- Rubrique
5168 Popularité
98108 Popularité
16199 Popularité
2837 Popularité
28626 Popularité
15615 Popularité
22135 Popularité
13044 Popularité
2444 Popularité
12802 Popularité
- Épingler
5168 Popularité
98108 Popularité
16199 Popularité
2837 Popularité
28626 Popularité
15615 Popularité
22135 Popularité
13044 Popularité
2444 Popularité
12802 Popularité
Retour sur les dix principaux événements de sécurité des ponts cross-chain : leçons et expériences des pertes de 1,9 milliard de dollars.
Revue des dix principaux événements de sécurité dans l'histoire des bridges cross-chain
Les ponts cross-chain, en tant qu'infrastructure fondamentale reliant différentes blockchains, ont toujours suscité des préoccupations concernant leur sécurité. Cet article passera en revue les dix événements de sécurité majeurs qui se sont produits dans le passé, totalisant plus de 1,9 milliard de dollars, dont environ 1,55 milliard de dollars ont été indemnisés ou récupérés. Ces événements soulignent les défis de sécurité auxquels sont confrontés les ponts cross-chain et offrent à l'industrie de précieuses leçons.
ChainSwap : deux attaques ont causé des pertes d'environ 8,8 millions de dollars
En juillet 2021, ChainSwap a subi deux attaques de hackers en seulement 9 jours. La première a entraîné une perte d'environ 800 000 dollars, la seconde une perte d'environ 8 millions de dollars, touchant plus de 20 projets utilisant ChainSwap pour des ponts cross-chain.
Selon l'enquête, l'attaque a pu être réalisée parce que le protocole n'a pas réussi à vérifier rigoureusement la validité des signatures, permettant à l'attaquant d'utiliser des signatures auto-générées. Étant donné que les pertes concernent principalement les jetons de gouvernance, plusieurs projets touchés ont choisi de faire un instantané et de réémettre des jetons pour compenser les détenteurs et les fournisseurs de liquidité.
Poly Network : 6,1 millions de dollars récupérés après le vol
Le 10 août 2021, Poly Network a subi la plus grande attaque de l'histoire des bridges cross-chain, avec une perte d'environ 610 millions de dollars d'actifs sur les réseaux Ethereum, Binance Smart Chain et Polygon.
Les attaquants ont exploité une vulnérabilité dans la logique de gestion des permissions des contrats de Poly Network pour remplacer avec succès l'adresse des validateurs de la chaîne cible, contrôlant ainsi le transfert d'actifs. Bien que la méthode d'attaque soit habile, le hacker a finalement choisi de restituer tous les fonds. Poly Network a ensuite invité ce hacker "white hat" à devenir conseiller en sécurité principal.
Multichain : perte de 6 millions de dollars due à une faille, une partie a été remboursée
En janvier 2022, Multichain a découvert une vulnérabilité importante affectant plusieurs tokens. Bien qu'un avertissement ait été émis à temps, près de 6 millions de dollars d'actifs ont été volés. La raison en est le manque de vérification adéquate de la légitimité des tokens transmis par les utilisateurs.
L'équipe a récupéré près de 50 % des fonds volés et propose de les rembourser aux utilisateurs ayant révoqué l'autorisation du contrat. Cependant, pour les utilisateurs qui n'ont pas agi après l'annonce, les pertes ne seront plus remboursées.
QBridge : perte de 80 millions de dollars, seulement 2 % remboursés
À la fin janvier 2022, le pont cross-chain QBridge du protocole de prêt Qubit a été attaqué, entraînant une perte d'environ 80 millions de dollars. L'attaquant a exploité une faille logique dans le traitement des transferts de tokens sur la liste blanche par QBridge.
À ce jour, l'utilisation de Qubit a considérablement diminué, et 98 % des fonds volés n'ont pas encore été remboursés.
Meter.io : perte de 4,4 millions de dollars, promet de rembourser avec les revenus futurs
En février 2022, le pont cross-chain Meter Passport a été exploité par des attaquants en raison d'une "hypothèse de confiance erronée" dans le code, entraînant une perte de 4,4 millions de dollars.
