Обзор инцидентов безопасности кроссчейн мостов: 10 крупных случаев атак с общими убытками свыше 1,9 миллиарда долларов США
В последние годы кроссчейн мосты стали популярной целью для хакерских атак. Поскольку многие новые публичные блокчейны не имеют основных активов, необходимо получать активы через кроссчейн мосты из таких зрелых публичных блокчейнов, как Эфириум, что делает кроссчейн мосты важным узлом для движения средств. Однако частые инциденты безопасности также выявили уязвимость кроссчейн мостов. В этой статье рассматриваются 10 крупных инцидентов атак на кроссчейн мосты, подводятся итоги уроков, чтобы предоставить рекомендации для будущей безопасности.
ChainSwap: Убытки от двух атак составили около 8,8 миллиона долларов США
В июле 2021 года ChainSwap столкнулся с двумя хакерскими атаками всего за 9 дней. Первая атака привела к потерям около 800 000 долларов, вторая атака была еще более серьезной, с потерями до 8 000 000 долларов, затронув более 20 проектов, использующих ChainSwap для кросс-чейн.
Исследование показывает, что злоумышленники использовали уязвимость протокола при проверке действительности подписей. Чтобы компенсировать убытки, ChainSwap и несколько пострадавших проектов решили провести снимок и повторно выпустить токены.
Poly Network: 6,1 миллиарда долларов активов были украдены и полностью возвращены
В августе 2021 года кросс-чейн протокол Poly Network стал жертвой масштабной атаки, в результате которой было похищено 610 миллионов долларов. Злоумышленники использовали уязвимость в логике управления правами контракта, успешно заменив адреса валидаторов целевой цепи, в результате чего было перемещено значительное количество активов.
Несмотря на то, что методы атаки были сложными, в конечном итоге хакер решил вернуть все украденные средства. Poly Network назвал его "белым хакером" и даже пригласил занять пост главного консультанта по безопасности. Хотя это событие завершилось примирением, оно также выявило серьезные риски в управлении правами доступа к кроссчейн мостам.
Multichain: убытки от уязвимости на 6 миллионов долларов были возмещены
В январе 2022 года Multichain обнаружил важную уязвимость, затрагивающую множество токенов. Хотя уязвимость была своевременно устранена, около 6,04 миллиона долларов активов все же были украдены.
Уязвимость возникла из-за небрежности Multichain при проверке законности токенов, вводимых пользователями, так как не все токены реализуют определенные функции. Команда быстро приняла меры, вернув почти 50% украденных средств и компенсировав пользователям, чьи авторизации были отозваны, через предложение.
QBridge: убытки в 80 миллионов долларов компенсированы лишь на 2%
В конце января 2022 года кроссчейн мост QBridge от Qubit подвергся атаке, в результате которой было потеряно около 80 миллионов долларов. Нападающие использовали уязвимость QBridge при обработке переводов токенов из белого списка и успешно создали большое количество поддельных токенов на BSC.
Этот инцидент привел к почти полной остановке работы платформы Qubit, и в настоящее время 98% украденных средств еще не были возмещены, что подчеркивает уязвимость некоторых проектов при столкновении с серьезными инцидентами безопасности.
Meter.io: убытки в 4,4 миллиона долларов, обещание компенсировать за счет будущих доходов
В феврале 2022 года мост кросс-чейн Meter Passport подвергся атаке, в результате чего было потеряно 4,4 миллиона долларов. Проблема заключалась в "ошибочном предположении о доверии" в базовом коде, что позволило злоумышленникам подделывать переводы токенов.
Команда Meter изначально предложила использовать токены MTRG в качестве компенсации, но позже решила выпустить новые токены PASS. План заключается в том, чтобы использовать будущие доходы для выкупа этих токенов, хотя выкупов пока не происходило. Этот подход подчеркивает трудности с компенсацией пользователей после нарушения безопасности.
