Cầu nối Cross-chain tấn công sự kiện hồi cứu: gần 2 tỷ USD tổn thất, hơn 1,5 tỷ USD được bồi thường
Trong những năm gần đây, với sự phát triển nhanh chóng của hệ sinh thái blockchain, cầu nối Cross-chain đã trở thành cơ sở hạ tầng quan trọng kết nối các chuỗi công khai khác nhau. Tuy nhiên, do lưu trữ một lượng lớn tiền và thường xuyên thực hiện các hoạt động chuỗi cross, cầu nối Cross-chain cũng trở thành mục tiêu tấn công phổ biến của các hacker. Bài viết này sẽ điểm lại 10 sự kiện tấn công cầu nối Cross-chain lớn xảy ra gần đây, tóm tắt nguyên nhân và tác động, cũng như các biện pháp ứng phó của từng dự án.
ChainSwap: Hai cuộc tấn công gây thiệt hại gần 9 triệu đô la
Vào tháng 7 năm 2021, ChainSwap đã gặp phải hai cuộc tấn công của hacker chỉ trong 9 ngày. Cuộc tấn công đầu tiên gây thiệt hại khoảng 800.000 USD, trong khi cuộc tấn công thứ hai thiệt hại lên đến 8 triệu USD, ảnh hưởng đến hơn 20 dự án sử dụng ChainSwap để thực hiện chuỗi cross.
Khảo sát cho thấy, cuộc tấn công bắt nguồn từ việc giao thức không thể xác thực chặt chẽ tính hợp lệ của chữ ký, dẫn đến việc kẻ tấn công có thể sử dụng chữ ký tự tạo của mình để thực hiện giao dịch. Do thiệt hại chủ yếu là mã thông báo quản trị, ChainSwap và nhiều dự án bị ảnh hưởng đã chọn thực hiện chụp nhanh và phát hành lại mã thông báo để bù đắp cho những tổn thất của người nắm giữ và nhà cung cấp thanh khoản.
Poly Network: Toàn bộ 6.1 triệu đô la bị đánh cắp đã được hoàn trả
Vào ngày 10 tháng 8 năm 2021, giao thức chuỗi cross Poly Network đã gặp phải cuộc tấn công DeFi lớn nhất vào thời điểm đó, gây thiệt hại khoảng 610 triệu đô la tài sản trên ba mạng lưới Ethereum, Binance Smart Chain và Polygon.
Kẻ tấn công đã lợi dụng lỗ hổng trong logic quản lý quyền hạn hợp đồng của Poly Network, thành công thay thế địa chỉ xác thực của chuỗi mục tiêu, từ đó có được quyền chuyển giao tài sản. Mặc dù phương pháp tấn công rất tinh vi, nhưng hacker cuối cùng đã chọn hoàn trả toàn bộ số tiền, Poly Network cũng coi đó là hacker "mũ trắng" và mời họ đảm nhiệm vị trí cố vấn an ninh trưởng của công ty.
Multichain:600 triệu đô la Mỹ thiệt hại, đã bồi thường một phần
Vào tháng 1 năm 2022, Multichain đã phát hiện ra một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều loại token. Mặc dù lỗ hổng đã được sửa chữa kịp thời, nhưng vẫn có khoảng 6 triệu USD WETH và AVAX bị đánh cắp.
Vấn đề nằm ở chỗ Multichain không xác minh đúng tính hợp pháp của Token mà người dùng truyền vào, dẫn đến việc một số WETH của người dùng bị chuyển đến địa chỉ độc hại do kẻ tấn công xây dựng. Đội ngũ Multichain đã thành công trong việc thu hồi gần 50% số tiền bị đánh cắp và đã đề xuất một kế hoạch bồi thường, nhưng chỉ giới hạn cho những người dùng đã hủy quyền trước ngày chỉ định.
QBridge: 80 triệu USD thiệt hại, chỉ bồi thường một phần nhỏ
Vào cuối tháng 1 năm 2022, cầu nối Cross-chain QBridge của nền tảng cho vay Qubit đã bị tấn công, gây thiệt hại khoảng 80 triệu USD. Kẻ tấn công đã lợi dụng một lỗ hổng trong việc xử lý chuyển token trong danh sách trắng của QBridge, thành công trong việc đúc ra một lượng lớn token xETH một cách vô lý trên BSC, và sử dụng những token này để vay các tài sản khác từ Qubit.
Hiện tại, tỷ lệ sử dụng Qubit đã giảm đáng kể, dữ liệu chính thức cho thấy vẫn còn 98% số tiền bị đánh cắp chưa được bồi thường.
