Cross chain köprüleri güvenlik kazası incelemesi: En büyük on saldırı olayı kaybı 19 milyar doları aşıyor

Son yıllarda, cross-chain köprüleri hacker saldırılarının popüler hedefi haline geldi. Cross-chain köprüleri büyük miktarda fon yönettiği ve sıklıkla güvenlik açıkları bulunduğu için yüksek riskli alanlar haline geldi. Bu makale, toplamda 1.9 milyar doların üzerinde fonu etkileyen on büyük cross-chain köprü saldırı olayını gözden geçirmektedir, bunların yaklaşık 1.55 milyar doları geri alınmış veya tazmin edilmiştir.

1. ChainSwap: İki saldırıda yaklaşık 8.8 milyon dolar kayıp

2021 Temmuz'unda, ChainSwap kısa sürede iki saldırıya uğradı, ilki yaklaşık 800.000 dolar, ikincisi ise yaklaşık 8.000.000 dolar kayba neden oldu. İkinci saldırı, ChainSwap kullanarak cross-chain yapan 20'den fazla projeyi etkiledi.

Sebep analizi: Protokol imza geçerliliğini sıkı bir şekilde doğrulayamadı, bu nedenle saldırgan kendisi tarafından oluşturulan imzayı kullanarak işlemleri yetkilendirebilir.

Çözüm: Birden fazla etkilenen proje anlık görüntü aldı ve sahipleri ile likidite sağlayıcılarını tazmin etmek için yeni tokenler ihraç edildi.

2. Poly Network: Bir zamanlar 6.1 milyar dolar kaybetti, tamamı geri alındı

Ağustos 2021'de, Poly Network Ethereum, Binance Akıllı Zinciri ve Polygon üzerinde toplamda yaklaşık 6.1 milyar dolar değerinde varlık kaybetti.

Saldırı Yöntemi: Sözleşme yetki yönetim açığını kullanarak, saldırgan hedef zincir doğrulayıcı adresini değiştirdi ve böylece varlık transferini kontrol etti.

Sonuç: Saldırgan nihayet tüm fonları iade etti, proje ekibi onu "beyaz şapka" hacker olarak adlandırdı ve baş güvenlik danışmanı olarak davet etti.

3. Multichain: 6 milyon dolar kayıp, kısmen tazmin edildi

2022 yılının Ocak ayında, Multichain altı farklı tokeni etkileyen büyük bir açığı keşfetti ve yaklaşık 6.04 milyon dolar değerinde varlık çalındı.

Açıklık nedeni: Sözleşme, kullanıcı girişi olarak verilen tokenlerin geçerliliğini kontrol ederken bir sorun yaşadı, çünkü tüm tokenlerin permit fonksiyonunu uygulamadığını dikkate almadı.

İşlem: Çalınan fonların yaklaşık %50'si geri alındı, ekip, yetkisi iptal edilen kullanıcılara fonların iade edilmesini önerdi, ancak sonraki kayıplar için tazminat ödenmeyecek.

4. QBridge: 80 milyon dolar kayıp, yalnızca %2 tazminat

2022'nin Ocak ayı sonunda, kredi protokolü Qubit'in cross-chain köprüleri QBridge saldırıya uğradı ve yaklaşık 80 milyon dolar kaybedildi.

Saldırı prensibi: QBridge, sıfır adresini yeniden doğrulamadığı için, saldırgan bu açığı kullanarak BSC üzerinde havadan çok sayıda xETH tokeni üretmektedir.

Mevcut durum: Qubit kullanım oranı son derece düşük, çalınan fonların %98'i henüz tazmin edilmedi.

5. Meter.io: 4.4 milyon dolar kayıp, gelecekteki kazançlarla telafi sözü

2022 yılının Şubat ayında, Meter Passport cross-chain köprüleri saldırıya uğradı ve 4.4 milyon dolar kayba yol açtı.

Sebep: Meter genişletme kodunda "yanlış güven varsayımı" bulunması, saldırganların BNB ve ETH transferlerini sahte olarak oluşturmasına olanak tanır.

Tazminat planı: Kullanıcılara yeni PASS tokenleri çıkararak ödeme yapılacak, gelecekteki kazançlarla geri alım taahhüt ediliyor, ancak henüz uygulanmadı.

6. Ronin: 6.2 milyon dolar kayıp, tamamı tazmin edildi

Mart 2022'de, Axie Infinity'nin Ronin ağı saldırıya uğradı ve yaklaşık 620 milyon dolar kaybedildi.

Saldırı yöntemi: Sosyal mühendislik kullanarak Sky Mavis çalışanlarının bilgilerini elde etmek ve ardından birden fazla doğrulama düğümünü kontrol etmek.

Çözüm: Geliştirici Sky Mavis, tazminat için 150 milyon dolar fon sağladı, ancak ETH fiyatındaki düşüş, gerçek tazminat değerinin azalmasına neden oldu.

7. Wormhole: 3.26 milyar dolar kayıp, tazmin edildi

2022 Şubat'ında Wormhole saldırıya uğradı ve yaklaşık 120,000 ETH kaybedildi, değeri 326 milyon dolar.

Açık: Solana tarafındaki ana sözleşme imza doğrulama hatası, saldırganların "gözetmen" mesajını taklit ederek whETH basmalarına olanak tanıyor.

İşlem: Jump Crypto, Wormhole'a 120.000 ETH enjeksiyon yaparak kaybı telafi etti.

8. EvoDeFi: Tahmini kayıplar on milyonlarca dolar, işlenmemiş

2022 Haziran'ında, Oasis ekosistem DEX ValleySwap'ta USDT ciddi şekilde devalüe oldu, tahmini kayıp on milyonlarca dolar.

Sebep: Cross chain köprüleri EVODeFi kaynak zincirinde yeterli likidite yok, kullanıcı varlıklarını çalmak için bir arka kapı bulunabilir.

Durum: İlgili taraf çözüm sunmadı, kaçma ihtimali var.

9. Horizon: Yaklaşık 100 milyon dolar zarar, tazminat planı hazırlanıyor

2022 Haziran'ında, Harmony'nin resmi cross-chain köprüsü Horizon saldırıya uğradı ve yaklaşık 100 milyon dolar kaybedildi.

Sebep: Şüpheli özel anahtar sızıntısı nedeniyle.

Gelişme: Tazminat planı yeniden düzenleniyor, henüz bir uzlaşıya varılmadı.

10. Nomad: 1.9 milyon dolarlık zarar, işleme alınıyor

Ağustos 2022'de, Nomad likiditesi hızla tükendi ve 190 milyon dolar kaybedildi.

Açık: Sözleşme güncellemelerinde güvenilir kök yanlış başlatıldı, bu da herkesin fonları çekmesine neden oluyor.

Durum: Bazı beyaz şapkalı hackerlar parayı geri vermeye istekli olduklarını belirtti, kesin tazminat planı henüz kararlaştırılmadı.

Sonuç

Cross chain köprüleri güvenlik kazaları sıkça yaşanmaktadır, büyük projeler bile bundan muaf olamamaktadır. Ancak, arka planda güçlü bir altyapıya sahip projeler kriz yönetiminde daha avantajlıdır ve genellikle fonları geri alabilmekte veya tazminat gerçekleştirebilmektedir. Kullanıcılar, cross-chain köprüleri seçerken güçlü teknik altyapı ve risk yönetim kapasitesine sahip projeleri öncelikli olarak dikkate almalıdır, böylece potansiyel kayıpların riskini azaltabilirler.