Cầu nối Cross-chain an toàn sự cố hồi tưởng: 10 trường hợp tấn công liên quan đến hơn 1,9 tỷ USD
Trong những năm gần đây, cầu nối Cross-chain đã trở thành mục tiêu tấn công phổ biến của tin tặc. Do nhiều chuỗi công cộng mới nổi thiếu tài sản chính thống, cần phải thông qua cầu nối Cross-chain để lấy tài sản từ các chuỗi công cộng trưởng thành như Ethereum, điều này đã khiến cầu nối Cross-chain trở thành nút giao thông quan trọng cho dòng tiền. Tuy nhiên, những vụ tai nạn an ninh thường xuyên cũng đã phơi bày sự yếu kém của cầu nối Cross-chain. Bài viết này sẽ xem xét 10 vụ tấn công cầu nối Cross-chain lớn, tóm tắt các bài học trong đó, nhằm cung cấp tham khảo cho việc bảo vệ an ninh trong tương lai.
ChainSwap: Hai cuộc tấn công gây thiệt hại khoảng 880 triệu USD
Vào tháng 7 năm 2021, ChainSwap đã遭遇 hai cuộc tấn công mạng chỉ trong vòng 9 ngày. Cuộc tấn công đầu tiên gây ra thiệt hại khoảng 800.000 đô la, trong khi cuộc tấn công thứ hai nghiêm trọng hơn, với thiệt hại lên đến 8 triệu đô la, ảnh hưởng đến hơn 20 dự án sử dụng ChainSwap để thực hiện chuỗi cross.
Các cuộc điều tra cho thấy, những kẻ tấn công đã lợi dụng lỗ hổng trong giao thức khi xác thực tính hợp lệ của chữ ký. Để bù đắp thiệt hại, ChainSwap và nhiều dự án bị ảnh hưởng đã chọn thực hiện chụp nhanh và phát hành lại token.
Poly Network: 6.1 triệu đô la tài sản bị đánh cắp đã được thu hồi toàn bộ
Vào tháng 8 năm 2021, giao thức chuỗi cross Poly Network đã gặp phải một cuộc tấn công quy mô lớn, liên quan đến số tiền lên tới 610 triệu đô la. Kẻ tấn công đã lợi dụng lỗ hổng trong logic quản lý quyền hợp đồng, thành công thay thế địa chỉ người xác thực của chuỗi mục tiêu, từ đó chuyển nhượng một lượng lớn tài sản.
Mặc dù phương pháp tấn công rất tinh vi, nhưng cuối cùng kẻ tấn công đã chọn trả lại toàn bộ số tiền bị đánh cắp. Poly Network gọi đó là "hacker mũ trắng", thậm chí mời người này làm cố vấn an ninh chính. Sự kiện này mặc dù kết thúc bằng hòa giải, nhưng cũng đã phơi bày những rủi ro lớn trong quản lý quyền hạn của cầu nối Cross-chain.
Multichain:600 triệu đô la Mỹ thiệt hại do lỗi đã được bồi thường
Tháng 1 năm 2022, Multichain đã phát hiện một lỗ hổng quan trọng ảnh hưởng đến nhiều loại token. Mặc dù lỗ hổng đã được sửa chữa kịp thời, nhưng vẫn có khoảng 6 triệu USD tài sản bị đánh cắp.
Lỗi này xuất phát từ việc Multichain đã lơ là trong việc xác minh tính hợp pháp của các token mà người dùng nhập, không tính đến việc không phải tất cả các token đều thực hiện các hàm cụ thể. Đội ngũ đã nhanh chóng hành động, thu hồi gần 50% số tiền bị đánh cắp và bồi thường cho những người dùng đã bị thu hồi quyền truy cập thông qua một đề xuất.
QBridge: Mất 80 triệu USD chỉ bồi thường 2%
Vào cuối tháng 1 năm 2022, cầu nối Cross-chain QBridge của Qubit đã bị tấn công, thiệt hại khoảng 80 triệu USD. Kẻ tấn công đã lợi dụng một lỗ hổng trong QBridge khi xử lý chuyển tiền của các token trong danh sách trắng, thành công trong việc đúc ra một lượng lớn token giả trên BSC.
Sự kiện này đã khiến nền tảng Qubit gần như ngừng hoạt động, hiện vẫn có 98% số tiền bị đánh cắp chưa được bồi thường, làm nổi bật sự mong manh của một số dự án khi đối mặt với các sự cố an ninh lớn.