Meter.io: Thiệt hại 4,4 triệu USD, cam kết bồi thường lợi nhuận trong tương lai
Tháng 2 năm 2022, cầu nối Cross-chain Meter Passport đã bị tấn công, gây thiệt hại 4,4 triệu USD. Nguồn gốc của cuộc tấn công là do "giả định tin cậy sai lầm" xảy ra khi Meter mở rộng mã gốc, cho phép hacker giả mạo các giao dịch BNB và ETH.
Nhóm Meter ban đầu đã dự định sử dụng token MTRG để bồi thường cho người dùng, nhưng sau đó quyết định phát hành token mới PASS làm bồi thường và hứa hẹn sẽ sử dụng lợi nhuận trong tương lai để mua lại những token này. Tuy nhiên, cho đến nay vẫn chưa có bất kỳ hoạt động mua lại nào được thực hiện.
Ronin: 6,2 triệu đô la Mỹ bị đánh cắp, đã bồi thường toàn bộ
Vào tháng 3 năm 2022, chuỗi Ronin đứng sau Axie Infinity đã gặp phải một cuộc tấn công lớn, với thiệt hại lên tới 620 triệu USD. Cuộc tấn công này liên quan đến các phương pháp kỹ thuật xã hội phức tạp, kẻ tấn công đã giả mạo thành công một công ty tuyển dụng, xâm nhập vào mạng Ronin và kiểm soát nhiều nút xác thực.
Mặc dù số tiền bị đánh cắp không thể thu hồi, nhưng công ty Sky Mavis đứng sau Ronin đã nhanh chóng huy động 150 triệu USD để bồi thường thiệt hại cho người dùng. Đáng chú ý là, do giá ETH đã giảm mạnh từ thời điểm tấn công đến thời điểm bồi thường, giá trị bồi thường thực tế mà người dùng nhận được thấp hơn giá trị tài sản vào thời điểm bị đánh cắp.
Wormhole: 326 triệu USD thiệt hại, nhận bồi thường toàn bộ
Vào đầu tháng 2 năm 2022, giao thức chuỗi cross Wormhole đã bị tấn công, thiệt hại khoảng 120.000 ETH, trị giá 3,26 triệu đô la. Kẻ tấn công đã lợi dụng lỗ hổng xác thực chữ ký trong hợp đồng lõi Wormhole ở đầu Solana, thành công giả mạo thông điệp "người giám hộ" để đúc một lượng lớn whETH.
May mắn thay, Jump Crypto, đơn vị đứng sau Wormhole, đã nhanh chóng bơm vào 120.000 ETH, hoàn toàn bù đắp cho khoản tổn thất, giúp Wormhole có thể nhanh chóng khôi phục hoạt động.
EvoDeFi: Ước tính thiệt hại lên đến hàng chục triệu đô la, chưa được giải quyết
Vào tháng 6 năm 2022, DEX ValleySwap trong hệ sinh thái Oasis đã xuất hiện hiện tượng USDT bị mất giá nghiêm trọng, dẫn đến tổn thất lớn cho nhiều người dùng. Vấn đề bắt nguồn từ cầu nối Cross-chain EVODeFi mà ValleySwap sử dụng không đủ thanh khoản trên chuỗi nguồn.
Mặc dù số tiền thiệt hại chính xác chưa được biết, nhưng ước tính ở mức hàng triệu đô la. Thật đáng tiếc, các bên liên quan đều cố gắng thoái thác trách nhiệm, người dùng vẫn chưa nhận được bất kỳ khoản bồi thường hoặc giải pháp nào cho thiệt hại của họ.
Horizon:Gần 100 triệu USD thiệt hại, kế hoạch bồi thường vẫn đang được xây dựng.
Vào tháng 6 năm 2022, cầu nối Cross-chain Horizon chính thức của chuỗi Harmony đã bị tấn công, gây thiệt hại khoảng 100 triệu USD. Cuộc điều tra cho thấy, cuộc tấn công có thể do sự rò rỉ khóa riêng gây ra.
Nhóm Harmony từng đề xuất bồi thường dần dần cho người dùng trong vòng 3 năm thông qua việc phát hành thêm token ONE, nhưng đề xuất này không nhận được sự ủng hộ từ cộng đồng. Hiện tại, một kế hoạch bồi thường mới đang được xây dựng.
Nomad: 1,9 triệu đô la bị đánh cắp, một phần tài sản có hy vọng được thu hồi
Vào tháng 8 năm 2022, giao thức chuỗi cross Nomad đã gặp phải một sự cố an ninh nghiêm trọng, dẫn đến việc mất 190 triệu USD. Cuộc tấn công bắt nguồn từ một sai sót lớn trong quá trình nâng cấp hợp đồng, cho phép bất kỳ ai có thể rút tiền từ cầu nối Cross-chain.