Ronin: случай кражи на 620 миллионов долларов полностью компенсирован
В марте 2022 года цепочка Ronin, стоящая за Axie Infinity, столкнулась с серьезным инцидентом безопасности, в результате которого был потерян 620 миллионов долларов. Атака использовала методы социальной инженерии, проникая в систему Sky Mavis под предлогом поддельного найма компании.
Несмотря на то, что украденные средства не были возвращены, Sky Mavis быстро собрала 150 миллионов долларов для компенсации пользователям. Этот случай демонстрирует важность сильной поддержки сообщества и быстрой реакции в управлении кризисами.
Wormhole: мгновенная компенсация за убытки в размере 326 миллионов долларов
В феврале 2022 года кросс-чейн протокол Wormhole подвергся атаке, в результате которой было потеряно около 326 миллионов долларов. Злоумышленник использовал уязвимость проверки подписи в смарт-контракте на стороне Solana, успешно создав огромное количество поддельных токенов.
Jump Crypto быстро инвестировал 120000 ETH, полностью компенсировав убытки Wormhole. Этот случай демонстрирует важность мощной финансовой поддержки для поддержания доверия пользователей.
EvoDeFi: оценка ущерба в десятки миллионов долларов, до сих пор не решена
В июне 2022 года на DEX ValleySwap в экосистеме Oasis произошел серьезный выход USDT из паритета, что привело к значительным потерям пользователей. Проблема возникла из-за недостатка ликвидности на исходной цепочке в кроссчейн мосте EVODeFi.
Это событие подчеркнуло важность управления ликвидностью кроссчейн моста и необходимость проведения тщательной проверки при выборе партнеров.
Horizon: убытки почти в 100 миллионов долларов, план компенсации все еще разрабатывается
В июне 2022 года официальный кроссчейн мост Harmony Horizon подвергся атаке, в результате которой было потеряно около 100 миллионов долларов. Расследование показало, что атака могла быть вызвана утечкой приватного ключа.
Harmony изначально предложила создание токенов в качестве компенсации, но сообщество отклонило этот подход. Текущие обсуждения вокруг компенсации подчеркивают сложности балансировки интересов пользователей с устойчивостью проекта после крупного инцидента безопасности.
Nomad: 1,9 миллиарда долларов были украдены, часть средств может быть возвращена
В августе 2022 года кроссчейн мост Nomad подвергся атаке, в результате которой были потеряны средства на сумму до 190 миллионов долларов. Атака была вызвана ошибкой конфигурации во время обновления контракта, что позволило любому извлекать средства из моста.
Несмотря на огромные потери, некоторые белые хакеры заявили о готовности вернуть средства, что принесло надежду на возврат активов. Этот инцидент подчеркивает важность строгого контроля безопасности при проведении системных обновлений.
Резюме
Оглядываясь на эти инциденты безопасности кроссчейн моста, мы можем сделать следующие выводы:
Кроссчейн мост является высокорисковым элементом в экосистеме DeFi, даже топовые проекты могут сталкиваться с проблемами безопасности.
Сильный фон команды разработчиков и достаточная финансовая поддержка имеют решающее значение для быстрого реагирования на инциденты безопасности.
Реальное время мониторинга и механизм быстрого реагирования могут эффективно снизить потери.
Доверие сообщества и прозрачная коммуникация играют важную роль в управлении кризисами.
Аудит безопасности и ревизия кода должны стать нормой, особенно во время обновления системы.
Механизмы, такие как децентрализация и мультиподпись, могут повысить безопасность системы, но их реализация требует осторожности.
Пользователи должны быть осторожны при выборе кроссчейн моста, отдавая предпочтение проектам с хорошей репутацией и сильной поддержкой.
