Cross chain köprüleri güvenlik olayı incelemesi: 10 büyük saldırı yaklaşık 2 milyar dolar kayba neden oldu

Cross chain köprüleri, blockchain ekosisteminde önemli bir rol oynamaktadır, ancak sık sık saldırıya uğraması da güvenlik açıklarını ortaya çıkarmaktadır. Bu makalede son yıllarda gerçekleşen 10 büyük cross chain köprü saldırı olayı derlenmiştir; bu olayların toplamda yaklaşık 2 milyar dolar tutarında fonu etkilemiştir, bunlardan yaklaşık 1.55 milyar doları geri alınmış veya tazmin edilmiştir. Bu vakalar, cross chain köprülerinin güvenliğinin önemini vurgulamakta ve sektöre değerli deneyimler sunmaktadır.

ChainSwap: İki saldırıda 8 milyon dolar kayıp

2021 Temmuz'unda, ChainSwap sadece 9 gün içinde iki saldırıya uğradı, ilki yaklaşık 800.000 $ kayba neden oldu, ikincisi ise yaklaşık 8.000.000 $ kayba yol açtı. İkinci saldırının etkisi daha genişti, ChainSwap kullanarak cross-chain yapan 20'den fazla proje etkilendi.

Araştırmalar, saldırıların protokolün imza geçerliliğini kontrol etme konusundaki açığını kullandığını göstermektedir. Zararları telafi etmek için, ChainSwap gibi birçok proje, kullanıcıları tazmin etmek amacıyla anlık görüntü (snapshot) alarak ve tokenleri yeniden çıkararak bu durumu düzeltmiştir.

Poly Network: 6.1 milyon dolar çalındıktan sonra tamamı geri alındı

2021 Ağustos'unda, cross-chain protokolü Poly Network büyük bir saldırıya uğradı ve Ethereum, Binance Smart Chain ve Polygon üzerindeki varlık kaybı toplamda yaklaşık 610 milyon dolar oldu.

Saldırgan, Poly Network sözleşmesi yetki yönetimindeki bir açığı kullanarak hedef zincirin doğrulayıcı adresini başarıyla değiştirdi. Saldırı ölçeği büyük olmasına rağmen, hacker sonunda çalınan tüm fonları iade etti. Poly Network, onu "beyaz şapkalı hacker" olarak adlandırdı ve güvenlik danışmanı olarak davet etti.

Multichain: 600 milyon dolar açık kaybı tazmin edildi

2022 yılının Ocak ayında, Multichain birçok tokeni etkileyen önemli bir güvenlik açığı keşfetti. Açık kapatılmış olmasına rağmen, hâlâ bazı kullanıcı varlıkları risk altında. Sonunda yaklaşık 6.04 milyon dolarlık varlık çalındı ve 7962 kullanıcı adresi etkilendi.

Analizler, açığın Multichain'in kullanıcıdan gelen Token'ın geçerliliğini kontrol ederkenki dikkatsizliğinden kaynaklandığını gösteriyor. Yetkililer çalınan fonların neredeyse %50'sini geri aldı ve yetkisi iptal edilen kullanıcılara tazminat sağlamak için bir öneri başlattı.

QBridge: 8000 milyon dolar kaybın yalnızca %2'si tazmin edilecektir.

2022 yılının Ocak ayında, kredi protokolü Qubit'in cross-chain köprüleri QBridge saldırıya uğradı ve yaklaşık 80 milyon dolar kaybedildi. Saldırgan, QBridge'in beyaz listeleme token transferlerini işlerkenki açığını kullanarak büyük miktarda sahte token üretti ve Qubit'in teminatını tüketti.

Şu anda Qubit kullanım oranı büyük ölçüde düştü, çalınan fonların %98'i henüz tazmin edilmedi.

Meter.io: 440 milyon dolar zarar taahhüdü, gelecekteki gelirlerle tazmin edilecek

2022 Şubat ayında, Meter Passport cross-chain köprüleri saldırıya uğradı ve 4.4 milyon dolar kayba neden oldu. Yetkililer, sorunun temel koddaki "yanlış güven varsayımı" nedeniyle olduğunu belirtti.

Meter ilk olarak MTRG tokeni ile tazminat vermeyi planladı, ardından yeni token PASS'ı çıkarma kararı aldı ve gelecekteki kazançlarla geri alım yapma sözü verdi. Ancak şu ana kadar herhangi bir geri alım gerçekleştirilmedi.

