Cầu nối Cross-chain sự kiện an ninh hồi tưởng: Mười cuộc tấn công liên quan đến hơn 1,9 tỷ USD quỹ

Cầu nối Cross-chain được coi là cơ sở hạ tầng quan trọng kết nối các mạng blockchain khác nhau, trong những năm gần đây đã thường xuyên bị tấn công, gây ra thiệt hại tài chính lớn. Bài viết này tổng hợp lại mười sự kiện an toàn nghiêm trọng liên quan đến cầu nối Cross-chain, với tổng số tiền liên quan lên đến hơn 1,9 tỷ USD, trong đó khoảng 1,55 tỷ USD đã được thu hồi hoặc bồi thường. Những trường hợp này làm nổi bật những thách thức về an ninh mà cầu nối Cross-chain phải đối mặt, đồng thời cung cấp những bài học quý giá cho ngành.

ChainSwap: Hai cuộc tấn công gây thiệt hại khoảng 800 triệu đô la

Vào tháng 7 năm 2021, ChainSwap đã gặp phải hai cuộc tấn công chỉ trong 9 ngày. Lần đầu tiên thiệt hại khoảng 800.000 USD, lần thứ hai thiệt hại mở rộng lên tới 8 triệu USD, ảnh hưởng đến hơn 20 dự án sử dụng ChainSwap để thực hiện cầu nối Cross-chain.

Nguyên nhân tấn công là do giao thức không xác minh nghiêm ngặt tính hợp lệ của chữ ký, dẫn đến việc kẻ tấn công có thể sử dụng chữ ký tự tạo của mình để hoàn thành giao dịch. Do các token quản trị bị ảnh hưởng chủ yếu, nhiều dự án đã chọn thực hiện chụp ảnh và phát hành lại token để bồi thường cho người nắm giữ.

Poly Network: 6.1 triệu USD tiền bị đánh cắp đã được truy hồi hoàn toàn

Vào tháng 8 năm 2021, giao thức chuỗi cross Poly Network đã遭遇 một cuộc tấn công lớn, mất khoảng 610 triệu đô la tài sản trên Ethereum, chuỗi thông minh Binance và Polygon.

Cuộc tấn công đã lợi dụng lỗ hổng trong quản lý quyền hợp đồng, kẻ tấn công đã thành công trong việc sửa đổi địa chỉ người xác thực trên chuỗi mục tiêu. Mặc dù đã chuẩn bị kỹ lưỡng từ ban đầu, nhưng hacker cuối cùng đã chọn hoàn trả toàn bộ số tiền, Poly Network cũng đã gọi đây là hacker "mũ trắng".

Multichain: 600 triệu đô la Mỹ thiệt hại do lỗi đã được bồi thường

Vào tháng 1 năm 2022, Multichain phát hiện một lỗ hổng quan trọng ảnh hưởng đến nhiều loại token. Khoảng 7962 địa chỉ người dùng bị ảnh hưởng, tổng thiệt hại lên tới 6 triệu đô la.

Lỗ hổng xuất phát từ việc không kiểm tra đúng tính hợp lệ của Token nhập từ người dùng. Chính thức đã thu hồi gần 50% số tiền bị đánh cắp và đưa ra phương án bồi thường, nhưng chỉ giới hạn cho những người dùng đã kịp thời hủy quyền.

QBridge: Mất 80 triệu USD chỉ bồi thường 2%

Cuối tháng 1 năm 2022, cầu nối Cross-chain QBridge của nền tảng cho vay Qubit đã bị tấn công, thiệt hại khoảng 80 triệu đô la.

Kẻ tấn công đã lợi dụng lỗ hổng của QBridge trong việc xử lý chuyển khoản token trong danh sách trắng, thành công trong việc đúc một lượng lớn token xETH trên BSC và làm trống tài sản thế chấp của Qubit. Hiện tại, tỷ lệ sử dụng Qubit đang thấp, 98% số tiền bị đánh cắp vẫn chưa được bồi thường.

Meter.io: 440 triệu USD thiệt hại được bồi thường bằng lợi nhuận tương lai

Tháng 2 năm 2022, cầu nối Cross-chain Meter Passport đã bị tấn công, gây thiệt hại 4,4 triệu đô la.

