Огляд атак на кросчейн міст: загроза для коштів на суму майже 2 мільярди доларів, понад 1.55 мільярда доларів вже повернуто або відшкодовано

У екосистемі блокчейн існує безліч публічних ланцюгів, але через те, що основні активи зосереджені на кількох ланцюгах, кросчейн міст став важливим інструментом для з'єднання активів різних публічних ланцюгів. Однак нещодавні часті інциденти з безпекою в DeFi викликали занепокоєння щодо безпеки кросчейн мостів. У цій статті буде розглянуто 10 найбільш значних атак на кросчейн мости за останні кілька років, підсумовано отримані уроки та надано рекомендації для команд розробників і користувачів.

ChainSwap: Дві атаки призвели до збитків близько 8,8 мільйона доларів

У липні 2021 року ChainSwap зазнав двох хакерських атак всього за 9 днів. Перша атака завдала збитків приблизно на 800 000 доларів, а друга атака призвела до збитків у 8 000 000 доларів, що вплинуло на більше ніж 20 проектів, які використовували ChainSwap для крос-ланцюга.

Причина інциденту полягає в тому, що протокол не перевіряв дійсність підпису, що дозволило зловмиснику використовувати підпис, згенерований самостійно, для завершення транзакції. Оскільки потерпілі активи в основному є токенами управління, ChainSwap та кілька постраждалих проєктів вирішили компенсувати власників та постачальників ліквідності за допомогою знімків та повторної емісії токенів.

Poly Network: 6,1 мільйона доларів активів було вкрадено, але всі були повернуті

10 серпня 2021 року крос-ланцюг протокол Poly Network зазнав серйозної атаки, внаслідок якої на мережах Ethereum, Binance Smart Chain та Polygon було втрачено близько 610 мільйонів доларів активів.

Атака використовувала вразливість у керуванні правами контракту Poly Network. Зловмисник успішно замінив адресу валідатора цільового ланцюга на адресу, яку він контролює, що дозволило йому підписувати та виконувати операції з переказу активів.

Незважаючи на те, що зловмисники ретельно спланували та використали приватні токени для приховання джерела фінансування, врешті-решт вони вирішили повернути всі вкрадені кошти. Poly Network пізніше назвала їх "білими капелюшниками" і запропонувала найняти їх на посаду головного консультанта з безпеки.

Multichain: 600 тисяч доларів США активів постраждало, майже половину вже повернуто

У січні 2022 року Multichain виявив серйозну вразливість, яка вплинула на багато токенів. Хоча вразливість була виправлена, близько 8000 адрес користувачів залишилися під загрозою, що призвело до збитків приблизно в 604 тисячі доларів.

Команда безпеки проаналізувала і вказала, що вразливість виникла через недоліки в Multichain під час перевірки законності введених користувачем токенів, не враховуючи, що не всі токени реалізують певні функції. Це призвело до того, що активи деяких авторизованих користувачів були переміщені на зловмисні адреси, створені нападником.

Multichain швидко вжила заходів, щоб за короткий час повернути майже 50% вкрадених коштів. Команда потім запропонувала план компенсації, але тільки для користувачів, які відкликали авторизацію контракту до вказаного терміну.

QBridge: збитки в 80 мільйонів доларів, компенсація лише 2%

Наприкінці січня 2022 року кросчейн міст QBridge платформи кредитування Qubit зазнав атаки, внаслідок якої було втрачено до 80 мільйонів доларів.

Зловмисник скористався критичною вразливістю QBridge під час обробки переказів токенів у білому списку. Оскільки система не підтвердила нульову адресу, зловмисник зміг без внесення будь-яких реальних активів на мережі BSC безкоштовно створити велику кількість токенів xETH. Ці підроблені токени потім використовувалися як забезпечення для отримання інших токенів у Qubit, що призвело до виснаження коштів платформи.

Наразі використання Qubit майже нульове, офіційні дані показують, що все ще 98% викрадених коштів не було компенсовано.

Meter.io: збитки в 440 мільйонів доларів, обіцянка компенсації майбутніх доходів

У лютому 2022 року кросчейн міст Meter Passport зазнав атаки, що призвело до втрат у розмірі 4,4 мільйона доларів.

Офіційне пояснення стверджує, що проблема полягає в "помилковому довірчому припущенні" в коді розширення Meter, що дозволяє зловмисникам підробляти перекази BNB та ETH, викликаючи базову функцію депозиту.

Метр спочатку планував компенсувати збитки користувачів за допомогою токенів MTRG, але після голосування в спільноті було вирішено випустити нові токени PASS як компенсацію, і було обіцяно викупити ці токени за рахунок майбутнього доходу. Однак на даний момент жодна операція з викупу не була проведена.

Ronin: вкрадено 620 мільйонів доларів, вже виплачено в повному обсязі

У березні 2022 року блокчейн Ronin, що стоїть за Axie Infinity, зазнав серйозної безпекової атаки, внаслідок якої було втрачено приблизно 620 мільйонів доларів. Варто зазначити, що атака сталася 23 березня, але її виявили лише через майже тиждень.

Дослідження показує, що це складна атака соціальної інженерії. Зловмисники через підроблений процес набору персоналу спокусили співробітників Sky Mavis (розробника Axie Infinity та Ronin) завантажити "листи про прийняття" з шкідливим програмним забезпеченням. Таким чином, хакери успішно проникли в мережу Ronin і контролювали кілька вузлів верифікації.

