Обзор инцидента с атакой на кроссчейн мост: более 2 миллиардов долларов США находятся под угрозой, более 1.55 миллиардов долларов уже возвращены или компенсированы

В экосистеме блокчейна существует множество публичных цепей, но из-за того, что основные активы сосредоточены на нескольких цепочках, кроссчейн мосты становятся важным инструментом для соединения активов различных публичных цепей. Однако недавние частые инциденты безопасности в DeFi вызвали обеспокоенность по поводу безопасности кроссчейн мостов. В данной статье будет рассмотрено 10 наиболее значительных атак на кроссчейн мосты за последние несколько лет, подведены итоги и извлечены уроки, чтобы предоставить разработчикам и пользователям полезную информацию.

ChainSwap: Потери от двух атак составили около 8,8 миллиона долларов

В июле 2021 года ChainSwap подвергся двум хакерским атакам всего за 9 дней. Первая атака привела к убыткам около 800 000 долларов, а во второй атаке убытки достигли 8 000 000 долларов, что затронуло более 20 проектов, использующих ChainSwap для кросс-чейн.

Причиной инцидента стало то, что протокол не проверял действительность подписи, что дало возможность злоумышленнику использовать самосгенерированную подпись для завершения транзакции. Поскольку пострадавшими активами в основном являются токены управления, ChainSwap и несколько затронутых проектов решили компенсировать держателей и поставщиков ликвидности через создание снимков и повторное распределение токенов.

Poly Network: 6,1 миллиарда долларов США активов были украдены, но все были возвращены

10 августа 2021 года кросс-чейн протокол Poly Network подвергся серьезной атаке, в результате которой на трех сетях: Ethereum, Binance Smart Chain и Polygon было потеряно около 610 миллионов долларов активов.

Атака использовала уязвимость в управлении правами контракта Poly Network. Нападающий успешно заменил адреса валидаторов целевой цепи на адреса, которые он контролировал, что позволило ему подписывать и выполнять операции по перемещению активов.

Несмотря на то что злоумышленники тщательно спланировали атаку и использовали приватные токены для сокрытия источников финансирования, в конечном итоге они решили вернуть все украденные средства. Poly Network затем назвала их "белыми хакерами" и предложила нанять их на должность главного консультанта по безопасности.

Multichain: 6 миллионов долларов США активов повреждены, почти половина уже возвращена

В январе 2022 года Multichain обнаружил серьезную уязвимость, влияющую на множество токенов. Несмотря на то, что уязвимость была исправлена, почти 8000 адресов пользователей все еще пострадали, что привело к убыткам в размере около 604 долларов США.

Анализ команды безопасности показывает, что уязвимость связана с тем, что Multichain не учел, что не все токены реализуют определенные функции при проверке законности пользовательского ввода токенов. Это привело к тому, что активы некоторых авторизованных пользователей были переведены на злонамеренные адреса, созданные злоумышленниками.

Multichain быстро принял меры, вернув почти 50% украденных средств за короткое время. Команда затем представила план компенсации, но только для пользователей, которые отозвали авторизацию контракта до установленного срока.

QBridge: убытки в 80 миллионов долларов, компенсация только 2%

В конце января 2022 года кроссчейн мост QBridge платформы кредитования Qubit подвергся атаке, в результате чего убытки составили до 80 миллионов долларов.

Злоумышленник воспользовался ключевой уязвимостью QBridge при обработке переводов токенов из белого списка. Поскольку система не проводила вторичное подтверждение нулевого адреса, злоумышленник смог без внесения каких-либо реальных активов создать на сети BSC большое количество токенов xETH. Эти поддельные токены затем использовались в качестве залога для получения других токенов у Qubit, что привело к исчерпанию средств платформы.

На данный момент использование Qubit близко к нулю, официальные данные показывают, что 98% украденных средств все еще не были возмещены.

Meter.io: убытки в 4,4 миллиона долларов, обещание возмещения будущих доходов

В феврале 2022 года кроссчейн мост Meter Passport подвергся атаке, в результате чего был причинён ущерб в 4,4 миллиона долларов.

Официальное объяснение гласит, что проблема заключается в "ошибочной предпосылке доверия" в коде расширения Meter, что позволяет злоумышленникам подделывать переводы BNB и ETH, вызывая функции основных депозитов.

Изначально Meter планировал компенсировать убытки пользователей с помощью токенов MTRG, но после голосования сообщества было решено выпустить новые токены PASS в качестве компенсации и пообещано выкупить эти токены за счет будущих доходов. Однако на данный момент никаких операций по выкупу не было проведено.

Ronin: 620 миллионов долларов украдено, полное возмещение выплачено

В марте 2022 года блокчейн Ronin, лежащий в основе Axie Infinity, столкнулся с крупной проблемой безопасности, в результате которой было потеряно около 620 миллионов долларов. Стоит отметить, что атака произошла 23 марта, но была обнаружена лишь почти через неделю.

Исследование показывает, что это сложная атака социальной инженерии. Злоумышленники с помощью поддельного процесса найма заставили сотрудников Sky Mavis (разработчика Axie Infinity и Ronin) скачать "письмо о приеме на работу", содержащее вредоносное ПО. Таким образом, хакеры успешно проникли в сеть Ronin и взяли под контроль несколько узлов проверки.