С развитием кросс-чейн технологий вопросы безопасности будут по-прежнему оставаться основным вызовом в этой области. Разработчики, пользователи и вся индустрия должны оставаться настороже и постоянно улучшать меры безопасности, чтобы создать более безопасную и надежную кроссчейн экосистему.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Обзор безопасности кроссчейн моста: 10 крупных случаев атак с потерями более 1,9 миллиарда долларов
Обзор инцидентов безопасности кроссчейн мостов: 10 крупных случаев атак с общими убытками свыше 1,9 миллиарда долларов США
В последние годы кроссчейн мосты стали популярной целью для хакерских атак. Поскольку многие новые публичные блокчейны не имеют основных активов, необходимо получать активы через кроссчейн мосты из таких зрелых публичных блокчейнов, как Эфириум, что делает кроссчейн мосты важным узлом для движения средств. Однако частые инциденты безопасности также выявили уязвимость кроссчейн мостов. В этой статье рассматриваются 10 крупных инцидентов атак на кроссчейн мосты, подводятся итоги уроков, чтобы предоставить рекомендации для будущей безопасности.
ChainSwap: Убытки от двух атак составили около 8,8 миллиона долларов США
В июле 2021 года ChainSwap столкнулся с двумя хакерскими атаками всего за 9 дней. Первая атака привела к потерям около 800 000 долларов, вторая атака была еще более серьезной, с потерями до 8 000 000 долларов, затронув более 20 проектов, использующих ChainSwap для кросс-чейн.
Исследование показывает, что злоумышленники использовали уязвимость протокола при проверке действительности подписей. Чтобы компенсировать убытки, ChainSwap и несколько пострадавших проектов решили провести снимок и повторно выпустить токены.
Poly Network: 6,1 миллиарда долларов активов были украдены и полностью возвращены
В августе 2021 года кросс-чейн протокол Poly Network стал жертвой масштабной атаки, в результате которой было похищено 610 миллионов долларов. Злоумышленники использовали уязвимость в логике управления правами контракта, успешно заменив адреса валидаторов целевой цепи, в результате чего было перемещено значительное количество активов.
Несмотря на то, что методы атаки были сложными, в конечном итоге хакер решил вернуть все украденные средства. Poly Network назвал его "белым хакером" и даже пригласил занять пост главного консультанта по безопасности. Хотя это событие завершилось примирением, оно также выявило серьезные риски в управлении правами доступа к кроссчейн мостам.
Multichain: убытки от уязвимости на 6 миллионов долларов были возмещены
В январе 2022 года Multichain обнаружил важную уязвимость, затрагивающую множество токенов. Хотя уязвимость была своевременно устранена, около 6,04 миллиона долларов активов все же были украдены.
Уязвимость возникла из-за небрежности Multichain при проверке законности токенов, вводимых пользователями, так как не все токены реализуют определенные функции. Команда быстро приняла меры, вернув почти 50% украденных средств и компенсировав пользователям, чьи авторизации были отозваны, через предложение.
QBridge: убытки в 80 миллионов долларов компенсированы лишь на 2%
В конце января 2022 года кроссчейн мост QBridge от Qubit подвергся атаке, в результате которой было потеряно около 80 миллионов долларов. Нападающие использовали уязвимость QBridge при обработке переводов токенов из белого списка и успешно создали большое количество поддельных токенов на BSC.
Этот инцидент привел к почти полной остановке работы платформы Qubit, и в настоящее время 98% украденных средств еще не были возмещены, что подчеркивает уязвимость некоторых проектов при столкновении с серьезными инцидентами безопасности.
Meter.io: убытки в 4,4 миллиона долларов, обещание компенсировать за счет будущих доходов
В феврале 2022 года мост кросс-чейн Meter Passport подвергся атаке, в результате чего было потеряно 4,4 миллиона долларов. Проблема заключалась в "ошибочном предположении о доверии" в базовом коде, что позволило злоумышленникам подделывать переводы токенов.
Команда Meter изначально предложила использовать токены MTRG в качестве компенсации, но позже решила выпустить новые токены PASS. План заключается в том, чтобы использовать будущие доходы для выкупа этих токенов, хотя выкупов пока не происходило. Этот подход подчеркивает трудности с компенсацией пользователей после нарушения безопасности.
