Revue des incidents d'attaque de ponts cross-chain : près de 2 milliards de dollars de fonds menacés, plus de 1,55 milliard de dollars déjà récupérés ou indemnisés

Il existe de nombreuses blockchains publiques dans l'écosystème blockchain, mais en raison de la concentration des actifs majeurs sur quelques chaînes, les bridges cross-chain sont devenus des outils importants pour connecter les actifs de différentes blockchains publiques. Cependant, les récentes incidents de sécurité DeFi ont suscité des inquiétudes concernant la sécurité des bridges cross-chain. Cet article examinera les 10 incidents d'attaques de bridges cross-chain les plus significatifs des dernières années, résumera les leçons apprises et fournira des références aux équipes de développement et aux utilisateurs.

ChainSwap : pertes d'environ 8,8 millions de dollars suite à deux attaques

En juillet 2021, ChainSwap a subi deux attaques de hackers en seulement 9 jours. La première attaque a entraîné une perte d'environ 800 000 dollars, tandis que la seconde a causé des pertes allant jusqu'à 8 millions de dollars, affectant plus de 20 projets utilisant ChainSwap pour des bridges cross-chain.

La cause de l'accident réside dans le fait que le protocole n'a pas vérifié strictement la validité des signatures, permettant ainsi à l'attaquant d'utiliser une signature générée de manière autonome pour réaliser la transaction. Étant donné que les actifs touchés sont principalement des jetons de gouvernance, ChainSwap et plusieurs projets affectés ont choisi de compenser les détenteurs et les fournisseurs de liquidités par le biais de snapshots et de la réémission de jetons.

Poly Network : 6,1 milliards de dollars d'actifs volés récupérés en totalité

Le 10 août 2021, le protocole cross-chain Poly Network a subi une attaque grave, perdant environ 610 millions de dollars d'actifs sur les réseaux Ethereum, Binance Smart Chain et Polygon.

L'attaque a exploité une vulnérabilité dans la gestion des autorisations du contrat Poly Network. L'attaquant a réussi à remplacer l'adresse du validateur de la chaîne cible par une adresse qu'il contrôle, lui permettant ainsi de signer et d'exécuter des opérations de transfert d'actifs.

Bien que les attaquants aient soigneusement planifié et utilisé des jetons de confidentialité pour dissimuler la source des fonds, ils ont finalement choisi de restituer l'intégralité des fonds volés. Poly Network a ensuite qualifié cela de "hackers white hat" et a proposé de les engager en tant que conseiller principal en sécurité.

Multichain : 6 millions de dollars d'actifs endommagés, près de la moitié récupérée

En janvier 2022, Multichain a découvert une grave vulnérabilité affectant de nombreux jetons. Bien que la vulnérabilité ait été corrigée, près de 8000 adresses d'utilisateurs ont été touchées, entraînant des pertes d'environ 6,04 millions de dollars.

L'analyse de l'équipe de sécurité a révélé que la vulnérabilité provenait d'une négligence de Multichain lors de la vérification de la légitimité des jetons fournis par les utilisateurs, n'ayant pas pris en compte que tous les jetons n'implémentent pas certaines fonctions. Cela a conduit à ce que les actifs de certains utilisateurs autorisés soient transférés vers des adresses malveillantes construites par l'attaquant.

Multichain a rapidement agi, récupérant près de 50 % des fonds volés en peu de temps. L'équipe a ensuite proposé un plan d'indemnisation, mais uniquement pour les utilisateurs ayant révoqué l'autorisation de contrat avant la date limite spécifiée.

QBridge : 80 millions de dollars de pertes, seulement 2 % de remboursement

À la fin janvier 2022, le pont cross-chain QBridge de la plateforme de prêt Qubit a été attaqué, entraînant des pertes allant jusqu'à 80 millions de dollars.