Хотя украденные средства не удалось вернуть напрямую, Sky Mavis быстро завершила раунд финансирования на сумму 150 миллионов долларов для компенсации убытков пользователей. В конце июня мост Ronin был снова открыт, и пользователи смогли получить свои компенсации. Однако из-за значительного падения цены ETH за этот период фактическая стоимость выплат сократилась примерно на две трети.

Wormhole: убытки в 326 миллионов долларов, полностью возмещены

В начале февраля 2022 года кросс-чейн протокол Wormhole был атакован, в результате чего было потеряно около 120000 ETH на сумму 3.26 миллиарда долларов.

Атака использовала уязвимость в коде проверки подписи основного контракта Wormhole на стороне Solana. Злоумышленник успешно подделал сообщение "стража", что привело к массовой эмиссии whETH и извлечению эквивалентного ETH из Ethereum.

К счастью, материнская компания Wormhole Jump Crypto быстро вложила 120000 ETH, компенсировав все потери, что позволило Wormhole быстро восстановить работу.

EvoDeFi: предполагаемые убытки составляют более 10 миллионов долларов и не были обработаны

В июне 2022 года USDT на крупнейшем DEX ValleySwap в экосистеме Oasis сильно утратил привязку, что привело к значительным финансовым потерям. Хотя конкретная сумма убытков не была обнародована, предполагается, что она составляет десятки миллионов долларов.

Корень проблемы заключается в том, что кроссчейн мост EVODeFi, используемый ValleySwap, страдает от серьезной нехватки ликвидности на исходной цепочке. Несмотря на то, что EVODeFi оправдывает проблему рыночной паникой, это объяснение не выглядит убедительным. Официальный представитель Oasis подчеркивает, что они не связаны с ValleySwap и EvoDeFi, и указывает на высокие риски, связанные с EvoDeFi.

К сожалению, пользователи до сих пор не получили никакого реального решения своих убытков. Связанные стороны, похоже, выбрали избегание ответственности, официальные страницы в социальных сетях ValleySwap и EVODeFi прекратили обновления с момента инцидента.

Horizon: убытки близкие к 100 миллионов долларов, обсуждение схемы компенсации все еще продолжается

24 июня 2022 года официальный кроссчейн мост Harmony Horizon подвергся атаке, в результате чего было потеряно около 100 миллионов долларов.

Основатель Harmony Стивен Цзе признал, что атака, вероятно, была вызвана утечкой приватного ключа. Атака затронула различные активы на Ethereum и BNB цепях. После инцидента Horizon повысил требования к многофакторной подписи, изменив их с 5 из 2 на 5 из 4.

Harmony предложил частично компенсировать убытки пользователей за счет увеличения эмиссии токенов ONE в течение трех лет, но не смог получить единодушную поддержку сообщества. В настоящее время команда работает над пересмотром плана компенсации.

Nomad: 1,9 миллиарда долларов ликвидности было выведено, часть средств может быть возвращена

В начале августа 2022 года кроссчейн мост Nomad столкнулся с重大安全事故, что привело к быстрому исчезновению ликвидности в размере 190 миллионов долларов. Это событие также косвенно повлияло на протокол межоперационности Layer2 Connext, вызвав его убытки в размере около 3,34 миллиона долларов.

Причиной инцидента стало то, что Nomad ошибочно инициализировал корень доверия как 0x00 во время обновления контракта. Это позволило любому человеку извлекать средства из кроссчейн моста простым изменением параметров транзакции.

Согласно анализу, в этой атаке было задействовано 1251 адрес ETH, из которых 12 адресов ENS составляют 38% от общей суммы убытков. Хотя проект еще не представил четкий план выплат, некоторые белые хакеры уже выразили готовность вернуть средства, что дает надежду на возврат части потерь.

Итоги и выводы

Частые инциденты с безопасностью кроссчейн мостов подчеркивают высокие риски в этой области. Даже такие известные кроссчейн мосты, как Multichain, Wormhole и Poly Network, столкнулись с проблемами безопасности, что предупреждает нас о том, что любой кроссчейн мост может подвергаться угрозам безопасности.

Однако мы также наблюдаем, что проекты с сильной фоновой поддержкой и большими финансовыми ресурсами, как правило, могут более эффективно возвращать активы или компенсировать пользователям после инцидентов безопасности. Например, такие проекты, как Poly Network, Ronin Network и Wormhole, после кражи значительных сумм смогли через разные способы осуществить полное или частичное возмещение.

Кроме того, способности команды к实时监控 и быстрой реакции также имеют решающее значение. Например, Hop Protocol и StarGate быстро предприняли действия после получения сообщений о подозрительной активности, успешно предотвратив потенциальные атаки.

Эти уроки напоминают нам, что при выборе кроссчейн моста необходимо учитывать не только его технические возможности, но и обращать внимание на опыт команды проекта, финансовую стабильность и способность справляться с рисками. В то же время пользователи должны оставаться бдительными, регулярно проверять статус авторизации и осторожно использовать кроссчейн услуги.