Cầu nối Cross-chain tấn công sự kiện hồi cứu: Gần 2 tỷ đô la Mỹ tài sản bị đe dọa, hơn 1,55 tỷ đô la Mỹ đã được thu hồi hoặc bồi thường

Trong hệ sinh thái blockchain, có nhiều chuỗi công khai, nhưng do tài sản chính tập trung vào một vài chuỗi, cầu nối Cross-chain trở thành công cụ quan trọng kết nối tài sản của các chuỗi công khai khác nhau. Tuy nhiên, những sự cố an ninh DeFi gần đây đã dấy lên mối lo ngại về độ an toàn của cầu nối Cross-chain. Bài viết này sẽ xem xét lại 10 sự kiện tấn công cầu nối Cross-chain đáng chú ý trong vài năm qua, tóm tắt kinh nghiệm và bài học, cung cấp tham khảo cho các đội phát triển và người dùng.

ChainSwap: Hai lần tấn công gây thiệt hại khoảng 880 triệu đô la

Vào tháng 7 năm 2021, ChainSwap đã trải qua hai cuộc tấn công của hacker chỉ trong vòng 9 ngày. Cuộc tấn công đầu tiên gây thiệt hại khoảng 800.000 USD, cuộc tấn công thứ hai thiệt hại cao đến 8 triệu USD, ảnh hưởng đến hơn 20 dự án sử dụng ChainSwap để thực hiện chuỗi cross.

Nguyên nhân của sự cố là do giao thức không xác minh tính hợp lệ của chữ ký một cách nghiêm ngặt, kẻ tấn công đã sử dụng chữ ký tự tạo của mình để hoàn thành giao dịch. Do tài sản bị thiệt hại chủ yếu là token quản trị, ChainSwap và nhiều dự án bị ảnh hưởng đã chọn cách bồi thường cho các nhà nắm giữ và cung cấp thanh khoản thông qua việc chụp nhanh và phát hành lại token.

Poly Network: 6.1 triệu đô la tài sản bị đánh cắp đã được khôi phục toàn bộ

Vào ngày 10 tháng 8 năm 2021, giao thức chuỗi cross Poly Network đã gặp phải một cuộc tấn công nghiêm trọng, tổng thiệt hại khoảng 610 triệu đô la tài sản trên ba mạng lưới Ethereum, Binance Smart Chain và Polygon.

Cuộc tấn công đã tận dụng lỗ hổng trong quản lý quyền hạn hợp đồng của Poly Network. Kẻ tấn công đã thành công trong việc thay thế địa chỉ người xác thực của chuỗi mục tiêu bằng địa chỉ mà mình kiểm soát, từ đó có thể ký và thực hiện các thao tác chuyển giao tài sản.

Mặc dù kẻ tấn công đã lên kế hoạch cẩn thận và sử dụng đồng tiền riêng tư để che giấu nguồn gốc của quỹ, nhưng cuối cùng đã chọn hoàn trả toàn bộ số tiền bị đánh cắp. Poly Network sau đó đã gọi họ là "tin tặc mũ trắng" và đề xuất thuê họ làm cố vấn an ninh chính.

Multichain: 600 triệu đô la tài sản bị thiệt hại, gần một nửa đã được thu hồi

Vào tháng 1 năm 2022, Multichain phát hiện một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều loại token. Mặc dù lỗ hổng đã được khắc phục, nhưng vẫn có gần 8000 địa chỉ người dùng bị ảnh hưởng, gây ra thiệt hại khoảng 604 triệu USD.

Đội ngũ an ninh phân tích cho biết, lỗ hổng xuất phát từ việc Multichain có thiếu sót trong việc xác thực tính hợp pháp của các mã thông báo do người dùng nhập, không xem xét rằng không phải tất cả các mã thông báo đều triển khai các hàm cụ thể. Điều này đã dẫn đến việc tài sản của một số người dùng được ủy quyền bị chuyển đến địa chỉ độc hại do kẻ tấn công tạo ra.

Multichain nhanh chóng hành động, trong thời gian ngắn đã thu hồi gần 50% số tiền bị đánh cắp. Đội ngũ sau đó đã đưa ra phương án bồi thường, nhưng chỉ dành cho những người dùng đã hủy quyền hợp đồng trước thời hạn quy định.

QBridge: 80 triệu USD tổn thất, chỉ bồi thường 2%

Cuối tháng 1 năm 2022, cầu nối Cross-chain QBridge của nền tảng cho vay Qubit đã bị tấn công, gây thiệt hại lên tới 80 triệu USD.

