Огляд інцидентів безпеки кросчейн моста: 10 великих атак завдали шкоди на майже 2 мільярди доларів

Кросчейн міст відіграє важливу роль в екосистемі блокчейн, але часті атаки також виявляють його проблеми безпеки. Ця стаття розглядає 10 основних атак на кросчейн мости, що сталися в останні роки, з загальною сумою коштів, яка наближається до 2 мільярдів доларів США, з яких приблизно 1,55 мільярдів доларів США вже було повернуто або виплачено. Ці випадки підкреслюють важливість безпеки кросчейн мостів та надають цінний досвід для галузі.

ChainSwap: дві атаки завдали збитків у 8 мільйонів доларів США

У липні 2021 року ChainSwap зазнав двох атак за короткий проміжок часу у 9 днів: перша атака призвела до втрат приблизно 800 тисяч доларів, друга - до втрат близько 8 мільйонів доларів. Друга атака мала більший масштаб, постраждало понад 20 проектів, що використовують ChainSwap для крос-ланцюга.

Дослідження показують, що атаки використовували вразливість протоколу у перевірці дійсності підписів. Щоб компенсувати збитки, кілька проектів, таких як ChainSwap, відшкодували користувачам через знімки та повторну емісію токенів.

Poly Network: 6,1 мільярда доларів були вкрадені, але повністю повернуті

У серпні 2021 року кросчейн протокол Poly Network зазнав масштабної атаки, внаслідок якої загальні втрати активів на Ethereum, Binance Smart Chain та Polygon склали приблизно 610 мільйонів доларів.

Зловмисник скористався вразливістю в управлінні правами контракту Poly Network і успішно змінив адресу валідатора цільового ланцюга. Незважаючи на великий масштаб атаки, хакер врешті-решт повернув усі вкрадені кошти. Poly Network назвав його "білим капелюшком" і запросив на посаду консультанта з безпеки.

Multichain:6000000 доларів США втрат через уразливість було компенсовано

У січні 2022 року Multichain виявив суттєву вразливість, яка вплинула на кілька токенів. Хоча вразливість була виправлена, деякі активи користувачів залишилися під загрозою. В результаті було вкрадено близько 6,04 мільйона доларів США, що торкнулося 7962 адрес користувачів.

Аналіз показує, що вразливість виникла через недбалість Multichain під час перевірки законності токенів, які надходять від користувачів. Офіційно вже повернуто майже 50% вкрадених коштів і розпочато пропозицію щодо компенсації користувачам, яким було відкликано авторизацію.

QBridge: 8000 мільйонів доларів США збитків лише 2% компенсації

У січні 2022 року кросчейн міст QBridge кредитного протоколу Qubit зазнав атаки, внаслідок чого було втрачено близько 80 мільйонів доларів. Зловмисники скористалися вразливістю QBridge при обробці переказів токенів зі білого списку, успішно випустивши велику кількість підроблених токенів та виснаживши заставу Qubit.

Наразі використання Qubit значно знизилося, 98% вкрадених коштів ще не було компенсовано.

Meter.io: 440 мільйонів доларів США втрат, зобов'язання компенсувати з майбутніх доходів

У лютому 2022 року кросчейн міст Meter Passport зазнав атаки, що призвело до втрат у 4,4 мільйона доларів. Офіційні особи заявили, що проблема полягала в "помилковому довірчому припущенні" в базовому коді.

Meter спочатку планував компенсувати за допомогою токена MTRG, але пізніше вирішив випустити новий токен PASS і пообіцяв викупити його за рахунок майбутніх доходів. Але до цього часу жодного викупу ще не було проведено.

Ronin: фінансування на повне відшкодування після викрадення 620 мільйонів доларів

У березні 2022 року Ronin-ланцюг, який стоїть за Axie Infinity, зазнав серйозної атаки на суму 620 мільйонів доларів. Розслідування показало, що зловмисники отримали доступ до системи за допомогою соціальної інженерії.

Розробник Sky Mavis отримав фінансування в розмірі 150 мільйонів доларів, яке очолила Binance, для компенсації збитків користувачів. Наприкінці червня кросчейн міст Ronin знову запрацював, користувачі можуть отримати компенсацію. Але через різке падіння ціни ETH фактична вартість виплат зменшилася.

Wormhole: негайна компенсація за збитки в розмірі 3,26 мільярда доларів

У лютому 2022 року кросчейн протокол Wormhole зазнав атаки, внаслідок чого було втрачено близько 326 мільйонів доларів. Уразливість виникла через помилку верифікації підпису в контракті на стороні Solana.

Jump Crypto швидко ввів 120000 ETH у Wormhole, компенсуючи всі втрати. Wormhole незабаром відновив роботу.

EvoDeFi: оцінені збитки в понад десять мільйонів доларів не були врегульовані

У червні 2022 року, внаслідок проблем з кросчейн мостом EVO DeFi, USDT на DEX ValleySwap в мережі Oasis зазнав серйозного знецінення. Конкретна сума збитків невідома, але оцінюється на рівні десятків мільйонів доларів.

Причиною події, можливо, є те, що EVO DeFi вкрало активи користувачів через задні двері. Всі сторони поспішили відмежуватися, втрати користувачів досі не вирішені.

Horizon: розробляється план компенсації за збитки в розмірі майже 100 мільйонів доларів

У червні 2022 року офіційний міст Harmony Horizon зазнав атаки, внаслідок якої було втрачено близько 100 мільйонів доларів США. Офіційні особи визнали, що можливо, це сталося через витік приватного ключа.

Harmony раніше запропонував виплатити компенсацію шляхом емісії токенів протягом 3 років, але не отримав підтримки від спільноти. Наразі розробляється новий план компенсації.

Nomad: 1,9 мільярда доларів було вкрадено, частина коштів може бути повернута

У серпні 2022 року міст Nomad зазнав атаки на суму 190 мільйонів доларів. Аналіз показав, що вразливість виникла через помилкове налаштування параметрів під час оновлення контракту.

Атака охоплює 1251 адресу, з яких адреси ENS становлять 38% від загальної суми. Деякі білої шляхи хакери висловили готовність повернути кошти, але сторона проекту ще не надала чіткий план компенсації.

Підсумок

кросчейн міст часто піддається атакам, що підкреслює його високий ризик. Навіть провідні проекти важко можуть повністю уникнути загроз безпеці. У порівнянні з цим, проекти з потужним бекграундом і фінансовими можливостями краще справляються з кризами, мають більшу здатність до повернення активів або компенсації користувачам.

Вчасне виявлення та швидка обробка підозрілої діяльності є надзвичайно важливими. Як Hop Protocol, так і StarGate успішно зупинили хакерські атаки. Безпека кросчейн міст все ще потребує постійних зусиль з боку всіх учасників галузі для постійного вдосконалення.