Cross chain köprüleri saldırı olayı incelemesi: Yaklaşık 2 milyar dolar kayıp, 1.5 milyar dolar tazminat alındı
Son yıllarda, blockchain ekosisteminin hızlı gelişimi ile birlikte, cross-chain köprüleri farklı kamu blok zincirlerini birbirine bağlayan önemli bir altyapı haline geldi. Ancak, büyük miktarda fon depolaması ve sık sık cross-chain işlemleri gerçekleştirmesi nedeniyle, cross-chain köprüleri de hacker saldırıları için popüler bir hedef haline geldi. Bu makalede, son zamanlarda meydana gelen 10 önemli cross-chain köprü saldırı olayını gözden geçirecek, nedenlerini ve etkilerini özetleyecek ve projelerin yanıt önlemlerini inceleyeceğiz.
ChainSwap: İki saldırı sonucu yaklaşık 9 milyon dolar kayıp
2021 Temmuz'unda, ChainSwap sadece 9 gün içinde iki kez siber saldırıya uğradı. İlk saldırı yaklaşık 800.000 dolarlık bir zarara yol açtı, ikinci saldırı ise 8.000.000 dolara kadar çıktı ve ChainSwap'ı kullanan 20'den fazla projeyi etkiledi.
Araştırmalar, saldırının protokolün imza geçerliliğini sıkı bir şekilde doğrulamaması nedeniyle kaynaklandığını ve bu durumun saldırganların kendi oluşturdukları imzaları kullanarak işlem gerçekleştirebilmesine yol açtığını gösteriyor. Başlıca kayıplar yönetim token'ları olduğundan, ChainSwap ve etkilenen birçok proje, sahiplerin ve likidite sağlayıcılarının kayıplarını telafi etmek için bir anlık görüntü almayı ve token'ları yeniden çıkarmayı seçti.
Poly Network: 6.1 milyon dolar çalındıktan sonra tamamen geri ödendi
10 Ağustos 2021'de, cross-chain protokolü Poly Network, o zamanın en büyük DeFi saldırısına uğradı ve Ethereum, Binance Akıllı Zinciri ve Polygon ağları üzerinde toplamda yaklaşık 610 milyon dolar değerinde varlık kaybı yaşandı.
Saldırgan, Poly Network sözleşmesi yetki yönetimi mantığındaki açığı kullanarak hedef zincirin doğrulayıcı adresini başarıyla değiştirdi ve böylece varlıkları transfer etme yetkisini elde etti. Saldırı yöntemi ustaca olmasına rağmen, hacker sonunda tüm fonları iade etmeyi seçti, Poly Network da onu "beyaz şapkalı" hacker olarak adlandırdı ve şirketin baş güvenlik danışmanı olarak davet etti.
Multichain: 6 milyon dolar kayıp, kısmen tazmin edildi
2022 yılının Ocak ayında, Multichain çeşitli tokenları etkileyen önemli bir güvenlik açığı keşfetti. Güvenlik açığı zamanında düzeltildi, ancak yaklaşık 6.04 milyon dolarlık WETH ve AVAX çalındı.
Sorun, Multichain'in kullanıcı tarafından iletilen Token'ın geçerliliğini doğru bir şekilde doğrulamamasından kaynaklanıyor, bu da bazı kullanıcıların WETH'lerinin saldırganların oluşturduğu kötü niyetli adreslere aktarılmasına neden oldu. Multichain ekibi çalınan fonların neredeyse %50'sini geri almayı başardı ve tazminat önerisi sundu, ancak bu sadece belirlenen tarih öncesinde yetkilendirmeyi iptal eden kullanıcılar için geçerlidir.
QBridge: 80 milyon dolar kayıp, yalnızca az miktarda tazminat
2022 yılının Ocak ayı sonunda, borç verme platformu Qubit'in cross-chain köprüleri QBridge saldırıya uğradı ve yaklaşık 80 milyon dolar kaybedildi. Saldırganlar, QBridge'in beyaz listeye alınmış token transferlerini işlerken bir açığını kullanarak BSC'de çok sayıda xETH token'ı boşuna mintlediler ve bu token'larla Qubit'ten diğer varlıkları ödünç aldılar.
Şu anda, Qubit'in kullanım oranı büyük ölçüde düşmüştür ve resmi veriler, çalınan fonların %98'inin hala geri ödenmediğini göstermektedir.