Vấn đề nằm ở "giả định tin cậy sai" trong mã nguồn, cho phép kẻ tấn công giả mạo chuyển khoản BNB và ETH. Meter đã phát hành mã thông báo mới PASS để bồi thường, cam kết sẽ dùng lợi nhuận trong tương lai để mua lại, nhưng vẫn chưa được thực hiện.

Ronin: Được bồi thường toàn bộ sau khi bị đánh cắp 620 triệu đô la

Vào tháng 3 năm 2022, chuỗi Ronin được sử dụng bởi Axie Infinity đã bị tấn công nghiêm trọng với thiệt hại lên đến 620 triệu đô la.

Cuộc tấn công bắt nguồn từ các phương pháp kỹ thuật xã hội, hacker thâm nhập vào hệ thống thông qua việc tuyển dụng giả mạo, cuối cùng kiểm soát nhiều nút xác thực. Mặc dù số tiền bị đánh cắp không thể thu hồi, nhưng nhà phát triển Sky Mavis đã thành công huy động 150 triệu USD thông qua tài trợ để bồi thường thiệt hại cho người dùng.

Wormhole: Thiệt hại 326 triệu USD được bù đắp ngay lập tức

Tháng 2 năm 2022, giao thức chuỗi cross Wormhole bị tấn công, thiệt hại khoảng 326 triệu USD.

Cuộc tấn công đã lợi dụng lỗ hổng xác thực chữ ký trong hợp đồng đầu cuối của Solana. Bên mua lại công ty phát triển, Jump Crypto, đã nhanh chóng bổ sung số ETH tương đương để Wormhole có thể phục hồi hoạt động.

EvoDeFi: Nghi ngờ có cửa hậu đánh cắp tài sản của người dùng

Vào tháng 6 năm 2022, USDT trên DEX ValleySwap của hệ sinh thái Oasis đã bị mất giá nghiêm trọng, gây ra thiệt hại ước tính lên tới hàng chục triệu đô la.

Vấn đề xuất phát từ việc cầu nối Cross-chain EVODeFi được sử dụng có tính thanh khoản không đủ trên chuỗi nguồn. Có suy đoán cho rằng có thể là thông qua cửa sau để đánh cắp tài sản của người dùng. Hiện tại, các bên liên quan đều chưa đưa ra giải pháp, người dùng không thể thu hồi thiệt hại.

Horizon：Gần 100 triệu USD thiệt hại, kế hoạch bồi thường vẫn đang được xây dựng

Vào tháng 6 năm 2022, cầu nối Cross-chain Horizon chính thức của Harmony đã bị tấn công, gây thiệt hại khoảng 100 triệu đô la.

Chính thức thừa nhận khả năng bị lộ khóa riêng dẫn đến cuộc tấn công. Hiện tại đang thảo luận với cộng đồng để xây dựng kế hoạch bồi thường mới.

Nomad: 1,9 triệu đô la Mỹ bị đánh cắp, một phần vốn có thể sẽ được thu hồi

Vào tháng 8 năm 2022, cầu nối Cross-chain Nomad đã chịu một cuộc tấn công lớn lên đến 190 triệu USD.

Cuộc tấn công bắt nguồn từ một lỗi khởi tạo trong quá trình nâng cấp hợp đồng. Hiện tại chưa có kế hoạch bồi thường rõ ràng, nhưng đã có một số hacker mũ trắng bày tỏ sẵn sàng hoàn trả lại tiền.

Tóm tắt

Những trường hợp này cho thấy, ngay cả những dự án cầu nối Cross-chain hàng đầu cũng đối mặt với những mối đe dọa an ninh nghiêm trọng. So với đó, những dự án có nền tảng vững mạnh hơn thường có lợi thế trong việc xử lý khủng hoảng, thường có khả năng bảo vệ lợi ích của người dùng tốt hơn. Đồng thời, việc giám sát hiệu quả theo thời gian thực và cơ chế phản ứng nhanh cũng là chìa khóa để ngăn chặn các cuộc tấn công. Vấn đề an ninh của cầu nối Cross-chain vẫn cần sự chú ý và cải tiến liên tục từ ngành.