Kẻ tấn công đã lợi dụng một lỗ hổng quan trọng trong QBridge khi xử lý chuyển khoản token trong danh sách trắng. Do hệ thống không thực hiện xác nhận lần hai đối với địa chỉ không, kẻ tấn công đã có thể tạo ra một lượng lớn token xETH trên mạng BSC mà không cần nạp bất kỳ tài sản thực nào. Những token giả mạo này sau đó đã được sử dụng làm tài sản thế chấp để vay các token khác từ Qubit, dẫn đến việc cạn kiệt quỹ của nền tảng.

Hiện tại, tỷ lệ sử dụng Qubit đã gần như bằng không, dữ liệu chính thức cho thấy vẫn có 98% số tiền bị đánh cắp chưa được bồi thường.

Meter.io: Mất 4,4 triệu đô la, cam kết bồi thường lợi nhuận trong tương lai

Vào tháng 2 năm 2022, cầu nối Cross-chain Meter Passport đã bị tấn công, gây thiệt hại 4,4 triệu đô la.

Giải thích chính thức cho biết, vấn đề nằm ở "giả định tin cậy sai" trong mã mở rộng Meter, cho phép kẻ tấn công giả mạo chuyển khoản BNB và ETH bằng cách gọi chức năng gửi tiền cơ bản.

Meter ban đầu dự định bồi thường thiệt hại cho người dùng bằng mã thông báo MTRG, nhưng sau khi bỏ phiếu trong cộng đồng, họ quyết định phát hành mã thông báo PASS mới để bồi thường và hứa sẽ sử dụng lợi nhuận trong tương lai để mua lại những mã thông báo này. Tuy nhiên, tính đến thời điểm hiện tại, chưa có bất kỳ hoạt động mua lại nào được thực hiện.

Ronin: 6,2 triệu đô la Mỹ bị đánh cắp, đã bồi thường toàn bộ

Vào tháng 3 năm 2022, chuỗi Ronin đứng sau Axie Infinity đã gặp phải một sự cố an ninh nghiêm trọng, gây thiệt hại khoảng 620 triệu đô la. Đáng chú ý là, cuộc tấn công xảy ra vào ngày 23 tháng 3, nhưng đến gần một tuần sau mới được phát hiện.

Khảo sát cho thấy, đây là một cuộc tấn công kỹ thuật xã hội phức tạp. Kẻ tấn công đã thông qua quy trình tuyển dụng giả mạo, dụ dỗ nhân viên của Sky Mavis (nhà phát triển của Axie Infinity và Ronin) tải xuống "thư trúng tuyển" chứa phần mềm độc hại. Bằng cách này, tin tặc đã thành công trong việc xâm nhập vào mạng Ronin và kiểm soát nhiều nút xác thực.

Mặc dù số tiền bị đánh cắp không thể được khôi phục trực tiếp, nhưng Sky Mavis đã nhanh chóng hoàn thành một vòng gọi vốn 150 triệu đô la để bồi thường thiệt hại cho người dùng. Vào cuối tháng 6, cầu nối Ronin đã mở lại, và người dùng có thể nhận bồi thường. Tuy nhiên, do giá ETH đã giảm mạnh trong thời gian này, giá trị thực tế của khoản bồi thường đã giảm khoảng hai phần ba.

Wormhole：3.26 triệu USD thiệt hại, đã bồi thường toàn bộ

Đầu tháng 2 năm 2022, giao thức chuỗi cross Wormhole đã bị tấn công, thiệt hại khoảng 120.000 ETH, trị giá 3.26 triệu đô la.

Cuộc tấn công đã lợi dụng lỗ hổng trong mã xác minh chữ ký của hợp đồng cốt lõi Wormhole ở đầu Solana. Kẻ tấn công đã thành công trong việc giả mạo tin nhắn của "người giám hộ", từ đó phát hành hàng loạt whETH và rút ETH tương đương từ Ethereum.

May mắn thay, công ty mẹ của Wormhole là Jump Crypto đã nhanh chóng bơm 120.000 ETH, bù đắp toàn bộ khoản lỗ, giúp Wormhole nhanh chóng khôi phục hoạt động.

EvoDeFi: Ước tính thiệt hại lên tới hàng triệu đô la, chưa được xử lý

Vào tháng 6 năm 2022, USDT trên DEX lớn nhất trong hệ sinh thái Oasis là ValleySwap đã bị mất chốt nghiêm trọng, dẫn đến việc mất mát một lượng lớn vốn. Mặc dù số tiền thiệt hại cụ thể chưa được công bố, nhưng ước tính trong mức hàng triệu đô la.

Vấn đề gốc rễ nằm ở việc cầu nối Cross-chain EVODeFi mà ValleySwap sử dụng có tính thanh khoản trên chuỗi gốc rất thấp. Mặc dù EVODeFi đổ lỗi cho sự hoảng loạn của thị trường, nhưng lời giải thích này không thuyết phục. Oasis chính thức nhấn mạnh rằng họ không có liên quan đến ValleySwap và EvoDeFi, đồng thời chỉ ra rằng EvoDeFi có rủi ro cao.

