Огляд десяти атак на кросчейн міст: збитки перевищили 1,9 мільярда доларів, майже 80% коштів вже повернено або відшкодовано
У сфері блокчейну кросчейн міст як важлива інфраструктура, що з'єднує різні публічні блокчейни, завжди викликала значну увагу щодо своєї безпеки. Останніми роками кілька великих атак виявили вразливості кросчейн містів. У цій статті буде оглянуто десять значних випадків атак на кросчейн мости, підсумовуючи, що загальні збитки становлять до 1,9 мільярда доларів, з яких приблизно 1,55 мільярда доларів вже були повернуті або виплачені.
ChainSwap: Дві атаки призвели до збитків у 8 мільйонів доларів
У липні 2021 року ChainSwap зазнав двох атак всього за 9 днів. Перший раз втрата склала близько 800 тисяч доларів, а під час другого удару втрата зросла до 8 мільйонів доларів, що вплинуло на понад 20 проектів, які користувалися його послугами.
Причиною атаки є те, що протокол не перевіряє суворо дійсність підпису, що дозволяє зловмисникам використовувати самостворені підписи. Як заходи з виправлення ситуації, кілька постраждалих проектів, таких як ChainSwap, вирішили провести знімок і повторно випустити токени.
Poly Network: 6,1 мільярда доларів США, вкрадених після злому, були повністю повернені
У серпні 2021 року Poly Network зазнав найбільшої в той час атаки на DeFi, втративши до 610 мільйонів доларів. Зловмисник скористався вразливістю в управлінні правами контракту, успішно замінивши адресу валідатора та перемістивши активи.
Попри досконалість атак, хакер врешті-решт повернув усі кошти. Poly Network навіть запросила його на посаду головного безпекового консультанта, перетворивши кризу на можливість.
Multichain: Повна компенсація втрат у 6 мільйонів доларів
У січні 2022 року Multichain виявив суттєву уразливість, що вплинула на шість токенів. Хоча вона була своєчасно виправлена, все ще залишалося близько 3000 адрес, які не відкликали авторизацію, що призвело до крадіжки активів на суму приблизно 604 тисячі доларів США.
За результатами розслідування, проблема полягала в перевірці законності введеного користувачем токена. Multichain відшкодував майже половину коштів та через пропозицію компенсує користувачам, у яких були відкликані повноваження.
QBridge: втрати 80 мільйонів доларів компенсовані лише на 2%
Наприкінці січня 2022 року кросчейн міст QBridge платформи кредитування Qubit зазнав атаки, внаслідок якої було втрачено близько 80 мільйонів доларів. Зловмисник скористався вразливістю, пов'язаною з відсутністю повторної перевірки нульової адреси в контракті, і на BSC безпідставно випустив велику кількість токенів xETH.
Наразі використання Qubit дуже низьке, 98% вкрадених коштів ще не були відшкодовані, перспективи проєкту викликають занепокоєння.
Meter.io: 440 мільйонів доларів США збитків, обіцяють компенсувати з майбутніх доходів
У лютому 2022 року кросчейн міст Meter Passport зазнав атаки через "помилкове припущення довіри" в коді, що призвело до збитків у 4,4 мільйона доларів. Зловмисник успішно підробив перекази BNB та ETH.
Meter спочатку запропонував компенсацію за допомогою рідного токена MTRG, але згодом змінив на випуск нового токена PASS і пообіцяв викупити його за рахунок майбутніх доходів. Проте до теперішнього часу не було проведено суттєвого викупу.
Ronin: 6,2 мільярда доларів США втрат вже виплачені в повному обсязі
У березні 2022 року блокчейн Ronin гри Axie Infinity зазнав великої крадіжки коштів на суму 620 мільйонів доларів. Зловмисники отримали права валідації за допомогою соціальної інженерії.
Хоча вкрадені кошти не вдалося повернути, розробник Sky Mavis швидко залучив 150 мільйонів доларів для компенсації. Проте, через різке падіння ціни ETH, реальна вартість компенсації, яку отримали користувачі, зменшилася.
Wormhole: Втрата в 326 мільйонів доларів отримала повну компенсацію
У лютому 2022 року Wormhole зазнав атаки через вразливість контракту на Solana, внаслідок чого було втрачено 120000 ETH, що становить приблизно 326 мільйонів доларів США. Зловмисники використали помилку верифікації підпису для підробки повідомлень і карбування whETH.
На щастя, Jump Crypto швидко інвестував 120 000 ETH, щоб компенсувати всі збитки, що дозволило Wormhole відновити роботу.
EvoDeFi: оцінені мільйонні доларові втрати не були оброблені
У червні 2022 року недостатня ліквідність кросчейн моста EvoDeFi призвела до серйозного детренування активів на DEX ValleySwap екосистеми Oasis. Конкретна сума збитків не відома, але оцінюється в десятки мільйонів доларів.
