Огляд безпекових інцидентів кросчейн моста: десять атак, що залучають понад 1,9 мільярда доларів

Кросчейн міст як ключова інфраструктура, що з'єднує різні блокчейн-мережі, останніми роками часто піддається атакам, що призводить до величезних фінансових втрат. У цій статті розглянуто десять значних випадків безпеки кросчейн міст, загальна сума яких перевищує 1,9 мільярда доларів, з яких близько 1,55 мільярда доларів було повернуто або компенсовано. Ці випадки підкреслюють безпекові виклики, з якими стикаються кросчейн мости, а також надають цінний досвід і уроки для галузі.

ChainSwap: приблизні втрати від двох атак склали близько 8 мільйонів доларів США

У липні 2021 року ChainSwap зазнав двох атак за короткий проміжок часу в 9 днів. Перша атака призвела до втрат приблизно в 80000 доларів США, а друга - до збільшення втрат до 8000000 доларів США, що вплинуло на понад 20 проектів, які використовували ChainSwap для крос-ланцюг.

Причина атаки полягає в тому, що протокол не суворо перевіряє дійсність підписів, що дозволяє зловмисникам використовувати самостійно згенеровані підписи для завершення транзакцій. Оскільки основними постраждалими є токени управління, кілька проектів вирішили зробити знімок і перевипустити токени для компенсації власникам.

Poly Network: 6,1 мільярда доларів США, вкрадених коштів, були повністю повернені

У серпні 2021 року крос-ланцюг протокол Poly Network зазнав значної атаки, внаслідок якої на Ethereum, Binance Smart Chain та Polygon було втрачено близько 610 мільйонів доларів активів.

Атака використала вразливість управління правами контракту, зловмисник успішно змінив адресу валідатора на цільовому ланцюзі. Незважаючи на початкову підготовку, хакер врешті-решт вирішив повернути всі кошти, а Poly Network назвав його "білошапковим" хакером.

Multichain: Виплата за збитками внаслідок вразливості в розмірі 6 мільйонів доларів була здійснена

У січні 2022 року Multichain виявив важливу вразливість, що вплинула на кілька токенів. Було вражено приблизно 7962 адреси користувачів, що призвело до збитків на суму 604 тисячі доларів.

Вразливість виникла через неправильну перевірку законності введених користувачем токенів. Офіційно повернуто майже 50% вкрадених коштів, і запропоновано план компенсації, але лише для тих користувачів, які своєчасно відкликали авторизацію.

QBridge: втрата 80 мільйонів доларів, компенсація лише 2%

Наприкінці січня 2022 року кросчейн міст QBridge платформи кредитування Qubit зазнав атаки, внаслідок чого було втрачено близько 80 мільйонів доларів.

Зловмисник скористався уразливістю QBridge при обробці транзакцій токенів у білому списку, успішно виготовивши велику кількість токенів xETH на BSC та очистивши застави Qubit. Наразі використання Qubit низьке, 98% вкрадених коштів досі не були компенсовані.

Meter.io: 440 мільйонів доларів США втрат на виплату майбутніх доходів

У лютому 2022 року кросчейн міст Meter Passport зазнав атаки, що призвело до збитків у розмірі 4,4 мільйона доларів.

Проблема полягає в "помилковому довірчому припущенні" базового коду, яке дозволяє зловмисникам підробляти трансакції BNB та ETH. Meter компенсує це, випустивши новий токен PASS, обіцяючи викупити його за рахунок майбутніх доходів, але це ще не реалізовано.

Ronin: Повна компенсація після крадіжки на 6,2 мільярда доларів

У березні 2022 року мережа Ronin, що використовується в Axie Infinity, зазнала значної атаки на 620 мільйонів доларів.

Атака була здійснена за допомогою соціальної інженерії, хакери проникли в систему через фальшиві вакансії і в підсумку контролювали кілька верифікаційних вузлів. Незважаючи на те, що вкрадені кошти не вдалося повернути, розробник Sky Mavis успішно залучив 150 мільйонів доларів через фінансування для компенсації збитків користувачів.

Wormhole: негайне відшкодування збитків у розмірі 326 мільйонів доларів

У лютому 2022 року кросчейн протокол Wormhole був атакований, внаслідок чого було втрачено близько 326 мільйонів доларів.

Атака використала уразливість перевірки підписів у смарт-контракті Solana. Компанія-покупець розробника Jump Crypto швидко поповнила еквівалентну суму ETH, що дозволило Wormhole відновити свою роботу.

EvoDeFi: підозрюване бекдорне викрадення активів користувачів

У червні 2022 року USDT на DEX ValleySwap екосистеми Oasis серйозно відчепився від прив'язки, що призвело до втрат, оцінених у десятки мільйонів доларів.

Проблема виникла через недостатню ліквідність на вихідному ланцюзі кросчейн моста EVODeFi. Є припущення, що це може бути викрадено через бекдор активи користувачів. Наразі зацікавлені сторони не надали рішення, а втрати користувачів не можуть бути відшкодовані.

Horizon: Збитки майже 100 мільйонів доларів, план компенсації ще розробляється

У червні 2022 року офіційний кросчейн міст Harmony Horizon зазнав атак, що призвело до збитків приблизно в 100 мільйонів доларів.

Офіційно визнано, що атака могла бути викликана витоком приватного ключа. Наразі ведуться переговори з громадою щодо розробки нового плану компенсації.

Nomad: вкрадено 1,9 мільярда доларів, частину коштів можливо повернути

У серпні 2022 року кросчейн міст Nomad зазнав значної атаки на суму 190 мільйонів доларів.

Атака сталася через помилку ініціалізації під час оновлення контракту. Наразі немає чіткого плану компенсації, але деякі білих капелюшків вже висловили готовність повернути кошти.

Підсумок

Ці випадки свідчать про те, що навіть провідні проєкти кросчейн мостів стикаються зі серйозними загрозами безпеці. У порівнянні з цим, проєкти з потужним бекграундом мають перевагу в управлінні кризами, часто здатні краще захищати інтереси користувачів. Водночас, ефективний моніторинг у реальному часі та швидка реакція також є ключовими для запобігання атакам. Проблеми безпеки кросчейн мостів все ще потребують постійної уваги та покращення з боку галузі.