Огляд аварій безпеки кросчейн моста: 10 основних випадків атак із залученням понад 19 мільярдів доларів
В останні роки кросчейн мости стали популярною мішенню для хакерських атак. Оскільки багато нових публічних блокчейнів не мають основних активів, їм потрібно отримувати активи через кросчейн мости з成熟公链, таких як Ethereum, що робить кросчейн мости важливим вузлом для руху коштів. Однак часті інциденти безпеки також виявили вразливість кросчейн мостів. У цій статті буде розглянуто 10 значних атак на кросчейн мости, підсумовано уроки з них, щоб надати інформацію для майбутнього забезпечення безпеки.
ChainSwap: Два напади завдали збитків приблизно на 8,8 мільйона доларів
У липні 2021 року ChainSwap зазнав двох хакерських атак всього за дев'ять днів. Перша атака призвела до збитків приблизно в 800 тисяч доларів, друга атака була ще серйознішою, зі збитками до 8 мільйонів доларів, що вплинуло на більше ніж 20 проектів, які використовували ChainSwap для крос-ланцюга.
Дослідження показують, що зловмисники скористалися вразливістю протоколу під час перевірки дійсності підпису. Щоб компенсувати збитки, ChainSwap та кілька постраждалих проектів вирішили провести знімок і повторно випустити токени.
Poly Network: 6,1 мільярда доларів США активів були вкрадені, але всі були повернуті
У серпні 2021 року кросчейн протокол Poly Network зазнав великої атаки, в результаті якої було втрачено кошти на суму 610 мільйонів доларів. Зловмисники використали вразливість у логіці управління правами контракту, успішно замінивши адресу валідатора цільового ланцюга, що дозволило їм перемістити велику кількість активів.
Незважаючи на те, що методи атаки були складними, врешті-решт хакер вирішив повернути всі вкрадені кошти. Poly Network назвала його "білим капелюшником" і навіть запросила на посаду головного безпекового консультанта. Ця подія, хоча і закінчилась примиренням, але також виявила серйозні ризики у сфері управління правами в кросчейн мості.
Multichain: Втрати від уразливості на 600 тисяч доларів були компенсовані
У січні 2022 року Multichain виявив важливу уразливість, що вплинула на кілька токенів. Хоча уразливість була своєчасно усунена, близько 604 тисяч доларів активів були вкрадені.
Вразливість виникла через недбалість Multichain у перевірці легітимності токенів, введених користувачами, оскільки не всі токени реалізують певні функції. Команда швидко вжила заходів, повернувши майже 50% вкрадених коштів, і через пропозицію компенсувала користувачів, у яких були відкликані повноваження.
QBridge: $80 мільйонів збитків компенсовано лише на 2%
В кінці січня 2022 року кросчейн міст QBridge компанії Qubit зазнав атаки, в результаті якої було втрачено близько 80 мільйонів доларів. Зловмисники скористалися вразливістю QBridge при обробці трансакцій токенів зі списку білих, успішно випустивши велику кількість фальшивих токенів на BSC.
Ця подія призвела до практично повної зупинки роботи платформи Qubit, наразі 98% викрадених коштів досі не відшкодовані, що підкреслює вразливість деяких проєктів у разі серйозних інцидентів з безпеки.
Meter.io: втрати на 4,4 мільйона доларів, обіцяють компенсувати з майбутніх доходів
У лютому 2022 року кросчейн міст Meter Passport зазнав атаки, що призвела до збитків у 4,4 мільйона доларів. Проблема полягала у "помилкових припущеннях довіри" в базовому коді, що дозволяло зловмисникам підробляти трансакції токенів.
Команда Meter спочатку запропонувала використовувати токени MTRG для компенсації, але пізніше вирішила випустити нові токени PASS. План полягає в тому, щоб використовувати майбутні доходи для викупу цих токенів, хоча викупів ще не відбулося. Цей підхід підкреслює труднощі в компенсації користувачів після порушення безпеки.