Meter.io: 440 triệu USD thiệt hại, cam kết bồi thường bằng lợi nhuận trong tương lai
Vào tháng 2 năm 2022, cầu nối Cross-chain Meter Passport đã bị tấn công, gây thiệt hại 4,4 triệu USD. Vấn đề nằm ở "giả định niềm tin sai" trong mã nguồn, cho phép kẻ tấn công làm giả chuyển tiền token.
Nhóm Meter ban đầu đề xuất sử dụng token MTRG để bồi thường, nhưng sau đó đã quyết định phát hành token PASS mới. Kế hoạch là sử dụng thu nhập trong tương lai để mua lại những token này, mặc dù chưa có đợt mua lại nào xảy ra. Cách tiếp cận này nhấn mạnh những thách thức trong việc bồi thường cho người dùng sau một vụ vi phạm bảo mật.
Ronin: Trường hợp bị đánh cắp 620 triệu USD đã được bồi thường toàn bộ
Tháng 3 năm 2022, chuỗi Ronin đứng sau Axie Infinity đã gặp phải một sự cố an ninh lớn, với thiệt hại lên tới 620 triệu USD. Cuộc tấn công này đã lợi dụng các phương pháp kỹ thuật xã hội, xâm nhập vào hệ thống của Sky Mavis thông qua việc giả mạo các công ty tuyển dụng.
Mặc dù số tiền bị đánh cắp không thể thu hồi, nhưng Sky Mavis đã nhanh chóng huy động được 150 triệu USD để bồi thường cho người dùng. Trường hợp này cho thấy tầm quan trọng của sự hỗ trợ cộng đồng mạnh mẽ và khả năng phản ứng nhanh trong việc xử lý khủng hoảng.
Wormhole: 3.26 triệu USD thua lỗ được bồi thường ngay lập tức
Vào tháng 2 năm 2022, giao thức chuỗi cross Wormhole đã bị tấn công, thiệt hại khoảng 326 triệu đô la. Kẻ tấn công đã lợi dụng lỗ hổng xác minh chữ ký trong hợp đồng phía Solana, thành công đúc ra một lượng lớn token giả.
Jump Crypto đã nhanh chóng đầu tư 120.000 ETH, hoàn toàn bù đắp cho tổn thất của Wormhole. Trường hợp này cho thấy tầm quan trọng của một nền tảng tài chính vững mạnh trong việc duy trì lòng tin của người dùng.
EvoDeFi: Ước tính thiệt hại lên đến hàng triệu đô la, đến nay vẫn chưa được giải quyết
Vào tháng 6 năm 2022, DEX ValleySwap trong hệ sinh thái Oasis đã xảy ra hiện tượng USDT bị mất giá nghiêm trọng, gây ra tổn thất lớn cho nhiều người dùng. Vấn đề xuất phát từ việc sử dụng cầu nối Cross-chain EVODeFi trên chuỗi nguồn thiếu thanh khoản.
Sự kiện này đã nhấn mạnh tầm quan trọng của việc quản lý thanh khoản của cầu nối Cross-chain, cũng như sự cần thiết phải tiến hành thẩm định đầy đủ khi lựa chọn đối tác.
Horizon: Thiệt hại gần 100 triệu USD, kế hoạch bồi thường vẫn đang được xây dựng.
Vào tháng 6 năm 2022, cầu nối Cross-chain Horizon chính thức của Harmony đã bị tấn công, gây thiệt hại khoảng 100 triệu USD. Cuộc điều tra cho thấy, cuộc tấn công có thể là do rò rỉ khóa riêng.
Harmony ban đầu đã đề xuất việc tạo token để bồi thường, nhưng cộng đồng đã từ chối cách tiếp cận này. Các cuộc thảo luận đang diễn ra xung quanh việc bồi thường làm nổi bật những phức tạp trong việc cân bằng lợi ích của người dùng với sự bền vững của dự án sau một sự cố bảo mật lớn.
Nomad: 1,9 triệu USD bị đánh cắp, một phần quỹ có khả năng được thu hồi
Vào tháng 8 năm 2022, cầu nối Cross-chain của Nomad đã bị tấn công, gây thiệt hại lên đến 190 triệu đô la Mỹ. Cuộc tấn công bắt nguồn từ một lỗi cấu hình trong quá trình nâng cấp hợp đồng, cho phép bất kỳ ai rút tiền từ cầu nối.
