Обзор инцидентов безопасности кроссчейн моста: топ-10 атак с убытками свыше 1,9 миллиарда долларов

В последние годы кроссчейн мосты стали популярной целью для хакерских атак. Поскольку кроссчейн мосты управляют значительными средствами и часто имеют уязвимости в безопасности, они становятся зонами высокого риска. В данной статье рассматриваются десять крупных атак на кроссчейн мосты, общая сумма средств которых превышает 1,9 миллиарда долларов, из которых около 1,55 миллиарда долларов были возвращены или компенсированы.

1. ChainSwap: убытки от двух атак составили около 8,8 миллиона долларов

В июле 2021 года ChainSwap в течение короткого времени подвергся двум атакам, первая из которых привела к потерям около 800 тысяч долларов, а вторая — около 8 миллионов долларов. Вторая атака затронула более 20 проектов, использующих ChainSwap для кросс-чейн операций.

Анализ причин: Протокол не смог строго проверить действительность подписи, в результате чего злоумышленник может использовать созданную им подпись для авторизации транзакции.

Решение: несколько затронутых проектов сделали снимок и выпустили новые токены для компенсации держателей и поставщиков ликвидности.

2. Poly Network：однажды потерял 610 миллионов долларов, полностью восстановил

В августе 2021 года Poly Network потерял около 610 миллионов долларов активов на Ethereum, Binance Smart Chain и Polygon.

Метод атаки: злоумышленник использовал уязвимость управления правами контракта, изменив адрес валидатора целевой цепи, чтобы контролировать перемещение активов.

Результат: злоумышленник в конечном итоге вернул все средства, команда проекта назвала его "белым шляпой" хакером и пригласила занять пост главного консультанта по безопасности.

3. Multichain: убыток в 6 миллионов долларов, часть уже возмещена

В январе 2022 года Multichain обнаружил重大 уязвимость, влияющую на шесть токенов, в результате которой было украдено активов на сумму около 6 миллионов долларов.

Причины уязвимости: проблема возникает при проверке легитимности токенов, введенных пользователем, поскольку не все токены реализуют функцию permit.

Обработка: около 50% украденных средств возвращено, команда предложила вернуть средства пользователям, которые отменили авторизацию, но дальнейшие убытки не будут компенсированы.

4. QBridge: убытки в 80 миллионов долларов, компенсация всего 2%

В конце января 2022 года кроссчейн мост QBridge кредитного протокола Qubit был атакован, в результате чего были потеряны около 80 миллионов долларов.

Принцип атаки: QBridge не проверяет нулевой адрес повторно, злоумышленник использует этот уязвимость для создания большого количества токенов xETH на BSC.

Текущая ситуация: использование Qubit крайне низкое, 98% украденных средств еще не компенсированы.

5. Meter.io: убыток в 4,4 миллиона долларов, обещание компенсировать за счет будущих доходов

В феврале 2022 года мост кроссчейн Meter Passport был атакован, что привело к убыткам в 4,4 миллиона долларов.

Причина: в коде расширения Meter существует "ошибочное предположение о доверии", что позволяет злоумышленникам подделывать переводы BNB и ETH.

Компенсационный план: выпуск нового токена PASS для выплаты пользователям, с обещанием выкупить за счет будущих доходов, но еще не реализован.

6. Ronin: убытки в размере 620 миллионов долларов, полностью возмещены

В марте 2022 года цепочка Ronin от Axie Infinity была атакована, в результате чего было потеряно около 620 миллионов долларов.

Метод атаки: получение информации о сотрудниках Sky Mavis с помощью социальной инженерии, а затем контроль над несколькими узлами проверки.

Решение: разработчик Sky Mavis привлек 150 миллионов долларов для компенсации, но падение цены ETH привело к уменьшению фактической стоимости выплат.

7. Wormhole: убыток в 326 миллионов долларов, уже выплачено

В феврале 2022 года Wormhole подвергся атаке, в результате чего было потеряно около 120000 ETH на сумму 326 миллионов долларов.

Уязвимость: ошибка проверки подписи основного контракта на Solana, злоумышленник может подделать сообщение "опекуна" для создания whETH.

Обработка: Jump Crypto вложила 120000 ETH в Wormhole, чтобы компенсировать убытки.

8. EvoDeFi: оценка потерь более 10 миллионов долларов, не обработано

В июне 2022 года на DEX ValleySwap экосистемы Oasis USDT значительно отклонился от курса, ожидаемые убытки составят более десятков миллионов долларов.

Причина: недостаточная ликвидность исходной цепи кроссчейн моста EVODeFi, возможно, существует бэкдор для кражи пользовательских активов.

Текущая ситуация: заинтересованные стороны не предоставили решения, подозревается побег.

9. Horizon: убытки в размере почти 100 миллионов долларов, разрабатывается план компенсации

В июне 2022 года официальный кроссчейн мост Harmony Horizon был атакован, понесенные убытки составили около 100 миллионов долларов.

Причина: подозрение на утечку приватного ключа.

Прогресс: пересматривается компенсационный план, соглашение еще не достигнуто.

10. Nomad: убытки в 190 миллионов долларов, в процессе обработки

В августе 2022 года ликвидность Nomad была быстро исчерпана, убытки составили 190 миллионов долларов.

Уязвимость: ошибка инициализации доверенного корня при обновлении контракта, что позволяет любому извлекать средства.

Текущая ситуация: некоторые белые хакеры выразили готовность вернуть средства, конкретный план компенсации не определён.

Вывод

Частые инциденты с безопасностью кроссчейн мостов затрудняют даже крупным проектам избежать проблем. Однако проекты с сильным фоном и ресурсами имеют преимущество в управлении кризисами и часто могут вернуть средства или произвести компенсацию. Пользователи, выбирая кроссчейн мост, должны в первую очередь учитывать проекты с мощной технологической базой и способностью к управлению рисками, чтобы снизить потенциальные риски убытков.