Усі сторони холодно відреагували на цю подію, Oasis прагне дистанціюватися, а ValleySwap та EvoDeFi, здається, вже припинили свою діяльність, користувачі досі не отримали жодної компенсації за свої втрати.
Horizon: втрати близько 100 мільйонів доларів, план компенсації ще розробляється
У червні 2022 року офіційний кросчейн міст Harmony Horizon зазнав атаки, внаслідок чого було втрачено близько 100 мільйонів доларів. Пізніше підтвердили, що це, ймовірно, сталося через витік приватного ключа.
Harmony раніше пропонував компенсувати користувачів протягом 3 років шляхом випуску додаткових токенів, але не отримав підтримки від спільноти. Наразі розробляється новий план компенсації.
Nomad: втрата 1,9 мільярда доларів, частину коштів можна повернути
У серпні 2022 року Nomad втратив 190 мільйонів доларів через помилку в оновленні контракту. Зловмисники скористалися вразливістю, викликаною тим, що довірений корінь був неправильно ініціалізований на нуль, що дозволило їм легко вилучити кошти з мосту.
Хоча команда проекту ще не представила чіткий план виплат, деякі білі хакери вже висловили готовність повернути кошти, що дає користувачам надію.
Підсумок
кросчейн міст як високо ризикована сфера, навіть провідним проектам важко повністю уникнути аварій безпеки. Однак, команди з потужними ресурсами часто можуть ефективніше вирішувати проблеми після криз, як показують випадки Poly Network, Ronin та Wormhole. Крім того, своєчасний моніторинг і швидка реакція є критично важливими для запобігання атакам, деякі проекти, такі як Hop Protocol та StarGate, успішно зупинили потенційні атаки.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
8 лайків
Нагородити
8
5
Поділіться
Прокоментувати
0/400
GateUser-c802f0e8
· 08-04 16:02
Забрати таку кількість грошей за кілька місяців – це непогано.
Переглянути оригіналвідповісти на0
TokenEconomist
· 08-04 16:01
насправді основна проблема тут – це класичний випадок невдачі валідації підпису... дозвольте мені розкласти це математично p(hack) = f(validation_strictness)
Переглянути оригіналвідповісти на0
DegenGambler
· 08-04 15:59
Цей хакер досить моральний, гроші повернули.
Переглянути оригіналвідповісти на0
GasFeePhobia
· 08-04 15:53
真就离谱 обдурювати людей, як лохів не довго пам'ятаєш
Переглянути оригіналвідповісти на0
SelfSovereignSteve
· 08-04 15:51
Відшкодувати таку велику суму грошей - це досить бик.
Десять атак на кросчейн міст призвели до збитків майже 2 мільярдів доларів, 80% коштів вже повернуто або відшкодовано.
Огляд десяти атак на кросчейн міст: збитки перевищили 1,9 мільярда доларів, майже 80% коштів вже повернено або відшкодовано
У сфері блокчейну кросчейн міст як важлива інфраструктура, що з'єднує різні публічні блокчейни, завжди викликала значну увагу щодо своєї безпеки. Останніми роками кілька великих атак виявили вразливості кросчейн містів. У цій статті буде оглянуто десять значних випадків атак на кросчейн мости, підсумовуючи, що загальні збитки становлять до 1,9 мільярда доларів, з яких приблизно 1,55 мільярда доларів вже були повернуті або виплачені.
ChainSwap: Дві атаки призвели до збитків у 8 мільйонів доларів
У липні 2021 року ChainSwap зазнав двох атак всього за 9 днів. Перший раз втрата склала близько 800 тисяч доларів, а під час другого удару втрата зросла до 8 мільйонів доларів, що вплинуло на понад 20 проектів, які користувалися його послугами.
Причиною атаки є те, що протокол не перевіряє суворо дійсність підпису, що дозволяє зловмисникам використовувати самостворені підписи. Як заходи з виправлення ситуації, кілька постраждалих проектів, таких як ChainSwap, вирішили провести знімок і повторно випустити токени.
Poly Network: 6,1 мільярда доларів США, вкрадених після злому, були повністю повернені
У серпні 2021 року Poly Network зазнав найбільшої в той час атаки на DeFi, втративши до 610 мільйонів доларів. Зловмисник скористався вразливістю в управлінні правами контракту, успішно замінивши адресу валідатора та перемістивши активи.
Попри досконалість атак, хакер врешті-решт повернув усі кошти. Poly Network навіть запросила його на посаду головного безпекового консультанта, перетворивши кризу на можливість.