L'attaquant a exploité une vulnérabilité clé dans le traitement des transferts de jetons sur liste blanche par QBridge. Étant donné que le système n'a pas effectué de confirmation secondaire pour l'adresse nulle, l'attaquant a pu créer à l'infini un grand nombre de jetons xETH sur le réseau BSC sans déposer d'actifs réels. Ces jetons falsifiés ont ensuite été utilisés comme garantie pour emprunter d'autres jetons de Qubit, entraînant l'épuisement des fonds de la plateforme.

Actuellement, le taux d'utilisation de Qubit est proche de zéro, et les données officielles montrent que 98 % des fonds volés n'ont pas encore été remboursés.

Meter.io : perte de 4,4 millions de dollars, engagement à indemniser les bénéfices futurs

En février 2022, le pont cross-chain Meter Passport a été attaqué, entraînant une perte de 4,4 millions de dollars.

L'explication officielle indique que le problème provient de "l'hypothèse de confiance erronée" dans le code d'extension Meter, permettant aux attaquants de falsifier les transferts de BNB et d'ETH en appelant la fonction de dépôt sous-jacente.

Meter avait initialement prévu d'indemniser les utilisateurs pour leurs pertes avec le jeton MTRG, mais après un vote de la communauté, il a été décidé d'émettre un nouveau jeton PASS en compensation, avec la promesse de racheter ces jetons avec les bénéfices futurs. Cependant, jusqu'à présent, aucune opération de rachat n'a été effectuée.

Ronin : 620 millions de dollars volés, remboursement intégral effectué

En mars 2022, la chaîne Ronin derrière Axie Infinity a subi un grave incident de sécurité, entraînant une perte d'environ 620 millions de dollars. Il est à noter que l'attaque a eu lieu le 23 mars, mais n'a été découverte que près d'une semaine plus tard.

Une enquête montre qu'il s'agit d'une attaque d'ingénierie sociale complexe. Les attaquants ont trompé les employés de Sky Mavis (les développeurs d'Axie Infinity et de Ronin) en leur faisant télécharger une "lettre d'admission" contenant des logiciels malveillants via un faux processus de recrutement. De cette manière, les hackers ont réussi à infiltrer le réseau Ronin et à contrôler plusieurs nœuds de validation.

Bien que les fonds volés n'aient pas pu être récupérés directement, Sky Mavis a rapidement finalisé un tour de financement de 150 millions de dollars pour indemniser les utilisateurs. Fin juin, le pont Ronin a rouvert, permettant aux utilisateurs de recevoir des compensations. Cependant, en raison de la forte baisse du prix de l'ETH pendant cette période, la valeur réelle des paiements a été réduite d'environ deux tiers.

Wormhole : 326 millions de dollars de pertes, déjà entièrement remboursés

Début février 2022, le protocole cross-chain Wormhole a été attaqué, entraînant une perte d'environ 120 000 ETH, d'une valeur de 326 millions de dollars.

L'attaque a exploité une vulnérabilité dans le code de vérification des signatures du contrat principal de Wormhole sur Solana. L'attaquant a réussi à falsifier un message de "gardien", ce qui lui a permis de frapper massivement du whETH et de retirer l'équivalent en ETH d'Ethereum.

Heureusement, la société mère de Wormhole, Jump Crypto, a rapidement injecté 120 000 ETH pour compenser toutes les pertes, permettant ainsi à Wormhole de reprendre rapidement ses opérations.

EvoDeFi : pertes estimées à plus de dix millions de dollars, non traitées

En juin 2022, le USDT a fortement décorrélé sur ValleySwap, le plus grand DEX de l'écosystème Oasis, entraînant une perte massive de fonds. Bien que le montant exact des pertes n'ait pas été rendu public, il est estimé à plusieurs millions de dollars.

