Revisão do incidente de ataque à ponte de cadeia cruzada: quase 2 mil milhões de dólares em fundos sob ameaça, mais de 1,55 mil milhões de dólares já recuperados ou compensados

No ecossistema blockchain existem muitas blockchains públicas, mas devido à concentração de ativos mainstream em poucas cadeias, as pontes de cadeia cruzada tornaram-se ferramentas importantes para conectar ativos de diferentes blockchains públicas. No entanto, os recentes acidentes de segurança no DeFi levantaram preocupações sobre a segurança das pontes de cadeia cruzada. Este artigo revisará os 10 eventos de ataque mais significativos às pontes de cadeia cruzada nos últimos anos, resumindo as experiências e lições aprendidas, para fornecer referências às equipes de desenvolvimento e usuários.

ChainSwap: perdas de cerca de 8,8 milhões de dólares devido a dois ataques

Em julho de 2021, o ChainSwap sofreu dois ataques de hackers em apenas 9 dias. O primeiro ataque resultou em uma perda de cerca de 800 mil dólares, enquanto o segundo ataque causou uma perda ainda maior de 8 milhões de dólares, afetando mais de 20 projetos que usaram o ChainSwap para cadeias cruzadas.

A causa do acidente deve-se ao fato de que o protocolo não validou rigorosamente a validade da assinatura, permitindo que o atacante utilizasse uma assinatura gerada por ele mesmo para completar a transação. Como os ativos comprometidos eram principalmente tokens de governança, a ChainSwap e vários projetos afetados optaram por compensar os detentores e provedores de liquidez através de um snapshot e a reemissão de tokens.

Poly Network: 610 milhões de dólares em ativos recuperados após roubo

No dia 10 de agosto de 2021, o protocolo de cadeia cruzada Poly Network sofreu um ataque grave, com uma perda total de cerca de 610 milhões de dólares em ativos nas redes Ethereum, Binance Smart Chain e Polygon.

O ataque explorou uma vulnerabilidade na gestão de permissões do contrato da Poly Network. O atacante conseguiu substituir o endereço do validador da cadeia alvo por um endereço que controla, permitindo assim assinar e executar operações de transferência de ativos.

Embora os atacantes tenham planeado cuidadosamente e utilizado tokens de privacidade para ocultar a origem dos fundos, acabaram por decidir devolver todos os fundos roubados. A Poly Network subsequentemente referiu-se a eles como "hackers de chapéu branco" e propôs contratá-los como consultores de segurança-chefe.

Multichain: 6 milhões de dólares em ativos danificados, quase metade já recuperada

Em janeiro de 2022, a Multichain descobriu uma grave vulnerabilidade que afetava vários tokens. Embora a vulnerabilidade tenha sido corrigida, cerca de 8000 endereços de usuários ainda foram afetados, resultando em perdas de aproximadamente 6,04 milhões de dólares.

A análise da equipe de segurança indicou que a vulnerabilidade se originou de uma falha do Multichain ao validar a legitimidade dos tokens inseridos pelos usuários, pois não considerou que nem todos os tokens implementam funções específicas. Isso levou à transferência de ativos de alguns usuários autorizados para endereços maliciosos construídos pelos atacantes.

A Multichain agiu rapidamente, recuperando quase 50% dos fundos roubados em um curto período de tempo. A equipe, em seguida, propôs um plano de compensação, mas apenas para os usuários que revogaram a autorização do contrato antes do prazo estabelecido.

QBridge: perda de 80 milhões de dólares, apenas 2% de compensação

No final de janeiro de 2022, a ponte de cadeia cruzada QBridge da plataforma de empréstimos Qubit foi atacada, resultando em uma perda de até 80 milhões de dólares.

Os atacantes exploraram uma vulnerabilidade crítica no QBridge ao processar transferências de tokens na lista branca. Como o sistema não fez uma segunda confirmação do endereço zero, os atacantes conseguiram cunhar uma grande quantidade de tokens xETH na rede BSC sem depositar quaisquer ativos reais. Esses tokens falsificados foram posteriormente usados como garantias para emprestar outros tokens do Qubit, resultando na exaustão dos fundos da plataforma.

Atualmente, a taxa de utilização do Qubit está próxima de zero, com dados oficiais mostrando que ainda 98% dos fundos roubados não foram compensados.

Meter.io: perda de 4,4 milhões de dólares, compromisso de compensação de lucros futuros

Em fevereiro de 2022, a ponte de cadeia cruzada Meter Passport foi atacada, resultando em perdas de 4,4 milhões de dólares.

A explicação oficial afirma que o problema reside na "supondo de confiança errada" no código de extensão do Meter, permitindo que atacantes forjem transferências de BNB e ETH ao invocar a funcionalidade de depósito subjacente.

A Meter inicialmente planejava compensar os usuários pelas perdas com o token MTRG, mas após votação da comunidade, decidiu emitir um novo token PASS como compensação e se comprometeu a recomprar esses tokens com os lucros futuros. No entanto, até o momento, nenhuma operação de recompra foi realizada.

Ronin: 620 milhões de dólares foram roubados, já foram pagos na íntegra

Em março de 2022, a cadeia Ronin, por trás do Axie Infinity, sofreu um grave acidente de segurança, resultando em perdas de cerca de 620 milhões de dólares. Vale a pena notar que o ataque ocorreu em 23 de março, mas só foi descoberto quase uma semana depois.

A investigação mostra que se trata de um ataque complexo de engenharia social. Os atacantes induziram os funcionários da Sky Mavis (desenvolvedora do Axie Infinity e Ronin) a baixar uma "carta de admissão" contendo malware, através de um processo de recrutamento falso. Desta forma, os hackers conseguiram infiltrar-se na rede Ronin e controlar vários nós de validação.

