Огляд інцидентів безпеки кросчейн мостів: десяток атак з втратами понад 1,9 мільярда доларів

В останні роки кросчейн мости стали популярною ціллю хакерських атак. Оскільки кросчейн мости управляють великими обсягами коштів і часто мають вразливості безпеки, вони стали високоризикованою зоною. У цій статті оглядаються десять значних атак на кросчейн мости, що стосуються загальної суми коштів понад 1,9 мільярда доларів, з яких приблизно 1,55 мільярда вже було повернено або компенсовано.

1. ChainSwap: дві атаки завдали збитків приблизно 8,8 мільйона доларів

У липні 2021 року ChainSwap зазнав двох атак у короткий термін: перша атака призвела до втрат приблизно 800 000 доларів США, а друга – приблизно 8 000 000 доларів США. Друга атака вплинула на понад 20 проектів, що використовували ChainSwap для крос-ланцюга.

Аналіз причин: протокол не зміг строго перевірити дійсність підпису, зловмисник може використовувати створений ним підпис для авторизації транзакцій.

Рішення: кілька постраждалих проектів були зафіксовані, і випущено нові токени для компенсації власників і постачальників ліквідності.

2. Poly Network: втратив 6,1 мільярда доларів США, повністю повернені

У серпні 2021 року Poly Network втратила приблизно 610 мільйонів доларів активів на Ethereum, Binance Smart Chain та Polygon.

Метод атаки: використання вразливості управління правами контракту, зловмисник змінив адресу валідатора цільового ланцюга, що дозволило йому контролювати переказ активів.

Результат: зловмисник врешті-решт повернув усі кошти, а команда проєкту назвала його “білим капелюшком” і запросила на посаду головного консультанта з безпеки.

3. Multichain: втрата 6 мільйонів доларів, частина вже виплачена

У січні 2022 року Multichain виявив значний уразливість, що вплинула на шість токенів, в результаті чого було вкрадено активи на суму близько 6,04 мільйона доларів.

Причини вразливості: контракт не зміг перевірити легітимність введених користувачем токенів, не враховуючи, що не всі токени реалізують функцію permit.

Обробка: близько 50% вкрадених коштів було повернуто, команда пропонує повернути кошти користувачам, які відкликали авторизацію, але подальші втрати більше не компенсуватимуться.

4. QBridge: збитки у 80 млн доларів, виплата лише 2%

В кінці січня 2022 року кросчейн міст QBridge кредитного протоколу Qubit зазнав атаки, внаслідок якої було втрачено близько 80 мільйонів доларів.

Принцип атаки: QBridge не перевіряє нульову адресу повторно, зловмисник використовує цей вразливість для безпідставного випуску великої кількості токенів xETH на BSC.

Стан: використання Qubit надзвичайно низьке, 98% вкрадених коштів ще не відшкодовано.

5. Meter.io: збитки в 4,4 мільйона доларів, обіцянка компенсувати з майбутнього доходу

У лютому 2022 року кросчейн міст Meter Passport зазнав атаки, внаслідок чого було завдано збитків на 4,4 мільйона доларів.

Причина: В коді розширення Meter існує “помилкове припущення про довіру”, що дозволяє зловмисникам підробляти перекази BNB та ETH.

План компенсації: випустити новий токен PASS для виплати користувачам, обіцяючи викупити його на основі майбутніх доходів, але ще не реалізовано.

6. Ronin: $620 млн збитків, вже повністю виплачено

У березні 2022 року ланцюг Ronin гри Axie Infinity зазнав атаки, внаслідок якої було втрачено приблизно 620 мільйонів доларів.

Метод атаки: отримання інформації про співробітників Sky Mavis через соціальну інженерію, що дозволяє контролювати кілька вузлів верифікації.

Рішення: Розробник Sky Mavis залучив 150 мільйонів доларів для компенсації, але падіння ціни ETH призвело до зменшення фактичної вартості виплат.

7. Wormhole: збитки в розмірі 326 мільйонів доларів, вже компенсовано

У лютому 2022 року Wormhole зазнав атаки, в результаті якої було втрачено близько 120 тисяч ETH, що становить 3,26 мільярда доларів.

Уразливість: помилка перевірки підпису основного контракту на Solana, зловмисник може підробити повідомлення “опікун” для випуску whETH.

Обробка: Jump Crypto інвестував 120 000 ETH у Wormhole, щоб компенсувати збитки.

8. EvoDeFi: оцінювані збитки понад десять мільйонів доларів, не оброблені

У червні 2022 року на DEX Oasis екосистеми ValleySwap USDT серйозно втратив прив’язку, очікувані збитки перевищать десятки мільйонів доларів.

Причина: кросчейн міст EVODeFi має недостатню ліквідність на вихідному ланцюгу, що може призвести до наявності бекдору для крадіжки активів користувачів.

Стан: відповідні сторони не надали рішення, підозрюють, що вони зникли.

9. Horizon: втрати близько 100 мільйонів доларів, розробка плану компенсації триває

У червні 2022 року офіційний кросчейн міст Harmony Horizon зазнав атаки, внаслідок якої було втрачено близько 100 мільйонів доларів.

Причина: ймовірна витік приватного ключа.

Прогрес: наразі переглядається план компенсації, консенсус ще не досягнуто.

10. Nomad: втрата 1,9 мільярда доларів, у процесі обробки

У серпні 2022 року ліквідність Nomad була швидко вичерпана, що призвело до втрат у 190 мільйонів доларів.

Вразливість: під час оновлення контракту довірений корінь був неправильно ініціалізований, що призвело до того, що будь-хто може витягувати кошти.

Станом на сьогодні: деякі чорні хакери висловили бажання повернути кошти, конкретний план відшкодування ще не визначено.

Висновок

Кросчейн міст безпекові інциденти часто трапляються, навіть великі проекти не можуть уникнути цього. Проте проекти з потужним бекграундом мають перевагу в управлінні кризами, часто можуть повернути кошти або здійснити компенсацію. Користувачі при виборі кросчейн мосту повинні в першу чергу враховувати проекти з потужними технологічними можливостями та здатністю реагувати на ризики, щоб зменшити потенційні ризики втрат.