Ronin: випадок з крадіжкою 620 мільйонів доларів був повністю відшкодований
У березні 2022 року блокчейн Ronin, що стоїть за Axie Infinity, зазнав серйозної аварії з безпеки, внаслідок якої було втрачено до 620 мільйонів доларів. Цей напад використовував соціальну інженерію, проникаючи в систему Sky Mavis під виглядом фальшивих вакансій компанії.
Незважаючи на те, що вкрадені кошти не вдалося повернути, Sky Mavis швидко зібрала 150 мільйонів доларів для компенсації користувачів. Цей випадок демонструє важливість сильної підтримки спільноти та швидкої реакції у вирішенні криз.
Wormhole: миттєва компенсація за збитки в 326 мільйонів доларів
У лютому 2022 року кросчейн протокол Wormhole зазнав атаки, в результаті якої було втрачено близько 326 мільйонів доларів. Зловмисник скористався вразливістю у перевірці підписів в контракті на стороні Solana, успішно випустивши велику кількість фальшивих токенів.
Jump Crypto швидко інвестувала 120000 ETH, повністю компенсувавши втрати Wormhole. Цей випадок показує важливість потужної фінансової підтримки для підтримки довіри користувачів.
EvoDeFi: оцінка збитків на рівні десятків мільйонів доларів, досі не вирішено
У червні 2022 року на DEX ValleySwap в екосистемі Oasis виникла серйозна девальвація USDT, що призвело до значних втрат для багатьох користувачів. Проблема виникла через недостатню ліквідність кросчейн мосту EVODeFi на вихідному ланцюзі.
Ця подія підкреслила важливість управління ліквідністю кросчейн моста, а також необхідність проведення належної перевірки при виборі партнерів.
Horizon: збитки майже 100 мільйонів доларів, план компенсації все ще розробляється
У червні 2022 року офіційний кросчейн міст Harmony Horizon зазнав атаки, унаслідок чого було втрачено близько 100 мільйонів доларів. Розслідування показало, що атака могла бути викликана витоком приватного ключа.
Гармонія спочатку запропонувала випуск токенів як компенсацію, але громада відкинула цей підхід. Триваючі обговорення щодо компенсації підкреслюють складність балансування інтересів користувачів з стійкістю проєкту після великого інциденту безпеки.
Nomad: вкрадено 190 мільйонів доларів, частину коштів можливо повернути
У серпні 2022 року кросчейн міст Nomad зазнав атаки, внаслідок якої було втрачено до 190 мільйонів доларів США. Атака сталася через помилку конфігурації під час оновлення контракту, що дозволило будь-кому виводити кошти з моста.
Хоча втрати були величезними, деякі білярі чорні хакери заявили про готовність повернути кошти, що вселяє надію на повернення активів. Цей інцидент підкреслив важливість суворого аудиту безпеки під час оновлення систем.
Підсумок
Оглядаючи ці інциденти з безпекою кросчейн мостів, ми можемо зробити такі висновки:
кросчейн міст є високоризиковим етапом у DeFi екосистемі, навіть топові проекти можуть стикатися з проблемами безпеки.
Потужний фон команди розробників та достатнє фінансування є критично важливими для швидкого реагування на інциденти безпеки.
Система моніторингу в режимі реального часу та механізм швидкої реакції можуть ефективно зменшити втрати.
Довіра спільноти та прозора комунікація відіграють важливу роль у кризовому управлінні.
Аудит безпеки та перевірка коду повинні стати нормою, особливо під час оновлення системи.
Децентралізовані механізми та мультипідпис можуть підвищити безпеку системи, але їх впровадження вимагає обережності.
Користувачі повинні обережно вибирати кросчейн міст, надаючи перевагу проектам з хорошою репутацією та сильною підтримкою.