Mặc dù thiệt hại rất lớn, nhưng một số hacker mũ trắng cho biết sẵn sàng trả lại tiền, điều này mang lại hy vọng cho việc thu hồi tài sản. Sự kiện này nhấn mạnh tầm quan trọng của việc kiểm tra an ninh nghiêm ngặt khi thực hiện nâng cấp hệ thống.
Tóm tắt
Nhìn lại những sự cố an toàn của các cầu nối Cross-chain này, chúng ta có thể rút ra những kết luận sau:
Cầu nối Cross-chain là một yếu tố rủi ro cao trong hệ sinh thái DeFi, ngay cả những dự án hàng đầu cũng có thể gặp phải vấn đề về an ninh.
Nền tảng đội ngũ phát triển mạnh mẽ và sự hỗ trợ tài chính đầy đủ là rất quan trọng để xử lý sự cố an ninh một cách nhanh chóng.
Cơ chế giám sát thời gian thực và phản ứng nhanh có thể giảm thiểu tổn thất một cách hiệu quả.
Niềm tin của cộng đồng và giao tiếp minh bạch đóng vai trò quan trọng trong việc xử lý khủng hoảng.
Kiểm toán an ninh và xem xét mã nên trở thành điều bình thường, đặc biệt là khi nâng cấp hệ thống.
Các cơ chế như phi tập trung và đa chữ ký có thể nâng cao tính bảo mật của hệ thống, nhưng cần thận trọng khi triển khai.
Người dùng khi chọn cầu nối Cross-chain nên cẩn thận, ưu tiên xem xét các dự án có hồ sơ tốt và hỗ trợ mạnh mẽ.
Với sự phát triển không ngừng của công nghệ chuỗi cross, vấn đề an toàn sẽ tiếp tục là thách thức chính mà lĩnh vực này phải đối mặt. Các nhà phát triển, người dùng và toàn bộ ngành công nghiệp cần phải giữ cảnh giác, không ngừng cải thiện các biện pháp an toàn để xây dựng một hệ sinh thái chuỗi cross an toàn và đáng tin cậy hơn.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Cầu nối Cross-chain an toàn: 10 trường hợp tấn công gây thiệt hại trên 1,9 tỷ USD
Cầu nối Cross-chain an toàn sự cố hồi tưởng: 10 trường hợp tấn công liên quan đến hơn 1,9 tỷ USD
Trong những năm gần đây, cầu nối Cross-chain đã trở thành mục tiêu tấn công phổ biến của tin tặc. Do nhiều chuỗi công cộng mới nổi thiếu tài sản chính thống, cần phải thông qua cầu nối Cross-chain để lấy tài sản từ các chuỗi công cộng trưởng thành như Ethereum, điều này đã khiến cầu nối Cross-chain trở thành nút giao thông quan trọng cho dòng tiền. Tuy nhiên, những vụ tai nạn an ninh thường xuyên cũng đã phơi bày sự yếu kém của cầu nối Cross-chain. Bài viết này sẽ xem xét 10 vụ tấn công cầu nối Cross-chain lớn, tóm tắt các bài học trong đó, nhằm cung cấp tham khảo cho việc bảo vệ an ninh trong tương lai.
ChainSwap: Hai cuộc tấn công gây thiệt hại khoảng 880 triệu USD
Vào tháng 7 năm 2021, ChainSwap đã遭遇 hai cuộc tấn công mạng chỉ trong vòng 9 ngày. Cuộc tấn công đầu tiên gây ra thiệt hại khoảng 800.000 đô la, trong khi cuộc tấn công thứ hai nghiêm trọng hơn, với thiệt hại lên đến 8 triệu đô la, ảnh hưởng đến hơn 20 dự án sử dụng ChainSwap để thực hiện chuỗi cross.
Các cuộc điều tra cho thấy, những kẻ tấn công đã lợi dụng lỗ hổng trong giao thức khi xác thực tính hợp lệ của chữ ký. Để bù đắp thiệt hại, ChainSwap và nhiều dự án bị ảnh hưởng đã chọn thực hiện chụp nhanh và phát hành lại token.
