- Rubrique
16k Popularité
51k Popularité
3k Popularité
14k Popularité
30k Popularité
838 Popularité
109k Popularité
26k Popularité
26k Popularité
7k Popularité
- Épingler
16k Popularité
51k Popularité
3k Popularité
14k Popularité
30k Popularité
838 Popularité
109k Popularité
26k Popularité
26k Popularité
7k Popularité
Retour sur les dix plus grands événements d'attaques de ponts cross-chain : pertes de plus de 1,9 milliard de dollars, les risques de sécurité doivent toujours être surveillés.
Revue des incidents de sécurité des ponts cross-chain : les dix événements d'attaque ont entraîné des pertes de plus de 1,9 milliard de dollars.
Ces dernières années, les ponts cross-chain sont devenus une cible populaire pour les attaques de hackers. Étant donné que les ponts cross-chain gèrent d'importants montants de fonds et présentent souvent des vulnérabilités de sécurité, ils sont devenus des zones à haut risque. Cet article passe en revue dix incidents majeurs d'attaques de ponts cross-chain, impliquant un montant total de plus de 1,9 milliard de dollars, dont environ 1,55 milliard de dollars ont été récupérés ou indemnisés.
1. ChainSwap : pertes d'environ 8,8 millions de dollars suite à deux attaques
En juillet 2021, ChainSwap a subi deux attaques à court terme, la première entraînant une perte d'environ 800 000 dollars, et la seconde une perte d'environ 8 millions de dollars. La deuxième attaque a affecté plus de 20 projets utilisant ChainSwap pour des bridges cross-chain.
Analyse des causes : Le protocole n'a pas pu vérifier strictement la validité de la signature, permettant à un attaquant d'autoriser une transaction avec une signature générée par ses soins.
Solutions : Plusieurs projets affectés ont effectué des instantanés et ont émis de nouveaux tokens pour compenser les détenteurs et les fournisseurs de liquidités.
2. Poly Network : a un moment perdu 610 millions de dollars, récupérés intégralement
En août 2021, Poly Network a perdu environ 610 millions de dollars d'actifs sur Ethereum, Binance Smart Chain et Polygon.
Méthode d'attaque : en exploitant une vulnérabilité de gestion des autorisations de contrat, l'attaquant a modifié l'adresse du validateur de la chaîne cible, contrôlant ainsi le transfert d'actifs.
Résultat : L'attaquant a finalement restitué tous les fonds, et l'équipe du projet l'a qualifié de "hackeur white hat" et l'a invité à occuper le poste de conseiller en sécurité.
3. Multichain : perte de 6 millions de dollars, une partie a été remboursée
En janvier 2022, Multichain a découvert une vulnérabilité majeure affectant six jetons, entraînant le vol d'environ 6,04 millions de dollars d'actifs.
Causes de la vulnérabilité : Le contrat a rencontré des problèmes lors de la vérification de la légitimité des jetons saisis par l'utilisateur, n'ayant pas pris en compte que tous les jetons n'implémentent pas la fonction permit.
Traitement : Environ 50 % des fonds volés ont été récupérés, l'équipe propose de rembourser les fonds aux utilisateurs dont l'autorisation a été révoquée, mais ne compensera plus les pertes ultérieures.
4. QBridge : 80 millions de dollars de pertes, seulement 2 % de remboursement
Fin janvier 2022, le pont cross-chain QBridge du protocole de prêt Qubit a été attaqué, entraînant une perte d'environ 80 millions de dollars.
Principe de l'attaque : QBridge n'a pas vérifié à nouveau l'adresse zéro, les attaquants ont utilisé cette vulnérabilité pour créer de manière fictive une grande quantité de jetons xETH sur BSC.
État actuel : le taux d'utilisation de Qubit est très faible, 98 % des fonds volés n'ont pas encore été remboursés.
5. Meter.io : perte de 4,4 millions de dollars, engagement à rembourser avec les revenus futurs
En février 2022, le pont cross-chain Meter Passport a été attaqué, entraînant une perte de 4,4 millions de dollars.
Raison : Il existe une "hypothèse de confiance erronée" dans le code d'extension Meter, permettant aux attaquants de falsifier les transferts BNB et ETH.
Plan d'indemnisation : émission d'un nouveau jeton PASS pour indemniser les utilisateurs, avec la promesse de racheter avec les bénéfices futurs, mais cela n'a pas encore été mis en œuvre.
6. Ronin : 620 millions de dollars de pertes, remboursement intégral effectué
En mars 2022, la chaîne Ronin d'Axie Infinity a été attaquée, entraînant une perte d'environ 620 millions de dollars.
Méthode d'attaque : obtenir des informations sur les employés de Sky Mavis par ingénierie sociale, puis contrôler plusieurs nœuds de validation.
Solution : Le développeur Sky Mavis a levé 150 millions de dollars pour des compensations, mais la baisse du prix de l'ETH a entraîné une diminution de la valeur réelle des paiements.
7. Wormhole : 326 millions de dollars de pertes, déjà remboursés
En février 2022, Wormhole a été attaqué, perdant environ 120 000 ETH, d'une valeur de 326 millions de dollars.
Vulnérabilité : erreur de vérification de la signature du contrat principal côté Solana, un attaquant peut falsifier un message "gardien" pour frapper du whETH.
Traitement : Jump Crypto injecte 120 000 ETH dans Wormhole pour compenser les pertes.
8. EvoDeFi : pertes estimées à plus de dix millions de dollars, non traitées
En juin 2022, USDT a fortement décollé sur l'échange décentralisé Oasis ValleySwap, avec des pertes estimées à plus de dix millions de dollars.
Raison : la bridge cross-chain EVODeFi sur la chaîne source manque de liquidités, ce qui pourrait permettre un vol d'actifs des utilisateurs par une porte dérobée.
État actuel : les parties concernées n'ont pas fourni de solution, soupçon de fuite.
9. Horizon : pertes de près de 100 millions de dollars, un plan d'indemnisation est en cours de rédaction.
En juin 2022, le pont cross-chain Horizon de Harmony a été attaqué, entraînant une perte d'environ 100 millions de dollars.
Raison : soupçon de fuite de clé privée.
Progrès : un plan d'indemnisation est en cours de redéfinition, aucun consensus n'a encore été atteint.
10. Nomad : 190 millions de dollars de pertes, en cours de traitement
En août 2022, la liquidité de Nomad a été rapidement épuisée, entraînant une perte de 190 millions de dollars.
Vulnérabilité : la racine de confiance a été mal initialisée lors de la mise à niveau du contrat, permettant à quiconque d'extraire des fonds.
État actuel : certains hackers éthiques ont exprimé leur volonté de restituer des fonds, le plan de compensation spécifique n'est pas encore déterminé.
Conclusion
Les accidents de sécurité des ponts cross-chain se produisent fréquemment, même les grands projets ne peuvent y échapper. Cependant, les projets avec un solide soutien en arrière-plan ont un avantage dans la gestion de crise, pouvant souvent récupérer des fonds ou effectuer des compensations. Lors du choix d'un pont cross-chain, les utilisateurs devraient prioriser les projets ayant une forte capacité technique et de gestion des risques afin de réduire le risque de pertes potentielles.