З розвитком технології крос-ланцюг безпекові питання залишатимуться основним викликом у цій сфері. Розробники, користувачі та вся індустрія повинні залишатися на чеку, постійно вдосконалюючи заходи безпеки для створення більш безпечної та надійної екосистеми кросчейн.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Безпека кросчейн мостів: 10 основних випадків атак з втратами понад 1,9 мільярда доларів
Огляд аварій безпеки кросчейн моста: 10 основних випадків атак із залученням понад 19 мільярдів доларів
В останні роки кросчейн мости стали популярною мішенню для хакерських атак. Оскільки багато нових публічних блокчейнів не мають основних активів, їм потрібно отримувати активи через кросчейн мости з成熟公链, таких як Ethereum, що робить кросчейн мости важливим вузлом для руху коштів. Однак часті інциденти безпеки також виявили вразливість кросчейн мостів. У цій статті буде розглянуто 10 значних атак на кросчейн мости, підсумовано уроки з них, щоб надати інформацію для майбутнього забезпечення безпеки.
ChainSwap: Два напади завдали збитків приблизно на 8,8 мільйона доларів
У липні 2021 року ChainSwap зазнав двох хакерських атак всього за дев'ять днів. Перша атака призвела до збитків приблизно в 800 тисяч доларів, друга атака була ще серйознішою, зі збитками до 8 мільйонів доларів, що вплинуло на більше ніж 20 проектів, які використовували ChainSwap для крос-ланцюга.
Дослідження показують, що зловмисники скористалися вразливістю протоколу під час перевірки дійсності підпису. Щоб компенсувати збитки, ChainSwap та кілька постраждалих проектів вирішили провести знімок і повторно випустити токени.
Poly Network: 6,1 мільярда доларів США активів були вкрадені, але всі були повернуті
У серпні 2021 року кросчейн протокол Poly Network зазнав великої атаки, в результаті якої було втрачено кошти на суму 610 мільйонів доларів. Зловмисники використали вразливість у логіці управління правами контракту, успішно замінивши адресу валідатора цільового ланцюга, що дозволило їм перемістити велику кількість активів.
Незважаючи на те, що методи атаки були складними, врешті-решт хакер вирішив повернути всі вкрадені кошти. Poly Network назвала його "білим капелюшником" і навіть запросила на посаду головного безпекового консультанта. Ця подія, хоча і закінчилась примиренням, але також виявила серйозні ризики у сфері управління правами в кросчейн мості.
Multichain: Втрати від уразливості на 600 тисяч доларів були компенсовані
У січні 2022 року Multichain виявив важливу уразливість, що вплинула на кілька токенів. Хоча уразливість була своєчасно усунена, близько 604 тисяч доларів активів були вкрадені.
Вразливість виникла через недбалість Multichain у перевірці легітимності токенів, введених користувачами, оскільки не всі токени реалізують певні функції. Команда швидко вжила заходів, повернувши майже 50% вкрадених коштів, і через пропозицію компенсувала користувачів, у яких були відкликані повноваження.
QBridge: $80 мільйонів збитків компенсовано лише на 2%
В кінці січня 2022 року кросчейн міст QBridge компанії Qubit зазнав атаки, в результаті якої було втрачено близько 80 мільйонів доларів. Зловмисники скористалися вразливістю QBridge при обробці трансакцій токенів зі списку білих, успішно випустивши велику кількість фальшивих токенів на BSC.
Ця подія призвела до практично повної зупинки роботи платформи Qubit, наразі 98% викрадених коштів досі не відшкодовані, що підкреслює вразливість деяких проєктів у разі серйозних інцидентів з безпеки.
Meter.io: втрати на 4,4 мільйона доларів, обіцяють компенсувати з майбутніх доходів
У лютому 2022 року кросчейн міст Meter Passport зазнав атаки, що призвела до збитків у 4,4 мільйона доларів. Проблема полягала у "помилкових припущеннях довіри" в базовому коді, що дозволяло зловмисникам підробляти трансакції токенів.
Команда Meter спочатку запропонувала використовувати токени MTRG для компенсації, але пізніше вирішила випустити нові токени PASS. План полягає в тому, щоб використовувати майбутні доходи для викупу цих токенів, хоча викупів ще не відбулося. Цей підхід підкреслює труднощі в компенсації користувачів після порушення безпеки.