Poly Network: 6.1 triệu đô la tài sản bị đánh cắp đã được thu hồi toàn bộ
Vào tháng 8 năm 2021, giao thức chuỗi cross Poly Network đã gặp phải một cuộc tấn công quy mô lớn, liên quan đến số tiền lên tới 610 triệu đô la. Kẻ tấn công đã lợi dụng lỗ hổng trong logic quản lý quyền hợp đồng, thành công thay thế địa chỉ người xác thực của chuỗi mục tiêu, từ đó chuyển nhượng một lượng lớn tài sản.
Mặc dù phương pháp tấn công rất tinh vi, nhưng cuối cùng kẻ tấn công đã chọn trả lại toàn bộ số tiền bị đánh cắp. Poly Network gọi đó là "hacker mũ trắng", thậm chí mời người này làm cố vấn an ninh chính. Sự kiện này mặc dù kết thúc bằng hòa giải, nhưng cũng đã phơi bày những rủi ro lớn trong quản lý quyền hạn của cầu nối Cross-chain.
Multichain:600 triệu đô la Mỹ thiệt hại do lỗi đã được bồi thường
Tháng 1 năm 2022, Multichain đã phát hiện một lỗ hổng quan trọng ảnh hưởng đến nhiều loại token. Mặc dù lỗ hổng đã được sửa chữa kịp thời, nhưng vẫn có khoảng 6 triệu USD tài sản bị đánh cắp.
Lỗi này xuất phát từ việc Multichain đã lơ là trong việc xác minh tính hợp pháp của các token mà người dùng nhập, không tính đến việc không phải tất cả các token đều thực hiện các hàm cụ thể. Đội ngũ đã nhanh chóng hành động, thu hồi gần 50% số tiền bị đánh cắp và bồi thường cho những người dùng đã bị thu hồi quyền truy cập thông qua một đề xuất.
QBridge: Mất 80 triệu USD chỉ bồi thường 2%
Vào cuối tháng 1 năm 2022, cầu nối Cross-chain QBridge của Qubit đã bị tấn công, thiệt hại khoảng 80 triệu USD. Kẻ tấn công đã lợi dụng một lỗ hổng trong QBridge khi xử lý chuyển tiền của các token trong danh sách trắng, thành công trong việc đúc ra một lượng lớn token giả trên BSC.
Sự kiện này đã khiến nền tảng Qubit gần như ngừng hoạt động, hiện vẫn có 98% số tiền bị đánh cắp chưa được bồi thường, làm nổi bật sự mong manh của một số dự án khi đối mặt với các sự cố an ninh lớn.
Meter.io: 440 triệu USD thiệt hại, cam kết bồi thường bằng lợi nhuận trong tương lai
Vào tháng 2 năm 2022, cầu nối Cross-chain Meter Passport đã bị tấn công, gây thiệt hại 4,4 triệu USD. Vấn đề nằm ở "giả định niềm tin sai" trong mã nguồn, cho phép kẻ tấn công làm giả chuyển tiền token.
Nhóm Meter ban đầu đề xuất sử dụng token MTRG để bồi thường, nhưng sau đó đã quyết định phát hành token PASS mới. Kế hoạch là sử dụng thu nhập trong tương lai để mua lại những token này, mặc dù chưa có đợt mua lại nào xảy ra. Cách tiếp cận này nhấn mạnh những thách thức trong việc bồi thường cho người dùng sau một vụ vi phạm bảo mật.
Ronin: Trường hợp bị đánh cắp 620 triệu USD đã được bồi thường toàn bộ
Tháng 3 năm 2022, chuỗi Ronin đứng sau Axie Infinity đã gặp phải một sự cố an ninh lớn, với thiệt hại lên tới 620 triệu USD. Cuộc tấn công này đã lợi dụng các phương pháp kỹ thuật xã hội, xâm nhập vào hệ thống của Sky Mavis thông qua việc giả mạo các công ty tuyển dụng.
Mặc dù số tiền bị đánh cắp không thể thu hồi, nhưng Sky Mavis đã nhanh chóng huy động được 150 triệu USD để bồi thường cho người dùng. Trường hợp này cho thấy tầm quan trọng của sự hỗ trợ cộng đồng mạnh mẽ và khả năng phản ứng nhanh trong việc xử lý khủng hoảng.
Wormhole: 3.26 triệu USD thua lỗ được bồi thường ngay lập tức
Vào tháng 2 năm 2022, giao thức chuỗi cross Wormhole đã bị tấn công, thiệt hại khoảng 326 triệu đô la. Kẻ tấn công đã lợi dụng lỗ hổng xác minh chữ ký trong hợp đồng phía Solana, thành công đúc ra một lượng lớn token giả.