Multichain: Повна компенсація втрат у 6 мільйонів доларів
У січні 2022 року Multichain виявив суттєву уразливість, що вплинула на шість токенів. Хоча вона була своєчасно виправлена, все ще залишалося близько 3000 адрес, які не відкликали авторизацію, що призвело до крадіжки активів на суму приблизно 604 тисячі доларів США.
За результатами розслідування, проблема полягала в перевірці законності введеного користувачем токена. Multichain відшкодував майже половину коштів та через пропозицію компенсує користувачам, у яких були відкликані повноваження.
QBridge: втрати 80 мільйонів доларів компенсовані лише на 2%
Наприкінці січня 2022 року кросчейн міст QBridge платформи кредитування Qubit зазнав атаки, внаслідок якої було втрачено близько 80 мільйонів доларів. Зловмисник скористався вразливістю, пов'язаною з відсутністю повторної перевірки нульової адреси в контракті, і на BSC безпідставно випустив велику кількість токенів xETH.
Наразі використання Qubit дуже низьке, 98% вкрадених коштів ще не були відшкодовані, перспективи проєкту викликають занепокоєння.
Meter.io: 440 мільйонів доларів США збитків, обіцяють компенсувати з майбутніх доходів
У лютому 2022 року кросчейн міст Meter Passport зазнав атаки через "помилкове припущення довіри" в коді, що призвело до збитків у 4,4 мільйона доларів. Зловмисник успішно підробив перекази BNB та ETH.
Meter спочатку запропонував компенсацію за допомогою рідного токена MTRG, але згодом змінив на випуск нового токена PASS і пообіцяв викупити його за рахунок майбутніх доходів. Проте до теперішнього часу не було проведено суттєвого викупу.
Ronin: 6,2 мільярда доларів США втрат вже виплачені в повному обсязі
У березні 2022 року блокчейн Ronin гри Axie Infinity зазнав великої крадіжки коштів на суму 620 мільйонів доларів. Зловмисники отримали права валідації за допомогою соціальної інженерії.
Хоча вкрадені кошти не вдалося повернути, розробник Sky Mavis швидко залучив 150 мільйонів доларів для компенсації. Проте, через різке падіння ціни ETH, реальна вартість компенсації, яку отримали користувачі, зменшилася.
Wormhole: Втрата в 326 мільйонів доларів отримала повну компенсацію
У лютому 2022 року Wormhole зазнав атаки через вразливість контракту на Solana, внаслідок чого було втрачено 120000 ETH, що становить приблизно 326 мільйонів доларів США. Зловмисники використали помилку верифікації підпису для підробки повідомлень і карбування whETH.
На щастя, Jump Crypto швидко інвестував 120 000 ETH, щоб компенсувати всі збитки, що дозволило Wormhole відновити роботу.
EvoDeFi: оцінені мільйонні доларові втрати не були оброблені
У червні 2022 року недостатня ліквідність кросчейн моста EvoDeFi призвела до серйозного детренування активів на DEX ValleySwap екосистеми Oasis. Конкретна сума збитків не відома, але оцінюється в десятки мільйонів доларів.
Усі сторони холодно відреагували на цю подію, Oasis прагне дистанціюватися, а ValleySwap та EvoDeFi, здається, вже припинили свою діяльність, користувачі досі не отримали жодної компенсації за свої втрати.
Horizon: втрати близько 100 мільйонів доларів, план компенсації ще розробляється
У червні 2022 року офіційний кросчейн міст Harmony Horizon зазнав атаки, внаслідок чого було втрачено близько 100 мільйонів доларів. Пізніше підтвердили, що це, ймовірно, сталося через витік приватного ключа.
Harmony раніше пропонував компенсувати користувачів протягом 3 років шляхом випуску додаткових токенів, але не отримав підтримки від спільноти. Наразі розробляється новий план компенсації.
Nomad: втрата 1,9 мільярда доларів, частину коштів можна повернути
У серпні 2022 року Nomad втратив 190 мільйонів доларів через помилку в оновленні контракту. Зловмисники скористалися вразливістю, викликаною тим, що довірений корінь був неправильно ініціалізований на нуль, що дозволило їм легко вилучити кошти з мосту.
Хоча команда проекту ще не представила чіткий план виплат, деякі білі хакери вже висловили готовність повернути кошти, що дає користувачам надію.
Підсумок
кросчейн міст як високо ризикована сфера, навіть провідним проектам важко повністю уникнути аварій безпеки. Однак, команди з потужними ресурсами часто можуть ефективніше вирішувати проблеми після криз, як показують випадки Poly Network, Ronin та Wormhole. Крім того, своєчасний моніторинг і швидка реакція є критично важливими для запобігання атакам, деякі проекти, такі як Hop Protocol та StarGate, успішно зупинили потенційні атаки.