Обзор десяти крупнейших инцидентов безопасности в истории кроссчейн мостов

Кроссчейн мост как важная инфраструктура, соединяющая различные блокчейны, всегда находится под пристальным вниманием в отношении своей безопасности. В данной статье будет рассмотрено десять крупных инцидентов с безопасностью кроссчейн мостов, общая сумма которых превышает 1,9 миллиарда долларов, из которых около 1,55 миллиарда долларов уже было выплачено или возвращено. Эти события подчеркивают безопасность, с которой сталкиваются кроссчейн мосты, и предоставляют ценнейший опыт для отрасли.

ChainSwap: Два нападения привели к убыткам примерно в 8,8 миллиона долларов

В июле 2021 года ChainSwap за короткий срок в 9 дней столкнулся с двумя хакерскими атаками. Первая атака привела к убыткам около 800 000 долларов, вторая — к убыткам около 8 000 000 долларов, затронув более 20 проектов, использующих ChainSwap для кросс-чейн.

Исследование показывает, что атака была возможна из-за того, что протокол не смог строго проверить действительность подписей, что позволило злоумышленникам использовать сгенерированные ими подписи. Поскольку потери в основном касаются治理代币, несколько затронутых проектов решили провести снимок и переиздать токены, чтобы компенсировать держателям и поставщикам ликвидности.

Poly Network: 610 миллионов долларов были украдены, но полностью возвращены

10 августа 2021 года Poly Network подвергся крупнейшей в истории кроссчейн моста атаке, в результате которой на сетях Ethereum, Binance Smart Chain и Polygon было потеряно около 610 миллионов долларов активов.

Злоумышленник воспользовался уязвимостью логики управления правами в контрактах Poly Network, успешно заменив адреса валидаторов целевой цепи, что позволило ему контролировать перенос активов. Несмотря на мастерство атаки, хакер в конечном итоге решил вернуть все средства. Poly Network затем пригласила этого "белого хакера" занять пост главного советника по безопасности.

Multichain: Потери от уязвимости в 6 миллионов долларов, часть уже компенсирована

В январе 2022 года Multichain обнаружил важную уязвимость, затрагивающую различные токены. Несмотря на своевременное предупреждение, было украдено почти 6 миллионов долларов активов. Причина заключается в недостаточной проверке законности передаваемых пользователем токенов.

Команда вернула почти 50% украденных средств и предложила вернуть их пользователям, которые отменили авторизацию контракта. Однако пользователи, которые не предприняли никаких действий после объявления, больше не получат компенсацию.

QBridge: убытки в 80 миллионов долларов, выплата только 2%

В конце января 2022 года кроссчейн мост QBridge кредитного протокола Qubit подвергся атаке, в результате которой было потеряно около 80 миллионов долларов. Злоумышленники использовали логическую уязвимость в QBridge при обработке переводов токенов из белого списка.

На данный момент использование Qubit значительно снизилось, 98% украденных средств еще не были компенсированы.

Meter.io: убытки в размере 4,4 миллиона долларов, обещание компенсировать за счет будущих доходов

В феврале 2022 года кроссчейн мост Meter Passport был атакован злоумышленниками из-за "ошибочного предположения о доверии" в коде, что привело к потере 4,4 миллиона долларов.

Команда Meter изначально планировала компенсировать с помощью токена MTRG, но затем изменила на выпуск нового токена PASS и пообещала выкупить с помощью будущих доходов. Однако на данный момент никаких операций по выкупу не проведено.

Ronin: 620 миллионов долларов украдено, полностью компенсировано

В марте 2022 года цепочка Ronin от Axie Infinity столкнулась с крупной кражей средств на сумму 620 миллионов долларов. Злоумышленники получили доступ к системе с помощью методов социальной инженерии.

Несмотря на то, что украденные средства не были возвращены, разработчик Sky Mavis собрал 150 миллионов долларов в ходе нового раунда финансирования для компенсации убытков пользователей. Стоит отметить, что из-за резкого падения цены ETH в период с момента атаки до выплаты фактическая стоимость компенсации уменьшилась.

Wormhole: убытки в размере 326 миллионов долларов, полное возмещение уже произведено

В феврале 2022 года Wormhole подвергся атаке из-за ошибки в проверке подписи контракта на стороне Solana, в результате чего был потерян около 326 миллионов долларов.

К счастью, Jump Crypto быстро вложила 120 000 ETH в Wormhole, компенсировав все потери и позволив платформе восстановить работу.

EvoDeFi: предполагаемые убытки свыше десяти миллионов долларов, не были урегулированы

В июне 2022 года на DEX ValleySwap в экосистеме Oasis USDT сильно отклонился от курса, что привело к оценочным потерям в десятки миллионов долларов. Проблема возникла из-за недостатка ликвидности на исходной цепи в используемом кроссчейн мосте EVODeFi.

К сожалению, пользователи до сих пор не получили никаких решений по своим потерям. Соответствующие стороны быстро дистанцировались, а команда проекта на самом деле уже сбежала.

Horizon: убытки почти на 100 миллионов долларов, план компенсации все еще разрабатывается

В июне 2022 года официальный кроссчейн мост Harmony Horizon был атакован из-за утечки приватного ключа, что привело к потерям средств в размере около 100 миллионов долларов.

Harmony предложила компенсировать пользователей в течение 3 лет за счет эмиссии дополнительных токенов, но не смогла достичь консенсуса с сообществом. В настоящее время разрабатывается новый план компенсации.

Nomad: 190 миллионов долларов украдено, часть средств, возможно, удастся вернуть

В августе 2022 года Nomad из-за ошибки инициализации при обновлении контракта потерял 190 миллионов долларов. Это событие затронуло 1251 адрес ETH, из которых адреса ENS составили 38% от общей суммы.

Хотя четкий план компенсации еще не был представлен, некоторые белые хакеры уже заявили о готовности вернуть средства, что вселяет надежду на возмещение убытков.

Заключение

Эти инциденты безопасности подчеркивают огромные вызовы, с которыми сталкиваются кроссчейн мосты. Даже самые ликвидные кроссчейн мосты подвергались атакам, что указывает на то, что в этой области все еще существуют высокие риски. Тем не менее, проекты с мощной поддержкой в условиях кризиса, как правило, демонстрируют лучшие результаты, более эффективно восстанавливая средства или осуществляя компенсацию.

Эти примеры подчеркивают важность мониторинга в реальном времени и быстрого реагирования. Проекты, такие как Hop Protocol и StarGate, успешно предотвратили потенциальные атаки, своевременно обрабатывая подозрительную активность.

Для пользователей выбор сильного кроссчейн моста может быть более надежным, но все же необходимо сохранять высокую бдительность и постоянно следить за безопасностью активов.