Обзор инцидентов безопасности кроссчейн моста: 10 атак привели к убыткам почти в 2 миллиарда долларов

кроссчейн мост играет важную роль в экосистеме блокчейна, но частые атаки также выявляют его уязвимости. В статье рассматриваются 10 крупных атак на кроссчейн мосты, произошедших за последние годы, с общим объемом средств почти 2 миллиарда долларов, из которых около 1.55 миллиарда долларов были возвращены или компенсированы. Эти примеры подчеркивают важность безопасности кроссчейн мостов и предоставляют ценнейший опыт для отрасли.

ChainSwap: дважды атаковали, убыток составил 8 миллионов долларов США

В июле 2021 года ChainSwap за короткий срок в 9 дней подвергся двум атакам: первая атака привела к убыткам в размере около 800 000 долларов, вторая атака — к убыткам в размере около 8 000 000 долларов. Вторая атака имела более широкий охват, пострадали более 20 проектов, использующих ChainSwap для кросс-чейн.

Исследование показало, что атака использовала уязвимость протокола в проверке действительности подписей. Чтобы компенсировать убытки, такие проекты, как ChainSwap, компенсировали пользователям с помощью создания снимков и повторной эмиссии токенов.

Poly Network: 6,1 миллиарда долларов были украдены, но возвращены в полном объеме

В августе 2021 года кросс-чейн протокол Poly Network подвергся масштабной атаке, в результате чего общие потери активов на Ethereum, Binance Smart Chain и Polygon составили примерно 610 миллионов долларов.

Атакующий использовал уязвимость в управлении правами контракта Poly Network и успешно изменил адреса валидаторов целевой цепи. Несмотря на масштаб атаки, хакер в конечном итоге вернул все похищенные средства. Poly Network назвал его "белым хакером" и пригласил занять должность консультанта по безопасности.

Multichain: 600 миллионов долларов США убытков из-за уязвимости были возмещены

В январе 2022 года Multichain обнаружил серьезную уязвимость, затрагивающую множество токенов. Хотя уязвимость была исправлена, некоторые активы пользователей все еще под угрозой. В итоге было украдено активов на сумму около 6,04 миллиона долларов, затронув 7962 адреса пользователей.

Анализ показывает, что уязвимость возникла из-за недочета Multichain при проверке легитимности токенов, переданных пользователями. Официальные лица уже вернули почти 50% украденных средств и инициировали предложение о компенсации для пользователей, у которых были отменены полномочия.

QBridge: убытки в 80 миллионов долларов компенсированы лишь на 2%

В январе 2022 года кроссчейн мост QBridge кредитного протокола Qubit был атакован, в результате чего были потеряны около 80 миллионов долларов. Злоумышленники использовали уязвимость QBridge при обработке переводов токенов из белого списка, успешно создав огромное количество поддельных токенов и исчерпав обеспечение Qubit.

В настоящее время использование Qubit значительно снизилось, 98% украденных средств еще не были компенсированы.

Meter.io: Обязательство покрыть убытки в размере 4,4 миллиона долларов за счет будущих доходов

В феврале 2022 года кроссчейн мост Meter Passport подвергся атаке, в результате чего был нанесен ущерб в 4,4 миллиона долларов. Официальные лица заявили, что проблема заключалась в "ошибочном предположении о доверии" в базовом коде.

Сначала Meter планировал компенсировать с помощью токена MTRG, затем изменил свои планы и выпустил новый токен PASS, пообещав выкупить его за будущие доходы. Однако на данный момент никаких выкупов не проводилось.

Ronin: финансирование и полное возмещение после кражи на 6,2 миллиарда долларов

В марте 2022 года блокчейн Ronin, за которым стоит Axie Infinity, подвергся серьезной атаке на сумму 620 миллионов долларов. Расследование показало, что злоумышленники получили доступ к системе с помощью социальной инженерии.

Разработчик Sky Mavis получил финансирование в размере 150 миллионов долларов от Binance для компенсации убытков пользователей. В конце июня мост Ronin был снова запущен, пользователи могут получить компенсацию. Однако из-за резкого падения цены ETH фактическая стоимость выплат снизилась.

Wormhole: немедленная компенсация за убытки в размере 326 миллионов долларов

В феврале 2022 года кросс-чейн протокол Wormhole подвергся атаке, в результате чего были потеряны около 326 миллионов долларов. Уязвимость возникла из-за ошибки проверки подписи в контракте на стороне Solana.

Jump Crypto быстро вложила 120000 ETH в Wormhole, компенсировав все потери. Wormhole вскоре восстановила свою работу.

EvoDeFi: предполагаемые убытки в десятки миллионов долларов не были обработаны

В июне 2022 года из-за проблемы с кроссчейн мостом EVO DeFi, USDT на DEX ValleySwap в сети Oasis серьезно отклонился от паритета. Конкретная сумма убытков неизвестна, но оценивается в десятки миллионов долларов.

Причиной события может быть то, что EVO DeFi украл активы пользователей через бэкдор. Все заинтересованные стороны спешат дистанцироваться от ситуации, и пользователи до сих пор не получили никаких решений по своим потерям.

Horizon: разрабатывается план компенсации за убытки близкие к 100 миллионам долларов

В июне 2022 года официальный мост Harmony Horizon был атакован, что привело к потерям около 100 миллионов долларов. Официальные лица признали, что это могло быть вызвано утечкой приватного ключа.

Harmony предложила компенсировать через эмиссию токенов в течение 3 лет, но не получила поддержки сообщества. В настоящее время разрабатывается новый план компенсации.

Nomad: 1.9 миллиарда долларов было украдено, часть средств может быть возвращена

В августе 2022 года мост Nomad подвергся атаке на сумму 190 миллионов долларов. Анализ показал, что уязвимость возникла из-за неправильной установки параметров в процессе обновления контракта.

Атака затронула 1251 адрес, из которых адреса ENS составляют 38% от общей суммы. Некоторые белые хакеры выразили готовность вернуть средства, но проект еще не представил четкий план выплаты.

Резюме

Кроссчейн мосты часто подвергаются атакам, что подчеркивает их высокие рисковые характеристики. Даже ведущие проекты трудно полностью избежать угроз безопасности. В этом отношении проекты с мощным фоном и сильными финансовыми возможностями показывают лучшие результаты в кризисных ситуациях, имея большую способность к возврату активов или компенсации пользователям.

Своевременное обнаружение и быстрое реагирование на подозрительную деятельность имеют решающее значение. Например, Hop Protocol и StarGate успешно предотвратили хакерские атаки. Безопасность кроссчейн мостов требует постоянных усилий со стороны всех участников отрасли для ее постоянного улучшения.