Meter.io: 4.4 milyon dolar kayıp, gelecekteki kazançların tazminatı taahhüt edildi
2022'nin Şubat ayında, Meter Passport cross-chain köprüleri saldırıya uğradı ve 4.4 milyon dolar zarar meydana geldi. Saldırı, Meter'ın orijinal kodu genişletirken ortaya çıkan "yanlış güven varsayımı" nedeniyle gerçekleşti ve bu durum hackerların BNB ve ETH transferlerini sahte olarak yapmasına olanak tanıdı.
Meter ekibi başlangıçta kullanıcı kayıplarını tazmin etmek için MTRG tokenlerini kullanmayı planladı, ancak daha sonra tazminat olarak yeni PASS tokenini çıkarma kararı aldı ve bu tokenleri gelecekteki kazançlarla geri alacaklarını taahhüt etti. Ancak, bugüne kadar herhangi bir geri alma işlemi yapılmadı.
Ronin: 6.2 milyar dolar çalındı, tam tazminat ödendi
2022 Mart ayında, Axie Infinity'nin arkasındaki Ronin ağı büyük bir saldırıya uğradı ve 620 milyon dolar kaybedildi. Bu saldırı, karmaşık sosyal mühendislik yöntemlerini içeriyordu; saldırganlar, işe alım şirketi olarak kendilerini gizleyerek Ronin ağına sızmayı ve birden fazla doğrulama düğümünü kontrol altına almayı başardılar.
Hırsızlıkla alınan fonlar geri alınamamış olmasına rağmen, Ronin'in arkasındaki Sky Mavis şirketi, kullanıcı kayıplarını tazmin etmek için hızla 150 milyon dolar topladı. Dikkate değer olan, ETH fiyatının saldırı ile tazminat dönemi arasında büyük ölçüde düşmesi nedeniyle, kullanıcıların gerçekte aldıkları tazminatın, çalındığı zamandaki varlık değerinin altında olmasıdır.
Wormhole: 326 milyon dolar kayıp, tam tazminat alındı
2022 yılının Şubat ayının başlarında, cross-chain protokolü Wormhole saldırıya uğradı ve yaklaşık 120,000 ETH kaybedildi, bu da 3.26 milyar dolar değerindeydi. Saldırgan, Solana tarafındaki Wormhole ana sözleşmesindeki imza doğrulama açığını kullanarak, büyük miktarda whETH basmak için "gözetmen" mesajını başarıyla sahteledi.
Neyse ki, Wormhole'un arkasındaki Jump Crypto, 120,000 ETH'yi hızla yatırdı ve kaybı tamamen telafi etti, bu sayede Wormhole'un hızlı bir şekilde operasyonlarına geri dönmesini sağladı.
EvoDeFi: Tahmini kayıplar on milyonlarca dolar, çözülmedi.
2022 Haziranında, Oasis ekosistemindeki DEX ValleySwap'da USDT'nin ciddi bir depegging durumu ortaya çıktı ve bu durum birçok kullanıcı kaybına neden oldu. Sorun, ValleySwap'ın kullandığı cross-chain köprüleri EVODeFi'nin kaynak zincirindeki likidite eksikliğinden kaynaklanıyor.
Kesin kayıp miktarı bilinmemekle birlikte, on milyonlarca dolar seviyesinde olduğu tahmin ediliyor. Ne yazık ki, ilgili taraflar sorumluluktan kaçınmaya çalıştı, kullanıcı kayıpları için şu ana kadar herhangi bir tazminat veya çözüm sağlanmadı.
Horizon: Yaklaşık 100 milyon dolar zarar, tazminat planı hala hazırlanıyor.
2022 Haziran'da, Harmony blok zincirinin resmi cross-chain köprüsü Horizon saldırıya uğradı ve yaklaşık 100 milyon dolar kaybedildi. Soruşturma, saldırının özel anahtar sızıntısından kaynaklanmış olabileceğini gösteriyor.
Harmony ekibi, 3 yıl içinde kullanıcı kayıplarını aşamalı olarak tazmin etmek için ONE token'ının artırılmasını önerdi, ancak bu öneri topluluk tarafından desteklenmedi. Şu anda, yeni bir tazminat planı üzerinde çalışılmakta.
Nomad: 1.9 milyar dolar çalındı, bazı fonların geri alınması umuluyor
Ağustos 2022'de, cross-chain protokolü Nomad büyük bir güvenlik olayı yaşadı ve 190 milyon dolar fon kaybına uğradı. Saldırı, bir sözleşme güncellemesindeki büyük bir hata nedeniyle gerçekleşti ve bu hata herkesin köprüden fon çekmesine izin verdi.
