Огляд інцидентів безпеки кросчейн мостів: понад 1,9 мільярда доларів США постраждало, більшість вже повернено або компенсовано

Останнім часом, з розвитком екосистеми блокчейну, кросчейн мости стали важливою інфраструктурою для з’єднання різних публічних ланцюгів. Однак через їхню складність та обсяги фінансування, кросчейн мости також стали популярною мішенню для хакерських атак. У цій статті буде розглянуто десять останніх безпекових інцидентів з кросчейн мостами, які охоплюють загальну суму коштів понад 1,9 мільярда доларів США, з яких приблизно 1,55 мільярда доларів вже було повернено або виплачено.

ChainSwap: Два напади призвели до збитків приблизно в 8,8 мільйона доларів

У липні 2021 року ChainSwap зазнав двох атак всього за 9 днів. Перша атака призвела до збитків приблизно в 800 тисяч доларів США, друга – приблизно в 8 мільйонів доларів США, що вплинуло на понад 20 проєктів. Причиною інциденту стало те, що протокол не суворо перевіряв дійсність підписів. Щоб компенсувати користувачам, ChainSwap та кілька постраждалих проєктів провели знімок і повторно випустили токени.

Poly Network: 6,1 мільярда доларів США були вкрадені, але повністю повернуті

10 серпня 2021 року Poly Network зазнав значної безпекової події, в результаті якої було втрачено близько 610 мільйонів доларів активів на Ethereum, Binance Smart Chain та Polygon. Зловмисники використали вразливість у керуванні контрактом, щоб змінити адреси валідаторів цільового ланцюга. В кінцевому підсумку зловмисники повернули всі кошти, і Poly Network назвав їх “білими капелюшниками” та запросив виконати роль консультанта з безпеки.

Multichain: Основна компенсація втрат у 6 мільйонів доларів через вразливість

У січні 2022 року Multichain виявив важливу вразливість, що вплинула на шість токенів, в результаті чого постраждали активи на суму близько 604 тисяч доларів. Причина - некоректна перевірка легітимності токенів, що надходять від користувачів. Команда повернула близько 50% вкрадених коштів та здійснила компенсацію користувачам, які вчасно відкликали авторизацію.

QBridge: збитки в 80 мільйонів доларів, виплата лише 2%

28 січня 2022 року кросчейн міст QBridge компанії Qubit зазнав атаки, внаслідок чого було втрачено близько 80 мільйонів доларів. Зловмисник використав уразливість контракту для того, щоб без внесення жодних токенів випустити велику кількість xETH. Наразі використання Qubit надзвичайно низьке, 98% викрадених коштів досі не були компенсовані.

Meter.io: втрати в 4,4 мільйона доларів, обіцянка компенсувати за рахунок майбутніх доходів

6 лютого 2022 року кросчейн міст Meter Passport зазнав атаки, внаслідок якої було завдано збитків на 4,4 мільйона доларів США. Причиною стала “помилкова довіра в припущеннях” у коді. Meter вирішив випустити новий токен PASS для компенсації користувачам і пообіцяв викупити його за рахунок майбутніх доходів, але ще не почав виконання.

Ronin: 6,2 мільярда доларів були вкрадені, вже виплачено в повному обсязі

У березні 2022 року блокчейн Ronin від Axie Infinity зазнав соціальної інженерії, внаслідок чого було втрачено близько 620 мільйонів доларів. Зловмисники проникли в систему, підробивши шляхи працевлаштування, та контролювали кілька віртуальних вузлів. Хоча вкрадені кошти не були повернені, розробник Sky Mavis залучив 150 мільйонів доларів для компенсації користувачів.

Wormhole: 3,26 мільярда доларів США дірка, інвестори повністю покривають

3 лютого 2022 року Wormhole був атакований через помилку в перевірці підпису контракту на стороні Solana, внаслідок чого було втрачено близько 326 мільйонів доларів. Інвестор Jump Crypto швидко поповнив 120 тисяч ETH, що дозволило Wormhole відновити нормальну роботу.

EvoDeFi: оцінювані збитки в десятки мільйонів доларів, не оброблено

У червні 2022 року USDT на одному з екосистемних DEX серйозно відхилився від прив’язки, причиною чого став брак ліквідності на вихідному ланцюзі кросчейн мосту EvoDeFi. Конкретні втрати невідомі, але, за прогнозами, становлять десятки мільйонів доларів. Зацікавлені сторони не надали жодного рішення, втрати користувачів не можуть бути відшкодовані.

Horizon: вкрадено майже 100 мільйонів доларів, план компенсації ще розробляється

24 червня 2022 року кросчейн міст Horizon від Harmony був атакований, внаслідок чого було втрачено приблизно 100 мільйонів доларів. Це, ймовірно, сталося через витік приватного ключа. Проектна команда пропонувала компенсувати втрати шляхом випуску нових токенів у кілька етапів, але не отримала підтримки від спільноти, наразі розробляється новий план компенсації.

Nomad: інцидент безпеки на суму 190 мільйонів доларів, частину коштів можливо повернуть

2 серпня 2022 року Nomad втратив 190 мільйонів доларів через помилку в оновленні контракту. Деякі «білий капелюшки» хакери висловили готовність повернути кошти, але конкретний план компенсації ще не визначено.

Підсумок

Кросчейн міст безпекові інциденти часто нагадують нам про необхідність залишатися у високій готовності. Навіть головні проекти можуть мати ризики безпеки. Відносно кажучи, проекти з потужним бекграундом та фінансовими можливостями мають більше шансів відшкодувати активи або здійснити виплати після інцидентів безпеки. Крім того, оперативний моніторинг команди та швидка реакція є критично важливими для запобігання атакам. Користувачі повинні обережно оцінювати ризики при використанні кросчейн мостів та обирати надійні проекти.