La racine du problème réside dans le manque de liquidité grave sur la chaîne source du pont cross-chain utilisé par ValleySwap, EVODeFi. Bien qu'EVODeFi attribue le problème à la panique sur le marché, cette explication n'est pas convaincante. Oasis souligne qu'elle n'a aucun lien avec ValleySwap et EvoDeFi, et indique qu'EvoDeFi présente des risques élevés.

Malheureusement, les utilisateurs n'ont pas encore reçu de solution substantielle à leurs pertes. Les parties concernées semblent avoir choisi d'éviter leurs responsabilités, les réseaux sociaux officiels de ValleySwap et d'EVODeFi ont cessé d'être mis à jour depuis l'incident.

Horizon : près de 100 millions de dollars de pertes, le plan d'indemnisation est toujours en discussion.

Le 24 juin 2022, le pont cross-chain Horizon de Harmony a été attaqué, entraînant une perte d'environ 100 millions de dollars.

Le fondateur de Harmony, Stephen Tse, a admis que l'attaque était probablement due à la fuite de clés privées. L'attaque impliquait divers actifs sur les chaînes Ethereum et BNB. Après l'incident, Horizon a relevé le seuil de la signature multiple, passant de 5 sur 2 à 5 sur 4.

Harmony avait proposé d'augmenter l'émission de tokens ONE sur une période de 3 ans pour compenser partiellement les pertes des utilisateurs, mais n'a pas réussi à obtenir le soutien unanime de la communauté. Actuellement, l'équipe est en train de redéfinir le plan de compensation.

Nomad : 1,9 milliard de dollars de liquidités siphonnées, une partie des fonds pourrait être récupérée

Début août 2022, le pont cross-chain Nomad a subi un grave incident de sécurité, entraînant une perte rapide de 190 millions de dollars de liquidités. Cet événement a également eu un impact indirect sur le protocole d'interopérabilité Layer2 Connext, entraînant une perte d'environ 3,34 millions de dollars.

La cause de l'accident est que Nomad a initialisé par erreur la racine de confiance à 0x00 lors d'une mise à niveau de contrat. Cela a permis à quiconque d'extraire des fonds dans le pont cross-chain en modifiant simplement les paramètres de la transaction.

Selon les analyses, cette attaque impliquait 1251 adresses ETH, dont 12 adresses ENS représentaient 38 % du montant total des pertes. Bien que l'équipe du projet n'ait pas encore proposé de plan de compensation clair, certains hackers éthiques ont déjà exprimé leur volonté de restituer des fonds, offrant ainsi l'espoir de récupérer une partie des pertes.

Résumé et enseignements

La fréquence des incidents de sécurité des ponts cross-chain met en évidence le haut niveau de risque dans ce domaine. Même des ponts cross-chain bien connus et classés parmi les plus liquides, tels que Multichain, Wormhole et Poly Network, ont également rencontré des problèmes de sécurité, ce qui nous avertit que tout pont cross-chain peut être confronté à des menaces de sécurité.

Cependant, nous avons également constaté que les projets ayant un solide soutien en arrière-plan et des fonds importants parviennent souvent à récupérer des actifs ou à indemniser les utilisateurs de manière plus efficace après avoir rencontré des incidents de sécurité. Par exemple, des projets tels que Poly Network, Ronin Network et Wormhole ont pu réaliser un remboursement intégral ou partiel par différents moyens après avoir subi le vol de sommes d'argent considérables.

De plus, la capacité de surveillance en temps réel et de réponse rapide de l'équipe est également cruciale. Par exemple, Hop Protocol et StarGate ont rapidement agi après avoir reçu des rapports d'activités suspectes, réussissant à stopper des attaques potentielles.

Ces leçons nous rappellent que lors du choix de bridges cross-chain, il ne faut pas seulement considérer leur force technique, mais aussi prêter attention à l'historique de l'équipe du projet, à la solidité financière et à la capacité de gestion des risques. En même temps, les utilisateurs doivent rester vigilants, vérifier régulièrement l'état des autorisations et agir avec prudence lors de l'utilisation des services cross-chain.