Bu olay birçok adresi kapsıyor ve bunlar arasında ENS alan adı kullanıcıları da bulunuyor. Resmi olarak net bir tazminat planı açıklanmamış olsa da, bazı beyaz şapkalı hackerların fonları iade etmeye istekli olduklarını belirtmeleri, nihai çözüm için umut veriyor.
Özet
Bu önemli cross-chain köprü saldırı olaylarına baktığımızda şunu görebiliriz:
Cross chain köprüleri hâlâ DeFi ekosistemindeki yüksek riskli alanlardır, tanınmış projeler bile saldırılara maruz kalmaktan kaçamaz.
Saldırı nedenleri çeşitlidir, bunlar arasında sözleşme açıkları, yetki yönetimi sorunları, sosyal mühendislik saldırıları vb. bulunmaktadır; proje sahipleri güvenlik korumalarını her açıdan güçlendirmelidir.
Proje arka planı ve finansal güç, sonradan işlem için kritik öneme sahiptir. Güçlü projeler, genellikle hızlı bir şekilde tazminat ödemek için fon toplayabilirken, küçük projelerin sürdürülebilirliği zor olabilir.
Gerçek zamanlı izleme ve hızlı yanıt, kayıpları etkili bir şekilde azaltabilir. Bazı projeler, şüpheli faaliyetleri zamanında tespit edip işleyerek büyük ölçekli saldırılardan başarıyla kaçındı.
Kullanıcılar, cross-chain köprüleri seçerken dikkatli olmalı, güçlü ve arka planı olan projeleri öncelikli olarak değerlendirmeli, aynı zamanda proje ekibinin güvenlik uyarılarına ve güncellemelerine zamanında dikkat etmelidir.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
23 Likes
Reward
23
5
Share
Comment
0/400
Degentleman
· 07-30 14:17
Bitti bitti, yine bir sözleşme ifşa edildi.
View OriginalReply0
StakeHouseDirector
· 07-29 23:32
Günlük Emiciler Tarafından Oyuna Getirilmek
View OriginalReply0
ThesisInvestor
· 07-28 14:59
Bu kadar yıl geçmesine rağmen hala böyle bir olay oluyor.
Cross chain köprüleri saldırısı kaybı 2 milyar dolara yakın, 1.5 milyar dolar tazminat alındı.
Cross chain köprüleri saldırı olayı incelemesi: Yaklaşık 2 milyar dolar kayıp, 1.5 milyar dolar tazminat alındı
Son yıllarda, blockchain ekosisteminin hızlı gelişimi ile birlikte, cross-chain köprüleri farklı kamu blok zincirlerini birbirine bağlayan önemli bir altyapı haline geldi. Ancak, büyük miktarda fon depolaması ve sık sık cross-chain işlemleri gerçekleştirmesi nedeniyle, cross-chain köprüleri de hacker saldırıları için popüler bir hedef haline geldi. Bu makalede, son zamanlarda meydana gelen 10 önemli cross-chain köprü saldırı olayını gözden geçirecek, nedenlerini ve etkilerini özetleyecek ve projelerin yanıt önlemlerini inceleyeceğiz.
ChainSwap: İki saldırı sonucu yaklaşık 9 milyon dolar kayıp
2021 Temmuz'unda, ChainSwap sadece 9 gün içinde iki kez siber saldırıya uğradı. İlk saldırı yaklaşık 800.000 dolarlık bir zarara yol açtı, ikinci saldırı ise 8.000.000 dolara kadar çıktı ve ChainSwap'ı kullanan 20'den fazla projeyi etkiledi.
Araştırmalar, saldırının protokolün imza geçerliliğini sıkı bir şekilde doğrulamaması nedeniyle kaynaklandığını ve bu durumun saldırganların kendi oluşturdukları imzaları kullanarak işlem gerçekleştirebilmesine yol açtığını gösteriyor. Başlıca kayıplar yönetim token'ları olduğundan, ChainSwap ve etkilenen birçok proje, sahiplerin ve likidite sağlayıcılarının kayıplarını telafi etmek için bir anlık görüntü almayı ve token'ları yeniden çıkarmayı seçti.