Sự kiện lần này liên quan đến một lượng lớn địa chỉ, trong đó không ít là người dùng tên miền ENS. Mặc dù chính thức vẫn chưa đưa ra kế hoạch bồi thường rõ ràng, nhưng đã có một số hacker mũ trắng bày tỏ sẵn sàng hoàn trả lại tiền, mang lại hy vọng cho việc giải quyết cuối cùng.
Tóm tắt
Nhìn lại những sự kiện tấn công cầu nối Cross-chain nghiêm trọng này, chúng ta có thể thấy:
Cầu nối Cross-chain vẫn là lĩnh vực có rủi ro cao trong hệ sinh thái DeFi, ngay cả những dự án nổi tiếng cũng khó tránh khỏi bị tấn công.
Nguyên nhân tấn công đa dạng, bao gồm lỗ hổng hợp đồng, vấn đề quản lý quyền, tấn công kỹ thuật xã hội, v.v., các bên dự án cần tăng cường bảo vệ an ninh toàn diện.
Bối cảnh dự án và sức mạnh tài chính rất quan trọng đối với việc xử lý hậu quả. Các dự án có sức mạnh tài chính mạnh mẽ thường có thể nhanh chóng huy động vốn để bồi thường, trong khi các dự án nhỏ có thể khó tồn tại.
Giám sát thời gian thực và phản ứng nhanh có thể giảm thiểu tổn thất một cách hiệu quả. Một số dự án đã thành công trong việc tránh các cuộc tấn công quy mô lớn bằng cách phát hiện và xử lý kịp thời các hoạt động khả nghi.
Người dùng nên cẩn trọng khi chọn cầu nối Cross-chain, ưu tiên xem xét các dự án có sức mạnh và nền tảng, đồng thời cũng cần chú ý theo dõi kịp thời các cảnh báo và cập nhật an toàn từ phía dự án.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
23 thích
Phần thưởng
23
5
Chia sẻ
Bình luận
0/400
Degentleman
· 07-30 14:17
Bày bày bày, lại là hợp đồng bị đâm.
Xem bản gốcTrả lời0
StakeHouseDirector
· 07-29 23:32
Ngày thường được chơi cho Suckers
Xem bản gốcTrả lời0
ThesisInvestor
· 07-28 14:59
Làm vậy đã nhiều năm rồi mà vẫn xảy ra chuyện này.
cầu nối Cross-chain tấn công gây thiệt hại gần 2 tỷ USD, 1.5 tỷ USD đã được bồi thường
Cầu nối Cross-chain tấn công sự kiện hồi cứu: gần 2 tỷ USD tổn thất, hơn 1,5 tỷ USD được bồi thường
Trong những năm gần đây, với sự phát triển nhanh chóng của hệ sinh thái blockchain, cầu nối Cross-chain đã trở thành cơ sở hạ tầng quan trọng kết nối các chuỗi công khai khác nhau. Tuy nhiên, do lưu trữ một lượng lớn tiền và thường xuyên thực hiện các hoạt động chuỗi cross, cầu nối Cross-chain cũng trở thành mục tiêu tấn công phổ biến của các hacker. Bài viết này sẽ điểm lại 10 sự kiện tấn công cầu nối Cross-chain lớn xảy ra gần đây, tóm tắt nguyên nhân và tác động, cũng như các biện pháp ứng phó của từng dự án.
ChainSwap: Hai cuộc tấn công gây thiệt hại gần 9 triệu đô la
Vào tháng 7 năm 2021, ChainSwap đã gặp phải hai cuộc tấn công của hacker chỉ trong 9 ngày. Cuộc tấn công đầu tiên gây thiệt hại khoảng 800.000 USD, trong khi cuộc tấn công thứ hai thiệt hại lên đến 8 triệu USD, ảnh hưởng đến hơn 20 dự án sử dụng ChainSwap để thực hiện chuỗi cross.
Khảo sát cho thấy, cuộc tấn công bắt nguồn từ việc giao thức không thể xác thực chặt chẽ tính hợp lệ của chữ ký, dẫn đến việc kẻ tấn công có thể sử dụng chữ ký tự tạo của mình để thực hiện giao dịch. Do thiệt hại chủ yếu là mã thông báo quản trị, ChainSwap và nhiều dự án bị ảnh hưởng đã chọn thực hiện chụp nhanh và phát hành lại mã thông báo để bù đắp cho những tổn thất của người nắm giữ và nhà cung cấp thanh khoản.