Ronin: випадок з крадіжкою 620 мільйонів доларів був повністю відшкодований
У березні 2022 року блокчейн Ronin, що стоїть за Axie Infinity, зазнав серйозної аварії з безпеки, внаслідок якої було втрачено до 620 мільйонів доларів. Цей напад використовував соціальну інженерію, проникаючи в систему Sky Mavis під виглядом фальшивих вакансій компанії.
Незважаючи на те, що вкрадені кошти не вдалося повернути, Sky Mavis швидко зібрала 150 мільйонів доларів для компенсації користувачів. Цей випадок демонструє важливість сильної підтримки спільноти та швидкої реакції у вирішенні криз.
Wormhole: миттєва компенсація за збитки в 326 мільйонів доларів
У лютому 2022 року кросчейн протокол Wormhole зазнав атаки, в результаті якої було втрачено близько 326 мільйонів доларів. Зловмисник скористався вразливістю у перевірці підписів в контракті на стороні Solana, успішно випустивши велику кількість фальшивих токенів.
Jump Crypto швидко інвестувала 120000 ETH, повністю компенсувавши втрати Wormhole. Цей випадок показує важливість потужної фінансової підтримки для підтримки довіри користувачів.
EvoDeFi: оцінка збитків на рівні десятків мільйонів доларів, досі не вирішено
У червні 2022 року на DEX ValleySwap в екосистемі Oasis виникла серйозна девальвація USDT, що призвело до значних втрат для багатьох користувачів. Проблема виникла через недостатню ліквідність кросчейн мосту EVODeFi на вихідному ланцюзі.
Ця подія підкреслила важливість управління ліквідністю кросчейн моста, а також необхідність проведення належної перевірки при виборі партнерів.
Horizon: збитки майже 100 мільйонів доларів, план компенсації все ще розробляється
У червні 2022 року офіційний кросчейн міст Harmony Horizon зазнав атаки, унаслідок чого було втрачено близько 100 мільйонів доларів. Розслідування показало, що атака могла бути викликана витоком приватного ключа.
Гармонія спочатку запропонувала випуск токенів як компенсацію, але громада відкинула цей підхід. Триваючі обговорення щодо компенсації підкреслюють складність балансування інтересів користувачів з стійкістю проєкту після великого інциденту безпеки.
Nomad: вкрадено 190 мільйонів доларів, частину коштів можливо повернути
У серпні 2022 року кросчейн міст Nomad зазнав атаки, внаслідок якої було втрачено до 190 мільйонів доларів США. Атака сталася через помилку конфігурації під час оновлення контракту, що дозволило будь-кому виводити кошти з моста.
Хоча втрати були величезними, деякі білярі чорні хакери заявили про готовність повернути кошти, що вселяє надію на повернення активів. Цей інцидент підкреслив важливість суворого аудиту безпеки під час оновлення систем.
Підсумок
Оглядаючи ці інциденти з безпекою кросчейн мостів, ми можемо зробити такі висновки:
кросчейн міст є високоризиковим етапом у DeFi екосистемі, навіть топові проекти можуть стикатися з проблемами безпеки.
Потужний фон команди розробників та достатнє фінансування є критично важливими для швидкого реагування на інциденти безпеки.
Система моніторингу в режимі реального часу та механізм швидкої реакції можуть ефективно зменшити втрати.
Довіра спільноти та прозора комунікація відіграють важливу роль у кризовому управлінні.
Аудит безпеки та перевірка коду повинні стати нормою, особливо під час оновлення системи.
Децентралізовані механізми та мультипідпис можуть підвищити безпеку системи, але їх впровадження вимагає обережності.
Користувачі повинні обережно вибирати кросчейн міст, надаючи перевагу проектам з хорошою репутацією та сильною підтримкою.
З розвитком технології крос-ланцюг безпекові питання залишатимуться основним викликом у цій сфері. Розробники, користувачі та вся індустрія повинні залишатися на чеку, постійно вдосконалюючи заходи безпеки для створення більш безпечної та надійної екосистеми кросчейн.