Poly Network: 6.1 milyon dolar çalındıktan sonra tamamen geri ödendi
10 Ağustos 2021'de, cross-chain protokolü Poly Network, o zamanın en büyük DeFi saldırısına uğradı ve Ethereum, Binance Akıllı Zinciri ve Polygon ağları üzerinde toplamda yaklaşık 610 milyon dolar değerinde varlık kaybı yaşandı.
Saldırgan, Poly Network sözleşmesi yetki yönetimi mantığındaki açığı kullanarak hedef zincirin doğrulayıcı adresini başarıyla değiştirdi ve böylece varlıkları transfer etme yetkisini elde etti. Saldırı yöntemi ustaca olmasına rağmen, hacker sonunda tüm fonları iade etmeyi seçti, Poly Network da onu "beyaz şapkalı" hacker olarak adlandırdı ve şirketin baş güvenlik danışmanı olarak davet etti.
Multichain: 6 milyon dolar kayıp, kısmen tazmin edildi
2022 yılının Ocak ayında, Multichain çeşitli tokenları etkileyen önemli bir güvenlik açığı keşfetti. Güvenlik açığı zamanında düzeltildi, ancak yaklaşık 6.04 milyon dolarlık WETH ve AVAX çalındı.
Sorun, Multichain'in kullanıcı tarafından iletilen Token'ın geçerliliğini doğru bir şekilde doğrulamamasından kaynaklanıyor, bu da bazı kullanıcıların WETH'lerinin saldırganların oluşturduğu kötü niyetli adreslere aktarılmasına neden oldu. Multichain ekibi çalınan fonların neredeyse %50'sini geri almayı başardı ve tazminat önerisi sundu, ancak bu sadece belirlenen tarih öncesinde yetkilendirmeyi iptal eden kullanıcılar için geçerlidir.
QBridge: 80 milyon dolar kayıp, yalnızca az miktarda tazminat
2022 yılının Ocak ayı sonunda, borç verme platformu Qubit'in cross-chain köprüleri QBridge saldırıya uğradı ve yaklaşık 80 milyon dolar kaybedildi. Saldırganlar, QBridge'in beyaz listeye alınmış token transferlerini işlerken bir açığını kullanarak BSC'de çok sayıda xETH token'ı boşuna mintlediler ve bu token'larla Qubit'ten diğer varlıkları ödünç aldılar.
Şu anda, Qubit'in kullanım oranı büyük ölçüde düşmüştür ve resmi veriler, çalınan fonların %98'inin hala geri ödenmediğini göstermektedir.
Meter.io: 4.4 milyon dolar kayıp, gelecekteki kazançların tazminatı taahhüt edildi
2022'nin Şubat ayında, Meter Passport cross-chain köprüleri saldırıya uğradı ve 4.4 milyon dolar zarar meydana geldi. Saldırı, Meter'ın orijinal kodu genişletirken ortaya çıkan "yanlış güven varsayımı" nedeniyle gerçekleşti ve bu durum hackerların BNB ve ETH transferlerini sahte olarak yapmasına olanak tanıdı.
Meter ekibi başlangıçta kullanıcı kayıplarını tazmin etmek için MTRG tokenlerini kullanmayı planladı, ancak daha sonra tazminat olarak yeni PASS tokenini çıkarma kararı aldı ve bu tokenleri gelecekteki kazançlarla geri alacaklarını taahhüt etti. Ancak, bugüne kadar herhangi bir geri alma işlemi yapılmadı.
Ronin: 6.2 milyar dolar çalındı, tam tazminat ödendi
2022 Mart ayında, Axie Infinity'nin arkasındaki Ronin ağı büyük bir saldırıya uğradı ve 620 milyon dolar kaybedildi. Bu saldırı, karmaşık sosyal mühendislik yöntemlerini içeriyordu; saldırganlar, işe alım şirketi olarak kendilerini gizleyerek Ronin ağına sızmayı ve birden fazla doğrulama düğümünü kontrol altına almayı başardılar.
Hırsızlıkla alınan fonlar geri alınamamış olmasına rağmen, Ronin'in arkasındaki Sky Mavis şirketi, kullanıcı kayıplarını tazmin etmek için hızla 150 milyon dolar topladı. Dikkate değer olan, ETH fiyatının saldırı ile tazminat dönemi arasında büyük ölçüde düşmesi nedeniyle, kullanıcıların gerçekte aldıkları tazminatın, çalındığı zamandaki varlık değerinin altında olmasıdır.