L'équipe de Meter avait initialement prévu d'indemniser avec le jeton MTRG, mais a ensuite décidé d'émettre un nouveau jeton PASS et s'est engagée à racheter avec les bénéfices futurs. Cependant, aucune opération de rachat n'a encore été effectuée.
Ronin : 620 millions de dollars volés, remboursement intégral effectué
En mars 2022, la chaîne Ronin d'Axie Infinity a subi un vol de fonds majeur de 620 millions de dollars. Les attaquants ont obtenu un accès au système grâce à des techniques d'ingénierie sociale.
Bien que les fonds volés n'aient pas pu être récupérés, le développeur Sky Mavis a levé 150 millions de dollars lors d'un nouveau tour de financement pour indemniser les pertes des utilisateurs. Il convient de noter qu'en raison de la forte baisse du prix de l'ETH entre l'attaque et l'indemnisation, la valeur réelle de l'indemnisation a diminué.
Wormhole : 326 millions de dollars de pertes, remboursement intégral effectué
En février 2022, Wormhole a été attaqué en raison d'une erreur de validation de signature du contrat côté Solana, entraînant une perte d'environ 326 millions de dollars.
Heureusement, Jump Crypto a rapidement injecté 120 000 ETH dans Wormhole, comblant ainsi toutes les pertes et permettant à la plateforme de reprendre ses opérations.
EvoDeFi : pertes estimées à plusieurs millions de dollars, non traitées
En juin 2022, le DEX ValleySwap dans l'écosystème Oasis a connu un dépeg sévère de l'USDT, entraînant des pertes estimées à plusieurs millions de dollars. Le problème provient du manque de liquidité sur la chaîne source du pont cross-chain EVODeFi utilisé.
Malheureusement, les utilisateurs n'ont toujours pas obtenu de solution pour leurs pertes. Les parties concernées se sont rapidement dissociées, et l'équipe du projet a en fait disparu.
Horizon : pertes proches de 100 millions de dollars, un plan d'indemnisation est toujours en cours de rédaction.
En juin 2022, le pont cross-chain Horizon de Harmony a été attaqué en raison d'une fuite de clé privée, entraînant une perte d'environ 100 millions de dollars.
Harmony avait proposé d'indemniser les utilisateurs en émettant des jetons supplémentaires sur une période de 3 ans, mais n'a pas réussi à obtenir un consensus avec la communauté. Actuellement, un nouveau plan d'indemnisation est en cours d'élaboration.
Nomad : 1,9 milliard de dollars volés, une partie des fonds pourrait être récupérée
En août 2022, Nomad a subi le vol de 190 millions de dollars en raison d'une erreur d'initialisation lors d'une mise à niveau de contrat. Cet événement a touché 1251 adresses ETH, dont les adresses ENS représentaient 38 % du montant total.
Bien qu'aucun plan de remboursement clair n'ait encore été proposé, certains hackers éthiques ont déjà exprimé leur volonté de restituer des fonds, offrant ainsi de l'espoir pour la récupération des pertes.
Conclusion
Ces incidents de sécurité soulignent les énormes défis auxquels les bridges cross-chain sont confrontés. Même les bridges cross-chain les plus liquides ont déjà subi des attaques, ce qui montre qu'il existe encore des risques élevés dans ce domaine. Cependant, les projets dotés de solides antécédents en matière de soutien ont souvent de meilleures performances en matière de gestion de crise, ce qui leur permet de récupérer plus efficacement des fonds ou d'effectuer des compensations.
Ces cas soulignent l'importance de la surveillance en temps réel et de la réponse rapide. Des projets comme Hop Protocol et StarGate, en traitant rapidement les activités suspectes, ont réussi à empêcher des attaques potentielles.
Pour les utilisateurs, choisir des projets de ponts cross-chain solides peut être plus sûr, mais il est toujours nécessaire de rester très vigilant et de garder un œil sur la sécurité des actifs.