Poly Network: Toàn bộ 6.1 triệu đô la bị đánh cắp đã được hoàn trả
Vào ngày 10 tháng 8 năm 2021, giao thức chuỗi cross Poly Network đã gặp phải cuộc tấn công DeFi lớn nhất vào thời điểm đó, gây thiệt hại khoảng 610 triệu đô la tài sản trên ba mạng lưới Ethereum, Binance Smart Chain và Polygon.
Kẻ tấn công đã lợi dụng lỗ hổng trong logic quản lý quyền hạn hợp đồng của Poly Network, thành công thay thế địa chỉ xác thực của chuỗi mục tiêu, từ đó có được quyền chuyển giao tài sản. Mặc dù phương pháp tấn công rất tinh vi, nhưng hacker cuối cùng đã chọn hoàn trả toàn bộ số tiền, Poly Network cũng coi đó là hacker "mũ trắng" và mời họ đảm nhiệm vị trí cố vấn an ninh trưởng của công ty.
Multichain:600 triệu đô la Mỹ thiệt hại, đã bồi thường một phần
Vào tháng 1 năm 2022, Multichain đã phát hiện ra một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều loại token. Mặc dù lỗ hổng đã được sửa chữa kịp thời, nhưng vẫn có khoảng 6 triệu USD WETH và AVAX bị đánh cắp.
Vấn đề nằm ở chỗ Multichain không xác minh đúng tính hợp pháp của Token mà người dùng truyền vào, dẫn đến việc một số WETH của người dùng bị chuyển đến địa chỉ độc hại do kẻ tấn công xây dựng. Đội ngũ Multichain đã thành công trong việc thu hồi gần 50% số tiền bị đánh cắp và đã đề xuất một kế hoạch bồi thường, nhưng chỉ giới hạn cho những người dùng đã hủy quyền trước ngày chỉ định.
QBridge: 80 triệu USD thiệt hại, chỉ bồi thường một phần nhỏ
Vào cuối tháng 1 năm 2022, cầu nối Cross-chain QBridge của nền tảng cho vay Qubit đã bị tấn công, gây thiệt hại khoảng 80 triệu USD. Kẻ tấn công đã lợi dụng một lỗ hổng trong việc xử lý chuyển token trong danh sách trắng của QBridge, thành công trong việc đúc ra một lượng lớn token xETH một cách vô lý trên BSC, và sử dụng những token này để vay các tài sản khác từ Qubit.
Hiện tại, tỷ lệ sử dụng Qubit đã giảm đáng kể, dữ liệu chính thức cho thấy vẫn còn 98% số tiền bị đánh cắp chưa được bồi thường.
Meter.io: Thiệt hại 4,4 triệu USD, cam kết bồi thường lợi nhuận trong tương lai
Tháng 2 năm 2022, cầu nối Cross-chain Meter Passport đã bị tấn công, gây thiệt hại 4,4 triệu USD. Nguồn gốc của cuộc tấn công là do "giả định tin cậy sai lầm" xảy ra khi Meter mở rộng mã gốc, cho phép hacker giả mạo các giao dịch BNB và ETH.
Nhóm Meter ban đầu đã dự định sử dụng token MTRG để bồi thường cho người dùng, nhưng sau đó quyết định phát hành token mới PASS làm bồi thường và hứa hẹn sẽ sử dụng lợi nhuận trong tương lai để mua lại những token này. Tuy nhiên, cho đến nay vẫn chưa có bất kỳ hoạt động mua lại nào được thực hiện.
Ronin: 6,2 triệu đô la Mỹ bị đánh cắp, đã bồi thường toàn bộ
Vào tháng 3 năm 2022, chuỗi Ronin đứng sau Axie Infinity đã gặp phải một cuộc tấn công lớn, với thiệt hại lên tới 620 triệu USD. Cuộc tấn công này liên quan đến các phương pháp kỹ thuật xã hội phức tạp, kẻ tấn công đã giả mạo thành công một công ty tuyển dụng, xâm nhập vào mạng Ronin và kiểm soát nhiều nút xác thực.
Mặc dù số tiền bị đánh cắp không thể thu hồi, nhưng công ty Sky Mavis đứng sau Ronin đã nhanh chóng huy động 150 triệu USD để bồi thường thiệt hại cho người dùng. Đáng chú ý là, do giá ETH đã giảm mạnh từ thời điểm tấn công đến thời điểm bồi thường, giá trị bồi thường thực tế mà người dùng nhận được thấp hơn giá trị tài sản vào thời điểm bị đánh cắp.
