Revisão de acidentes de segurança de pontes de cadeia cruzada: dez principais incidentes de ataque resultaram em perdas superiores a 1,9 mil milhões de dólares.

Nos últimos anos, as pontes de cadeia cruzada tornaram-se alvos populares de ataques hackers. Como as pontes de cadeia cruzada gerenciam grandes quantidades de fundos e frequentemente apresentam vulnerabilidades de segurança, tornaram-se áreas de alto risco. Este artigo revisa dez grandes incidentes de ataque a pontes de cadeia cruzada, envolvendo um montante total de mais de 1,9 mil milhões de dólares, dos quais cerca de 1,55 mil milhões de dólares já foram recuperados ou compensados.

1. ChainSwap: perdas de cerca de 8,8 milhões de dólares devido a dois ataques

Em julho de 2021, a ChainSwap sofreu dois ataques em curto espaço de tempo, o primeiro resultou em uma perda de cerca de 800.000 dólares, e o segundo em uma perda de cerca de 8.000.000 dólares. O segundo ataque afetou mais de 20 projetos que utilizavam a ChainSwap para cadeia cruzada.

Análise da causa: o protocolo não conseguiu verificar rigorosamente a validade da assinatura, permitindo que um atacante utilizasse uma assinatura gerada por ele para autorizar transações.

Solução: Vários projetos afetados foram capturados em um snapshot e emitiram novos tokens para compensar os detentores e provedores de liquidez.

2. Poly Network: uma perda de 610 milhões de dólares, recuperada na íntegra

Em agosto de 2021, a Poly Network perdeu aproximadamente 610 milhões de dólares em ativos na Ethereum, Binance Smart Chain e Polygon.

Método de ataque: ao explorar uma vulnerabilidade na gestão de permissões do contrato, o atacante alterou o endereço do validador da cadeia alvo, conseguindo assim controlar a transferência de ativos.

Resultado: O atacante acabou por devolver todos os fundos, com a equipe do projeto a chamá-lo de “hacker de chapéu branco” e a convidá-lo para ser o consultor de segurança principal.

3. Multichain: perda de 6 milhões de dólares, parte já paga

Em janeiro de 2022, a Multichain descobriu uma vulnerabilidade significativa que afetava seis tokens, resultando no roubo de cerca de 6,04 milhões de dólares em ativos.

Causas da falha: O contrato teve problemas ao verificar a validade dos tokens de entrada do usuário, não considerando que nem todos os tokens implementaram a função permit.

Processamento: cerca de 50% dos fundos roubados foram recuperados, a equipe propôs reembolsar os fundos aos usuários que tiveram a autorização revogada, mas não haverá mais compensação por perdas subsequentes.

4. QBridge: perda de 80 milhões de dólares, apenas 2% de compensação

No final de janeiro de 2022, a ponte de cadeia cruzada QBridge do protocolo de empréstimo Qubit foi atacada, resultando em perdas de cerca de 80 milhões de dólares.

Princípio do ataque: O QBridge não verifica novamente o endereço zero, permitindo que o atacante explore essa vulnerabilidade para cunhar uma grande quantidade de tokens xETH no BSC.

Situação: A taxa de utilização do Qubit é extremamente baixa, 98% dos fundos roubados ainda não foram compensados.

5. Meter.io: 4,4 milhões de dólares em perdas, prometeu compensar com receitas futuras

Em fevereiro de 2022, a ponte de cadeia cruzada Meter Passport foi atacada, resultando em uma perda de 4,4 milhões de dólares.

Razão: Existe uma “suposição de confiança errada” no código de extensão do Meter, permitindo que um atacante falsifique transferências de BNB e ETH.

Plano de compensação: emissão de um novo token PASS para compensar os usuários, comprometendo-se a recomprá-lo com os futuros lucros, mas ainda não implementado.

6. Ronin: perda de 620 milhões de dólares, já totalmente compensada

Em março de 2022, a cadeia Ronin do Axie Infinity foi atacada, resultando numa perda de cerca de 620 milhões de dólares.

Método de ataque: obter informações dos funcionários da Sky Mavis através de engenharia social, controlando assim múltiplos nós de validação.

Solução: O desenvolvedor Sky Mavis levantou 150 milhões de dólares para compensação, mas a queda do preço do ETH resultou em uma desvalorização do valor real da compensação.

7. Wormhole: 326 milhões de dólares em perdas, já compensados

Em fevereiro de 2022, o Wormhole foi atacado, resultando na perda de aproximadamente 120 mil ETH, no valor de 326 milhões de dólares.

Vulnerabilidade: erro de verificação de assinatura do contrato central no Solana, permitindo que um atacante falsifique a mensagem “guardião” para cunhar whETH.

Processamento: a Jump Crypto injetou 120.000 ETH no Wormhole para compensar as perdas.

8. EvoDeFi: estimativa de perdas superiores a dez milhões de dólares, não tratadas

Em junho de 2022, o USDT desanexou-se gravemente na DEX ValleySwap do ecossistema Oasis, com perdas estimadas em mais de dez milhões de dólares.

Razão: A ponte de cadeia cruzada EVODeFi tem falta de liquidez na cadeia de origem, podendo haver uma porta dos fundos para roubar os ativos dos usuários.

Situação: As partes envolvidas não forneceram uma solução, suspeita-se de fuga.

9. Horizon: perdas de quase 100 milhões de dólares, plano de compensação em elaboração

Em junho de 2022, a ponte de cadeia cruzada Horizon da Harmony foi atacada, resultando em uma perda de cerca de 100 milhões de dólares.

Motivo: suspeita de vazamento de chave privada.

Progresso: estamos a reformular o plano de compensação, ainda não alcançámos um consenso.

10. Nomad: 190 milhões de dólares em perdas, em processamento

Em agosto de 2022, a liquidez da Nomad foi rapidamente esgotada, resultando em uma perda de 190 milhões de dólares.

Vulnerabilidade: a raiz de confiança foi inicializada incorretamente durante a atualização do contrato, permitindo que qualquer pessoa retire fundos.

Situação: alguns hackers éticos afirmaram estar dispostos a devolver os fundos, mas o plano de compensação específico ainda não foi definido.

Conclusão

Os acidentes de segurança das pontes de cadeia cruzada ocorrem com frequência, mesmo grandes projetos têm dificuldade em escapar. No entanto, projetos com um forte respaldo têm mais vantagens na gestão de crises, frequentemente conseguindo recuperar fundos ou realizar compensações. Os usuários, ao escolherem uma ponte de cadeia cruzada, devem priorizar projetos com uma forte capacidade técnica e de resposta a riscos, para reduzir o risco de perdas potenciais.