Ronin: случай кражи на 620 миллионов долларов полностью компенсирован
В марте 2022 года цепочка Ronin, стоящая за Axie Infinity, столкнулась с серьезным инцидентом безопасности, в результате которого был потерян 620 миллионов долларов. Атака использовала методы социальной инженерии, проникая в систему Sky Mavis под предлогом поддельного найма компании.
Несмотря на то, что украденные средства не были возвращены, Sky Mavis быстро собрала 150 миллионов долларов для компенсации пользователям. Этот случай демонстрирует важность сильной поддержки сообщества и быстрой реакции в управлении кризисами.
Wormhole: мгновенная компенсация за убытки в размере 326 миллионов долларов
В феврале 2022 года кросс-чейн протокол Wormhole подвергся атаке, в результате которой было потеряно около 326 миллионов долларов. Злоумышленник использовал уязвимость проверки подписи в смарт-контракте на стороне Solana, успешно создав огромное количество поддельных токенов.
Jump Crypto быстро инвестировал 120000 ETH, полностью компенсировав убытки Wormhole. Этот случай демонстрирует важность мощной финансовой поддержки для поддержания доверия пользователей.
EvoDeFi: оценка ущерба в десятки миллионов долларов, до сих пор не решена
В июне 2022 года на DEX ValleySwap в экосистеме Oasis произошел серьезный выход USDT из паритета, что привело к значительным потерям пользователей. Проблема возникла из-за недостатка ликвидности на исходной цепочке в кроссчейн мосте EVODeFi.
Это событие подчеркнуло важность управления ликвидностью кроссчейн моста и необходимость проведения тщательной проверки при выборе партнеров.
Horizon: убытки почти в 100 миллионов долларов, план компенсации все еще разрабатывается
В июне 2022 года официальный кроссчейн мост Harmony Horizon подвергся атаке, в результате которой было потеряно около 100 миллионов долларов. Расследование показало, что атака могла быть вызвана утечкой приватного ключа.
Harmony изначально предложила создание токенов в качестве компенсации, но сообщество отклонило этот подход. Текущие обсуждения вокруг компенсации подчеркивают сложности балансировки интересов пользователей с устойчивостью проекта после крупного инцидента безопасности.
Nomad: 1,9 миллиарда долларов были украдены, часть средств может быть возвращена
В августе 2022 года кроссчейн мост Nomad подвергся атаке, в результате которой были потеряны средства на сумму до 190 миллионов долларов. Атака была вызвана ошибкой конфигурации во время обновления контракта, что позволило любому извлекать средства из моста.
Несмотря на огромные потери, некоторые белые хакеры заявили о готовности вернуть средства, что принесло надежду на возврат активов. Этот инцидент подчеркивает важность строгого контроля безопасности при проведении системных обновлений.
Резюме
Оглядываясь на эти инциденты безопасности кроссчейн моста, мы можем сделать следующие выводы:
Кроссчейн мост является высокорисковым элементом в экосистеме DeFi, даже топовые проекты могут сталкиваться с проблемами безопасности.
Сильный фон команды разработчиков и достаточная финансовая поддержка имеют решающее значение для быстрого реагирования на инциденты безопасности.
Реальное время мониторинга и механизм быстрого реагирования могут эффективно снизить потери.
Доверие сообщества и прозрачная коммуникация играют важную роль в управлении кризисами.
Аудит безопасности и ревизия кода должны стать нормой, особенно во время обновления системы.
Механизмы, такие как децентрализация и мультиподпись, могут повысить безопасность системы, но их реализация требует осторожности.
Пользователи должны быть осторожны при выборе кроссчейн моста, отдавая предпочтение проектам с хорошей репутацией и сильной поддержкой.
С развитием кросс-чейн технологий вопросы безопасности будут по-прежнему оставаться основным вызовом в этой области. Разработчики, пользователи и вся индустрия должны оставаться настороже и постоянно улучшать меры безопасности, чтобы создать более безопасную и надежную кроссчейн экосистему.