Tiếc là, người dùng vẫn chưa nhận được bất kỳ giải pháp thực chất nào cho những tổn thất của mình. Các bên liên quan dường như đã chọn cách tránh né trách nhiệm, các phương tiện truyền thông xã hội chính thức của ValleySwap và EVODeFi đã ngừng cập nhật kể từ sự kiện.

Horizon：Gần 100 triệu USD tổn thất, kế hoạch bồi thường vẫn đang được thảo luận.

Vào ngày 24 tháng 6 năm 2022, cầu nối Cross-chain Horizon chính thức của Harmony đã bị tấn công, gây thiệt hại khoảng 100 triệu USD.

Nhà sáng lập Harmony, Stephen Tse, thừa nhận rằng cuộc tấn công rất có thể là do rò rỉ khóa riêng. Cuộc tấn công liên quan đến nhiều tài sản trên chuỗi Ethereum và BNB. Sau sự kiện, Horizon đã nâng cao ngưỡng đa chữ ký, từ 5 chọn 2 thành 5 chọn 4.

Harmony từng đề xuất phát hành thêm token ONE trong vòng 3 năm để bù đắp một phần thiệt hại cho người dùng, nhưng không nhận được sự ủng hộ nhất trí từ cộng đồng. Hiện tại, đội ngũ đang xây dựng lại kế hoạch bồi thường.

Nomad: 190 triệu đô la Mỹ thanh khoản bị rút cạn, một phần vốn có hy vọng được thu hồi

Vào đầu tháng 8 năm 2022, cầu nối Cross-chain Nomad đã gặp phải một sự cố an ninh nghiêm trọng, dẫn đến việc mất nhanh chóng 190 triệu đô la Mỹ thanh khoản. Sự kiện này cũng ảnh hưởng gián tiếp đến giao thức tương tác Layer2 Connext, gây thiệt hại khoảng 3,34 triệu đô la Mỹ.

Nguyên nhân của sự cố là do Nomad đã khởi tạo gốc tin cậy thành 0x00 trong quá trình nâng cấp hợp đồng. Điều này cho phép bất kỳ ai có thể rút tiền từ cầu nối Cross-chain bằng cách đơn giản là sửa đổi các tham số giao dịch.

Theo phân tích, cuộc tấn công này liên quan đến 1251 địa chỉ ETH, trong đó 12 địa chỉ ENS chiếm 38% tổng số tiền thiệt hại. Mặc dù nhóm dự án chưa đưa ra kế hoạch bồi thường rõ ràng, nhưng một số hacker mũ trắng đã bày tỏ sẵn sàng hoàn trả tiền, mang lại hy vọng trong việc thu hồi một phần thiệt hại.

Tóm tắt và Gợi ý

Sự gia tăng các sự cố an toàn của cầu nối Cross-chain đã làm nổi bật tính rủi ro cao trong lĩnh vực này. Ngay cả những cầu nối Cross-chain nổi tiếng có thứ hạng thanh khoản cao như Multichain, Wormhole và Poly Network cũng đã từng gặp phải vấn đề an toàn, điều này cảnh báo chúng ta rằng bất kỳ cầu nối Cross-chain nào cũng có thể phải đối mặt với các mối đe dọa an ninh.

Tuy nhiên, chúng tôi cũng nhận thấy rằng những dự án có nền tảng mạnh mẽ và nguồn tài chính dồi dào thường có thể thu hồi tài sản hoặc bồi thường cho người dùng một cách hiệu quả hơn sau khi gặp sự cố an ninh. Chẳng hạn, các dự án như Poly Network, Ronin Network và Wormhole, sau khi gặp phải việc bị đánh cắp số tiền lớn, đều có thể thực hiện bồi thường toàn bộ hoặc phần lớn thông qua nhiều cách khác nhau.

Ngoài ra, khả năng giám sát thời gian thực và phản ứng nhanh chóng của đội ngũ cũng rất quan trọng. Ví dụ, Hop Protocol và StarGate đã nhanh chóng hành động sau khi nhận được báo cáo về các hoạt động nghi ngờ, thành công trong việc ngăn chặn các cuộc tấn công tiềm năng.

Những bài học kinh nghiệm này nhắc nhở chúng ta rằng, khi chọn cầu nối Cross-chain, không chỉ cần xem xét sức mạnh công nghệ của nó, mà cũng cần chú ý đến bối cảnh của đội ngũ dự án, sức mạnh tài chính cũng như khả năng ứng phó với rủi ro. Đồng thời, người dùng cũng nên giữ cảnh giác, kiểm tra định kỳ trạng thái ủy quyền và cẩn thận khi sử dụng dịch vụ chuỗi cross.