Jump Crypto đã nhanh chóng đầu tư 120.000 ETH, hoàn toàn bù đắp cho tổn thất của Wormhole. Trường hợp này cho thấy tầm quan trọng của một nền tảng tài chính vững mạnh trong việc duy trì lòng tin của người dùng.
EvoDeFi: Ước tính thiệt hại lên đến hàng triệu đô la, đến nay vẫn chưa được giải quyết
Vào tháng 6 năm 2022, DEX ValleySwap trong hệ sinh thái Oasis đã xảy ra hiện tượng USDT bị mất giá nghiêm trọng, gây ra tổn thất lớn cho nhiều người dùng. Vấn đề xuất phát từ việc sử dụng cầu nối Cross-chain EVODeFi trên chuỗi nguồn thiếu thanh khoản.
Sự kiện này đã nhấn mạnh tầm quan trọng của việc quản lý thanh khoản của cầu nối Cross-chain, cũng như sự cần thiết phải tiến hành thẩm định đầy đủ khi lựa chọn đối tác.
Horizon: Thiệt hại gần 100 triệu USD, kế hoạch bồi thường vẫn đang được xây dựng.
Vào tháng 6 năm 2022, cầu nối Cross-chain Horizon chính thức của Harmony đã bị tấn công, gây thiệt hại khoảng 100 triệu USD. Cuộc điều tra cho thấy, cuộc tấn công có thể là do rò rỉ khóa riêng.
Harmony ban đầu đã đề xuất việc tạo token để bồi thường, nhưng cộng đồng đã từ chối cách tiếp cận này. Các cuộc thảo luận đang diễn ra xung quanh việc bồi thường làm nổi bật những phức tạp trong việc cân bằng lợi ích của người dùng với sự bền vững của dự án sau một sự cố bảo mật lớn.
Nomad: 1,9 triệu USD bị đánh cắp, một phần quỹ có khả năng được thu hồi
Vào tháng 8 năm 2022, cầu nối Cross-chain của Nomad đã bị tấn công, gây thiệt hại lên đến 190 triệu đô la Mỹ. Cuộc tấn công bắt nguồn từ một lỗi cấu hình trong quá trình nâng cấp hợp đồng, cho phép bất kỳ ai rút tiền từ cầu nối.
Mặc dù thiệt hại rất lớn, nhưng một số hacker mũ trắng cho biết sẵn sàng trả lại tiền, điều này mang lại hy vọng cho việc thu hồi tài sản. Sự kiện này nhấn mạnh tầm quan trọng của việc kiểm tra an ninh nghiêm ngặt khi thực hiện nâng cấp hệ thống.
Tóm tắt
Nhìn lại những sự cố an toàn của các cầu nối Cross-chain này, chúng ta có thể rút ra những kết luận sau:
Cầu nối Cross-chain là một yếu tố rủi ro cao trong hệ sinh thái DeFi, ngay cả những dự án hàng đầu cũng có thể gặp phải vấn đề về an ninh.
Nền tảng đội ngũ phát triển mạnh mẽ và sự hỗ trợ tài chính đầy đủ là rất quan trọng để xử lý sự cố an ninh một cách nhanh chóng.
Cơ chế giám sát thời gian thực và phản ứng nhanh có thể giảm thiểu tổn thất một cách hiệu quả.
Niềm tin của cộng đồng và giao tiếp minh bạch đóng vai trò quan trọng trong việc xử lý khủng hoảng.
Kiểm toán an ninh và xem xét mã nên trở thành điều bình thường, đặc biệt là khi nâng cấp hệ thống.
Các cơ chế như phi tập trung và đa chữ ký có thể nâng cao tính bảo mật của hệ thống, nhưng cần thận trọng khi triển khai.
Người dùng khi chọn cầu nối Cross-chain nên cẩn thận, ưu tiên xem xét các dự án có hồ sơ tốt và hỗ trợ mạnh mẽ.
Với sự phát triển không ngừng của công nghệ chuỗi cross, vấn đề an toàn sẽ tiếp tục là thách thức chính mà lĩnh vực này phải đối mặt. Các nhà phát triển, người dùng và toàn bộ ngành công nghiệp cần phải giữ cảnh giác, không ngừng cải thiện các biện pháp an toàn để xây dựng một hệ sinh thái chuỗi cross an toàn và đáng tin cậy hơn.