроссчейн мосты также стали热门目标ом для хакерских атак. В этой статье будет рассмотрено 10 недавних крупных атак на кроссчейн мосты, подведены итоги причин и последствий, а также меры реагирования различных проектов.
ChainSwap: Два нападения привели к убыткам почти в 9 миллионов долларов
В июле 2021 года ChainSwap за короткие 9 дней подвергся двум хакерским атакам. Первая атака привела к убыткам около 800 000 долларов, вторая же составила целых 8 000 000 долларов, затронув более 20 проектов, использующих ChainSwap для кросс-чейн.
Исследование показывает, что атака произошла из-за того, что протокол не смог строго проверить действительность подписи, что позволило злоумышленникам использовать сгенерированные ими подписи для выполнения транзакций. Поскольку основными потерями стали токены управления, ChainSwap и несколько затронутых проектов выбрали проведение снимка и повторное выпуск токенов для компенсации убытков держателей и поставщиков ликвидности.
Poly Network: 6,1 миллиарда долларов США были украдены и полностью возвращены
10 августа 2021 года кросс-чейн протокол Poly Network подвергся крупнейшей на тот момент атаке в DeFi, в результате которой на трех сетях — Ethereum, Binance Smart Chain и Polygon — было потеряно около 610 миллионов долларов активов.
Атакующий использовал уязвимость в логике управления правами контракта Poly Network, успешно заменив адреса валидаторов целевой цепи, тем самым получив права на перевод активов. Несмотря на мастерство атаки, хакер в конечном итоге решил вернуть все средства, и Poly Network назвал его "белым хакером" и пригласил занять пост главного консультанта по безопасности компании.
Multichain: убыток в 6 миллионов долларов, частично компенсирован
В январе 2022 года Multichain обнаружил серьезную уязвимость, затрагивающую несколько токенов. Хотя уязвимость была своевременно устранена, около 604 тысяч долларов США в WETH и AVAX были похищены.
Проблема заключалась в том, что Multichain неправильно проверял законность токенов, переданных пользователями, что привело к тому, что WETH некоторых пользователей был переведен на злонамеренные адреса, созданные атакующими. Команда Multichain успешно вернула почти 50% украденных средств и предложила план компенсации, но он ограничен пользователями, отменившими авторизацию до указанной даты.
QBridge: убытки в 80 миллионов долларов, лишь небольшие выплаты
В конце января 2022 года кроссчейн мост QBridge платформы кредитования Qubit был атакован, в результате чего были потеряны около 80 миллионов долларов. Злоумышленники использовали уязвимость QBridge при обработке переводов токенов из белого списка, успешно создав большое количество xETH токенов на BSC из воздуха и используя эти токены для заимствования других активов из Qubit.
В настоящее время использование Qubit значительно снизилось, официальные данные показывают, что все еще 98% украденных средств не были компенсированы.
Meter.io: убытки в 4,4 миллиона долларов, обещание компенсации будущих доходов
В феврале 2022 года кроссчейн мост Meter Passport подвергся атаке, в результате которой было потеряно 4,4 миллиона долларов. Атака произошла из-за "ошибочного доверия" в оригинальном коде Meter при его расширении, что позволило хакерам подделать переводы BNB и ETH.
Команда Meter изначально планировала компенсировать убытки пользователей с помощью токенов MTRG, но позже решила выпустить новые токены PASS в качестве компенсации и пообещала выкупать эти токены за счет будущих доходов. Однако до сих пор не было проведено никаких операций по выкупу.
Ronin: 620 миллионов долларов украдено, полностью компенсировано
В марте 2022 года блокчейн Ronin, стоящий за Axie Infinity, подвергся серьезной атаке, в результате которой было потеряно до 620 миллионов долларов. Эта атака использовала сложные методы социальной инженерии, и злоумышленники, замаскировавшись под рекрутинговую компанию, успешно проникли в сеть Ronin и контролировали несколько узлов проверки.
Хотя украденные средства не были возвращены, компания Sky Mavis, стоящая за Ronin,迅速 собрала 150 миллионов долларов для возмещения убытков пользователей. Следует отметить, что из-за значительного падения цены ETH в период между атакой и компенсацией фактическая стоимость возмещения, полученная пользователями, оказалась ниже стоимости активов на момент кражи.
Wormhole: убытки в размере 326 миллионов долларов, полное возмещение.
В начале февраля 2022 года кросс-чейн протокол Wormhole подвергся атаке, в результате которой было потеряно около 120000 ETH на сумму 326 миллионов долларов. Злоумышленник использовал уязвимость в проверке подписи основного контракта Wormhole на стороне Solana, успешно подделав сообщение "опекуна" для выпуска большого количества whETH.
К счастью, Jump Crypto, стоящий за Wormhole, быстро вложил 120000 ETH, полностью компенсировав убытки, что позволило Wormhole быстро восстановить работу.
EvoDeFi: оцененные потери составляют более 10 миллионов долларов, не решены
В июне 2022 года на DEX ValleySwap в экосистеме Oasis произошла серьезная девальвация USDT, что привело к огромным потерям пользователей. Проблема возникла из-за недостатка ликвидности на исходной цепи в кроссчейн мосте EVODeFi, используемом ValleySwap.
Хотя точная сумма убытков неизвестна, предполагается, что она составляет десятки миллионов долларов. К сожалению, связанные стороны пытаются снять с себя ответственность, и пользователи до сих пор не получили никакой компенсации или решения.
Horizon: убытки почти в 100 миллионов долларов, план компенсации все еще разрабатывается
В июне 2022 года официальный кроссчейн мост Harmony Horizon подвергся атаке, в результате которой было потеряно около 100 миллионов долларов. Расследование показало, что атака могла быть вызвана утечкой приватного ключа.
Команда Harmony предложила постепенно возместить убытки пользователей в течение 3 лет путем эмиссии дополнительных токенов ONE, но это предложение не получило поддержки сообщества. В настоящее время разрабатывается новый план компенсации.
Nomad: 190 миллионов долларов украдено, часть средств может быть возвращена
В августе 2022 года кроссчейн протокол Nomad столкнулся с серьезным инцидентом безопасности, в результате которого было утеряно 190 миллионов долларов. Атака произошла из-за серьезной ошибки при обновлении контракта, которая позволила любому человеку извлекать средства из моста.
Это событие затрагивает большое количество адресов, среди которых есть пользователи доменных имен ENS. Хотя официальные лица еще не представили четкий план компенсации, некоторые белые хакеры уже выразили желание вернуть средства, что принесло надежду на окончательное решение.
Резюме
Оглядываясь на эти важные события атак на кроссчейн мосты, мы можем увидеть:
Кроссчейн мост все еще является высокорисковой областью в экосистеме DeFi, даже известные проекты не застрахованы от атак.
Причины атак разнообразны, включая уязвимости контрактов, проблемы управления доступом, атаки социальной инженерии и т.д., командам проектов необходимо всесторонне усиливать меры безопасности.
Фон проекта и финансовая мощь имеют решающее значение для последующей обработки. Проекты с сильной финансовой базой часто могут быстро привлечь средства для компенсации, в то время как небольшим проектам может быть трудно выжить.
Реальное время мониторинга и быстрая реакция могут эффективно снизить убытки. Некоторые проекты смогли избежать массовых атак благодаря своевременному выявлению и обработке подозрительной активности.
Пользователи должны осторожно выбирать кроссчейн мост, отдавая предпочтение проектам с хорошей репутацией и поддержкой, а также следить за предупреждениями о безопасности и обновлениями от команды проекта.