Хоча вкрадені кошти не вдалося безпосередньо повернути, Sky Mavis швидко завершила раунд фінансування на 150 мільйонів доларів для компенсації втрат користувачів. Наприкінці червня міст Ronin знову відкрився, і користувачі змогли отримати компенсацію. Однак через те, що ціна ETH значно впала за цей час, фактична вартість виплат зменшилася приблизно на дві третини.

Wormhole: втрата 326 мільйонів доларів, вже повністю компенсовано

На початку лютого 2022 року крос-ланцюг протокол Wormhole зазнав атаки, внаслідок якої було втрачено близько 120000 ETH, що становить 326 мільйонів доларів.

Атака використала вразливість у коді верифікації підписів основного контракту Wormhole на стороні Solana. Зловмисники успішно підробили повідомлення "опікуна", внаслідок чого було масово створено whETH і вилучено еквівалентний ETH з Ethereum.

На щастя, материнська компанія Wormhole Jump Crypto швидко вклала 120 000 ETH, компенсуючи всі втрати, що дозволило Wormhole швидко відновити свою роботу.

EvoDeFi: оцінка збитків понад десять мільйонів доларів, не отримала вирішення

У червні 2022 року на найбільшому DEX в екосистемі Oasis ValleySwap USDT серйозно втратив прив'язку, що призвело до значних фінансових втрат. Хоча конкретна сума збитків не була оприлюднена, її оцінюють на рівні десятків мільйонів доларів.

Проблема полягає в тому, що кросчейн міст, що використовується ValleySwap, EVODeFi, має серйозний дефіцит ліквідності на вихідному ланцюзі. Хоча EVODeFi звинувачує в проблемі ринкову паніку, це пояснення не є переконливим. Офіційний Oasis підкреслює, що не має зв'язку з ValleySwap та EvoDeFi і зазначає, що EvoDeFi має високі ризики.

На жаль, до цього часу втрати користувачів не були вирішені жодним суттєвим чином. Сторони, що мають відношення, здається, обрали уникати відповідальності, а офіційні соціальні мережі ValleySwap і EVODeFi перестали оновлюватись з моменту події.

Horizon: втрати близько 100 мільйонів доларів, план компенсації все ще обговорюється

24 червня 2022 року офіційний кросчейн міст Harmony Horizon зазнав атаки, внаслідок якої було втрачено близько 100 мільйонів доларів.

Засновник Harmony Стівен Це визнав, що атака, ймовірно, сталася через витік приватного ключа. Атака стосувалася різних активів на блокчейнах Ethereum та BNB. Після інциденту Horizon підвищив поріг багатопідпису з 5 з 2 до 5 з 4.

Harmony пропонував частково компенсувати втрати користувачів шляхом емісії токенів ONE протягом 3 років, але не зміг отримати одностайну підтримку спільноти. Наразі команда переглядає план компенсації.

Nomad: 1.9 мільярда доларів США ліквідності було вкрадено, частину коштів можливо повернути

На початку серпня 2022 року кросчейн міст Nomad зазнав значної безпекової аварії, внаслідок чого швидко втекло 190 мільйонів доларів ліквідності. Ця подія також непрямо вплинула на протокол взаємодії Layer2 Connext, завдавши йому збитків у розмірі приблизно 3,34 мільйона доларів.

Причина інциденту полягала в тому, що Nomad помилково ініціалізував довірений корінь як 0x00 під час оновлення контракту. Це дозволило будь-кому витягувати кошти з кросчейн мосту, просто змінивши параметри транзакції.

Згідно з аналізом, в цій атаці було залучено 1251 ETH адрес, з яких 12 ENS адрес становлять 38% від загальної суми втрат. Хоча проект ще не представив чіткий план компенсації, деякі білий капелюхи вже висловили готовність повернути кошти, що дає надію на повернення частини втрат.

Підсумки та висновки

Часті інциденти безпеки кросчейн містів підкреслюють високу ризикованість цієї сфери. Навіть такі відомі кросчейн мости, як Multichain, Wormhole та Poly Network, стикалися з проблемами безпеки, що застерігає нас, що будь-який кросчейн міст може зіткнутися з загрозами безпеці.

Однак ми також спостерігаємо, що проекти з сильним фоном і великим фінансуванням після скоєння інцидентів безпеки часто можуть ефективніше повернути активи або компенсувати користувачів. Наприклад, такі проекти, як Poly Network, Ronin Network і Wormhole, після того, як зазнали крадіжки великих сум, змогли реалізувати повну або часткову компенсацію різними способами.

Крім того, реальний моніторинг команди та швидка реакція також є вкрай важливими. Наприклад, Hop Protocol та StarGate швидко вжили заходів після отримання повідомлень про підозрілу активність, успішно зупинивши потенційні атаки.

Ці уроки нагадують нам, що при виборі кросчейн моста слід враховувати не лише його технічні можливості, а й звертати увагу на фон команди проекту, фінансову стабільність та здатність до реагування на ризики. Водночас користувачі повинні залишатися пильними, регулярно перевіряти статус авторизації та обережно діяти під час використання крос-ланцюгових послуг.