Ronin: 6.2 milyar dolar çalındıktan sonra finansmanla tam tazminat alındı

2022 Mart ayında, Axie Infinity'nin arkasındaki Ronin ağı 620 milyon dolarlık büyük bir saldırıya uğradı. Araştırmalar, saldırganların sosyal mühendislik yöntemleriyle sistem erişim izni elde ettiğini gösteriyor.

Geliştirici Sky Mavis, kullanıcı kayıplarını tazmin etmek için Binance'in liderlik ettiği 150 milyon dolarlık bir finansman aldı. Haziran ayının sonunda Ronin köprüsü yeniden açıldı, kullanıcılar tazminat alabiliyor. Ancak ETH fiyatının büyük ölçüde düşmesi nedeniyle, gerçek tazminat değeri azalmıştır.

Wormhole: 3.26 milyon dolarlık kayıp anında tazminat alıyor

2022 Şubat ayında, cross-chain protokolü Wormhole saldırıya uğradı ve yaklaşık 3.26 milyon dolar kayıp yaşandı. Açığın kaynağı Solana tarafındaki sözleşmenin imza doğrulama hatasıdır.

Jump Crypto, Wormhole'a hızla 120.000 ETH enjekte ederek tüm kaybı telafi etti. Wormhole kısa sürede yeniden faaliyete geçti.

EvoDeFi: Tahmin edilen kayıplar on milyonlarca dolar işlenmedi

2022 Haziran ayında, EVO DeFi cross-chain köprüleri sorunundan etkilenen Oasis zincirindeki DEX ValleySwap'ın USDT'si ciddi şekilde değer kaybetti. Kesin zarar miktarı bilinmemektedir, ancak on milyonlarca dolar seviyesinde olduğu tahmin edilmektedir.

Olayın nedeni, EVO DeFi'nin arka kapı aracılığıyla kullanıcı varlıklarını çalması olabilir. İlgili taraflar ilişkilerini kurtarmak için acele ediyor, kullanıcıların kayıpları hala herhangi bir çözüm bulamadı.

Horizon: Yaklaşık 100 milyon dolar kayıp için tazminat planı hazırlanıyor

2022 Haziran'ında, Harmony resmi köprüsü Horizon saldırıya uğradı ve yaklaşık 100 milyon dolar kaybedildi. Resmi olarak, bunun özel anahtar sızıntısından kaynaklanmış olabileceği kabul edildi.

Harmony, topluluğun desteğini almadığı için 3 yıl boyunca token artırarak tazminat ödemeyi önerdi. Şu anda tazminat planı yeniden hazırlanıyor.

Nomad: 1.9 milyon dolar çalındı, bazı fonlar geri alınabilir.

2022 Ağustos'unda, Nomad köprüsü 190 milyon dolarlık bir saldırıya uğradı. Analizler, açığın bir sözleşme güncellemesi sırasında parametrelerin yanlış ayarlanmasından kaynaklandığını gösteriyor.

Saldırı, toplam miktarın %38'ini oluşturan ENS adreslerinin bulunduğu 1251 adresi kapsıyor. Bazı beyaz şapkalı hackerlar parayı iade etmeye istekli olduklarını belirttiler, ancak proje ekibi henüz net bir tazminat planı sunmadı.

Özet

Cross chain köprüleri sık sık saldırıya uğramaktadır, bu durum yüksek risk özelliklerini vurgulamaktadır. Önde gelen projeler bile güvenlik risklerinden tamamen kaçınmakta zorlanmaktadır. Buna kıyasla, sağlam bir arka plana ve güçlü finansal kaynaklara sahip projeler krizle başa çıkmada daha iyi performans gösterir, varlık geri alma veya kullanıcı tazminatı sağlama konusunda daha fazla kapasiteye sahiptir.

Şüpheli faaliyetleri zamanında tespit etmek ve hızlı bir şekilde ele almak çok önemlidir. Hop Protokolü ve StarGate, hacker saldırılarını başarıyla durdurmuştur. Cross chain köprülerinin güvenliği, sektörün tüm paydaşlarının sürekli çaba göstermesi ve sürekli olarak iyileştirmesi gereken bir konudur.