Wormhole: 326 milyon dolar kayıp, tam tazminat alındı
2022 yılının Şubat ayının başlarında, cross-chain protokolü Wormhole saldırıya uğradı ve yaklaşık 120,000 ETH kaybedildi, bu da 3.26 milyar dolar değerindeydi. Saldırgan, Solana tarafındaki Wormhole ana sözleşmesindeki imza doğrulama açığını kullanarak, büyük miktarda whETH basmak için "gözetmen" mesajını başarıyla sahteledi.
Neyse ki, Wormhole'un arkasındaki Jump Crypto, 120,000 ETH'yi hızla yatırdı ve kaybı tamamen telafi etti, bu sayede Wormhole'un hızlı bir şekilde operasyonlarına geri dönmesini sağladı.
EvoDeFi: Tahmini kayıplar on milyonlarca dolar, çözülmedi.
2022 Haziranında, Oasis ekosistemindeki DEX ValleySwap'da USDT'nin ciddi bir depegging durumu ortaya çıktı ve bu durum birçok kullanıcı kaybına neden oldu. Sorun, ValleySwap'ın kullandığı cross-chain köprüleri EVODeFi'nin kaynak zincirindeki likidite eksikliğinden kaynaklanıyor.
Kesin kayıp miktarı bilinmemekle birlikte, on milyonlarca dolar seviyesinde olduğu tahmin ediliyor. Ne yazık ki, ilgili taraflar sorumluluktan kaçınmaya çalıştı, kullanıcı kayıpları için şu ana kadar herhangi bir tazminat veya çözüm sağlanmadı.
Horizon: Yaklaşık 100 milyon dolar zarar, tazminat planı hala hazırlanıyor.
2022 Haziran'da, Harmony blok zincirinin resmi cross-chain köprüsü Horizon saldırıya uğradı ve yaklaşık 100 milyon dolar kaybedildi. Soruşturma, saldırının özel anahtar sızıntısından kaynaklanmış olabileceğini gösteriyor.
Harmony ekibi, 3 yıl içinde kullanıcı kayıplarını aşamalı olarak tazmin etmek için ONE token'ının artırılmasını önerdi, ancak bu öneri topluluk tarafından desteklenmedi. Şu anda, yeni bir tazminat planı üzerinde çalışılmakta.
Nomad: 1.9 milyar dolar çalındı, bazı fonların geri alınması umuluyor
Ağustos 2022'de, cross-chain protokolü Nomad büyük bir güvenlik olayı yaşadı ve 190 milyon dolar fon kaybına uğradı. Saldırı, bir sözleşme güncellemesindeki büyük bir hata nedeniyle gerçekleşti ve bu hata herkesin köprüden fon çekmesine izin verdi.
Bu olay birçok adresi kapsıyor ve bunlar arasında ENS alan adı kullanıcıları da bulunuyor. Resmi olarak net bir tazminat planı açıklanmamış olsa da, bazı beyaz şapkalı hackerların fonları iade etmeye istekli olduklarını belirtmeleri, nihai çözüm için umut veriyor.
Özet
Bu önemli cross-chain köprü saldırı olaylarına baktığımızda şunu görebiliriz:
Cross chain köprüleri hâlâ DeFi ekosistemindeki yüksek riskli alanlardır, tanınmış projeler bile saldırılara maruz kalmaktan kaçamaz.
Saldırı nedenleri çeşitlidir, bunlar arasında sözleşme açıkları, yetki yönetimi sorunları, sosyal mühendislik saldırıları vb. bulunmaktadır; proje sahipleri güvenlik korumalarını her açıdan güçlendirmelidir.
Proje arka planı ve finansal güç, sonradan işlem için kritik öneme sahiptir. Güçlü projeler, genellikle hızlı bir şekilde tazminat ödemek için fon toplayabilirken, küçük projelerin sürdürülebilirliği zor olabilir.
Gerçek zamanlı izleme ve hızlı yanıt, kayıpları etkili bir şekilde azaltabilir. Bazı projeler, şüpheli faaliyetleri zamanında tespit edip işleyerek büyük ölçekli saldırılardan başarıyla kaçındı.
Kullanıcılar, cross-chain köprüleri seçerken dikkatli olmalı, güçlü ve arka planı olan projeleri öncelikli olarak değerlendirmeli, aynı zamanda proje ekibinin güvenlik uyarılarına ve güncellemelerine zamanında dikkat etmelidir.