Wormhole: 326 triệu USD thiệt hại, nhận bồi thường toàn bộ
Vào đầu tháng 2 năm 2022, giao thức chuỗi cross Wormhole đã bị tấn công, thiệt hại khoảng 120.000 ETH, trị giá 3,26 triệu đô la. Kẻ tấn công đã lợi dụng lỗ hổng xác thực chữ ký trong hợp đồng lõi Wormhole ở đầu Solana, thành công giả mạo thông điệp "người giám hộ" để đúc một lượng lớn whETH.
May mắn thay, Jump Crypto, đơn vị đứng sau Wormhole, đã nhanh chóng bơm vào 120.000 ETH, hoàn toàn bù đắp cho khoản tổn thất, giúp Wormhole có thể nhanh chóng khôi phục hoạt động.
EvoDeFi: Ước tính thiệt hại lên đến hàng chục triệu đô la, chưa được giải quyết
Vào tháng 6 năm 2022, DEX ValleySwap trong hệ sinh thái Oasis đã xuất hiện hiện tượng USDT bị mất giá nghiêm trọng, dẫn đến tổn thất lớn cho nhiều người dùng. Vấn đề bắt nguồn từ cầu nối Cross-chain EVODeFi mà ValleySwap sử dụng không đủ thanh khoản trên chuỗi nguồn.
Mặc dù số tiền thiệt hại chính xác chưa được biết, nhưng ước tính ở mức hàng triệu đô la. Thật đáng tiếc, các bên liên quan đều cố gắng thoái thác trách nhiệm, người dùng vẫn chưa nhận được bất kỳ khoản bồi thường hoặc giải pháp nào cho thiệt hại của họ.
Horizon:Gần 100 triệu USD thiệt hại, kế hoạch bồi thường vẫn đang được xây dựng.
Vào tháng 6 năm 2022, cầu nối Cross-chain Horizon chính thức của chuỗi Harmony đã bị tấn công, gây thiệt hại khoảng 100 triệu USD. Cuộc điều tra cho thấy, cuộc tấn công có thể do sự rò rỉ khóa riêng gây ra.
Nhóm Harmony từng đề xuất bồi thường dần dần cho người dùng trong vòng 3 năm thông qua việc phát hành thêm token ONE, nhưng đề xuất này không nhận được sự ủng hộ từ cộng đồng. Hiện tại, một kế hoạch bồi thường mới đang được xây dựng.
Nomad: 1,9 triệu đô la bị đánh cắp, một phần tài sản có hy vọng được thu hồi
Vào tháng 8 năm 2022, giao thức chuỗi cross Nomad đã gặp phải một sự cố an ninh nghiêm trọng, dẫn đến việc mất 190 triệu USD. Cuộc tấn công bắt nguồn từ một sai sót lớn trong quá trình nâng cấp hợp đồng, cho phép bất kỳ ai có thể rút tiền từ cầu nối Cross-chain.
Sự kiện lần này liên quan đến một lượng lớn địa chỉ, trong đó không ít là người dùng tên miền ENS. Mặc dù chính thức vẫn chưa đưa ra kế hoạch bồi thường rõ ràng, nhưng đã có một số hacker mũ trắng bày tỏ sẵn sàng hoàn trả lại tiền, mang lại hy vọng cho việc giải quyết cuối cùng.
Tóm tắt
Nhìn lại những sự kiện tấn công cầu nối Cross-chain nghiêm trọng này, chúng ta có thể thấy:
Cầu nối Cross-chain vẫn là lĩnh vực có rủi ro cao trong hệ sinh thái DeFi, ngay cả những dự án nổi tiếng cũng khó tránh khỏi bị tấn công.
Nguyên nhân tấn công đa dạng, bao gồm lỗ hổng hợp đồng, vấn đề quản lý quyền, tấn công kỹ thuật xã hội, v.v., các bên dự án cần tăng cường bảo vệ an ninh toàn diện.
Bối cảnh dự án và sức mạnh tài chính rất quan trọng đối với việc xử lý hậu quả. Các dự án có sức mạnh tài chính mạnh mẽ thường có thể nhanh chóng huy động vốn để bồi thường, trong khi các dự án nhỏ có thể khó tồn tại.
Giám sát thời gian thực và phản ứng nhanh có thể giảm thiểu tổn thất một cách hiệu quả. Một số dự án đã thành công trong việc tránh các cuộc tấn công quy mô lớn bằng cách phát hiện và xử lý kịp thời các hoạt động khả nghi.
Người dùng nên cẩn trọng khi chọn cầu nối Cross-chain, ưu tiên xem xét các dự án có sức mạnh và nền tảng, đồng thời cũng cần chú ý theo dõi kịp thời các cảnh báo và cập nhật an toàn từ phía dự án.