Embora os fundos roubados não tenham sido recuperados diretamente, a Sky Mavis concluiu rapidamente uma rodada de financiamento de 150 milhões de dólares para compensar as perdas dos usuários. No final de junho, a ponte Ronin foi reaberta e os usuários puderam receber compensação. No entanto, devido à forte queda do preço do ETH nesse período, o valor real da compensação foi reduzido em cerca de dois terços.

Wormhole: 326 milhões de dólares em perdas, já compensados na totalidade

No início de fevereiro de 2022, o protocolo de cadeia cruzada Wormhole foi atacado, resultando na perda de cerca de 120 mil ETH, no valor de 326 milhões de dólares.

O ataque explorou uma vulnerabilidade no código de verificação de assinatura do contrato principal do Wormhole na rede Solana. O atacante conseguiu falsificar a mensagem do "guardião", permitindo a cunhagem em massa de whETH e a retirada do equivalente em ETH da rede Ethereum.

Felizmente, a empresa-mãe do Wormhole, Jump Crypto, injetou rapidamente 120 mil ETH, compensando todas as perdas e permitindo que o Wormhole voltasse a operar rapidamente.

EvoDeFi: estima-se uma perda de mais de dez milhões de dólares, não tratada.

Em junho de 2022, o USDT desancorou severamente na maior DEX do ecossistema Oasis, a ValleySwap, resultando em uma grande perda de fundos. Embora o valor exato da perda não tenha sido divulgado, estima-se que esteja na ordem de dezenas de milhões de dólares.

A raiz do problema está na grave falta de liquidez na cadeia de origem da ponte de cadeia cruzada EVODeFi utilizada pelo ValleySwap. Embora a EVODeFi atribua o problema ao pânico do mercado, essa explicação não é convincente. O Oasis enfatiza oficialmente que não tem relação com o ValleySwap e a EvoDeFi, e aponta que a EvoDeFi apresenta altos riscos.

Lamentavelmente, as perdas dos usuários ainda não foram solucionadas de forma substancial. As partes envolvidas parecem ter escolhido evitar responsabilidades, e as redes sociais oficiais da ValleySwap e da EVODeFi pararam de ser atualizadas desde o incidente.

Horizon: Perda de quase 100 milhões de dólares, plano de compensação ainda em discussão.

No dia 24 de junho de 2022, a ponte de cadeia cruzada Horizon da Harmony foi atacada, resultando em uma perda de cerca de 100 milhões de dólares.

O fundador da Harmony, Stephen Tse, admitiu que o ataque é muito provável que tenha sido causado pela divulgação da chave privada. O ataque envolveu vários ativos nas cadeias Ethereum e BNB. Após o incidente, a Horizon aumentou o limite de múltiplas assinaturas, de 5 de 2 para 5 de 4.

A Harmony propôs uma emissão adicional de tokens ONE ao longo de 3 anos para compensar parcialmente as perdas dos usuários, mas não conseguiu obter o apoio unânime da comunidade. Atualmente, a equipe está a reestruturar o plano de compensação.

Nomad: 190 milhões de dólares em liquidez foram esvaziados, parte dos fundos pode ser recuperada

No início de agosto de 2022, a ponte de cadeia cruzada Nomad sofreu um grave incidente de segurança, resultando na rápida perda de liquidez de 190 milhões de dólares. Este evento também afetou indiretamente o protocolo de interoperabilidade Layer2 Connext, causando uma perda de cerca de 3,34 milhões de dólares.

A causa do acidente foi que o Nomad inicializou incorretamente a raiz de confiança como 0x00 durante uma atualização de contrato. Isso permitiu que qualquer pessoa pudesse retirar fundos da ponte de cadeia cruzada simplesmente modificando os parâmetros da transação.

Segundo a análise, este ataque envolveu 1251 endereços ETH, dos quais 12 endereços ENS representam 38% do valor total perdido. Embora a equipe do projeto ainda não tenha apresentado um plano de reembolso claro, já há alguns hackers éticos dispostos a devolver os fundos, trazendo esperança para recuperar parte das perdas.

Resumo e Revelações

A frequência de acidentes de segurança em pontes de cadeia cruzada destaca a alta risco neste campo. Mesmo pontes de cadeia cruzada conhecidas e com alto ranking de liquidez, como Multichain, Wormhole e Poly Network, já enfrentaram problemas de segurança, o que nos alerta que qualquer ponte de cadeia cruzada pode estar sujeita a ameaças de segurança.

No entanto, também observamos que projetos com um forte respaldo e financiamento substancial, após enfrentarem incidentes de segurança, muitas vezes conseguem recuperar ativos ou compensar os usuários de forma mais eficaz. Projetos como Poly Network, Ronin Network e Wormhole, após sofrerem o roubo de grandes quantias, conseguiram realizar a compensação total ou em grande parte de diferentes maneiras.

Além disso, a capacidade de monitoramento em tempo real e resposta rápida da equipe também é crucial. Por exemplo, o Hop Protocol e o StarGate agiram rapidamente após receberem relatórios de atividades suspeitas, conseguindo impedir com sucesso ataques potenciais.

Estas lições lembram-nos que, ao escolher pontes de cadeia cruzada, não devemos apenas considerar a sua força técnica, mas também devemos prestar atenção ao histórico da equipe do projeto, à força financeira e à capacidade de gestão de riscos. Ao mesmo tempo, os usuários devem manter-se atentos, verificar regularmente o estado das autorizações e proceder com cautela ao usar serviços de cadeia cruzada.