Огляд десяти найбільших безпекових інцидентів в історії кросчейн мостів

кросчейн міст як важлива інфраструктура, що з'єднує різні блокчейни, завжди привертала увагу до своєї безпеки. У цій статті буде оглянуто десять значних інцидентів з безпеки кросчейн міст, загальна сума яких перевищує 1,9 мільярда доларів США, з яких близько 1,55 мільярда доларів США вже були виплачені або повернені. Ці інциденти підкреслюють безпекові виклики, з якими стикаються кросчейн мости, а також надають цінний досвід та уроки для галузі.

ChainSwap: Два напади призвели до збитків приблизно на 8,8 мільйона доларів

У липні 2021 року ChainSwap зазнав двох хакерських атак всього за 9 днів. Перша атака завдала збитків приблизно на 800 тисяч доларів, друга - приблизно на 8 мільйонів доларів, що вплинуло на понад 20 проектів, які використовували ChainSwap для крос-ланцюга.

Дослідження показує, що атака стала можливою через те, що протокол не зміг суворо перевірити дійсність підписів, що дало можливість зловмиснику використовувати самостійно згенеровані підписи. Оскільки збитки в основному стосуються токенів управління, кілька постраждалих проєктів вирішили провести знімок і повторно випустити токени, щоб компенсувати тримачів та постачальників ліквідності.

Poly Network: 6,1 мільярда доларів були вкрадені, але повністю повернуті

10 серпня 2021 року Poly Network зазнала найбільшої атаки в історії кросчейн мостів, внаслідок чого на мережах Ethereum, Binance Smart Chain та Polygon було втрачено близько 610 мільйонів доларів активів.

Зловмисники скористалися вразливістю в логіці управління правами контракту Poly Network, успішно замінивши адресу валідатора цільового ланцюга, що дозволило їм контролювати переміщення активів. Незважаючи на те, що метод атаки був досконалим, хакер врешті-решт вирішив повернути всі кошти. Poly Network потім запросила цього "білої шапки" хакера стати головним консультантом з безпеки.

Multichain: втрата в 6 мільйонів доларів через уразливість, частина вже відшкодована

У січні 2022 року Multichain виявив важливу уразливість, що вплинула на кілька токенів. Незважаючи на своєчасне попередження, було вкрадено активів на суму майже 6 мільйонів доларів. Причина полягає в недостатній перевірці легітимності токенів, які надходять від користувачів.

Команда повернула близько 50% вкрадених коштів і запропонувала повернути їх користувачам, які відкликали авторизацію контракту. Але для користувачів, які не вжили заходів після оголошення, втрати більше не компенсуються.

QBridge: втрата 80 мільйонів доларів, виплата лише 2%

Наприкінці січня 2022 року кросчейн міст QBridge кредитного протоколу Qubit зазнав атаки, в результаті якої було втрачено близько 80 мільйонів доларів. Зловмисник скористався логічною вразливістю QBridge під час обробки переказів токенів з білого списку.

Станом на сьогодні, використання Qubit значно знизилося, 98% вкрадених коштів досі не було компенсовано.

Meter.io: втрати в 4,4 мільйона доларів, обіцянка компенсувати за рахунок майбутніх доходів

У лютому 2022 року кросчейн міст Meter Passport був атакований через "помилкове припущення про довіру" в коді, що призвело до збитків у 4,4 мільйона доларів.

Команда Meter спочатку планувала компенсувати за допомогою токена MTRG, але потім вирішила випустити новий токен PASS і пообіцяла викупити його за рахунок майбутніх доходів. Проте на даний момент жодних операцій з викупу не було проведено.

Ronin: вкрадено 6,2 мільярда доларів, вже виплачено в повному обсязі

У березні 2022 року ланцюг Ronin від Axie Infinity зазнав значного викрадення коштів у розмірі 620 мільйонів доларів. Зловмисники отримали доступ до системи за допомогою соціальної інженерії.

Хоча вкрадені кошти не вдалося повернути, розробник Sky Mavis залучив 150 мільйонів доларів у новому раунді фінансування для компенсації втрат користувачів. Варто зазначити, що через різке падіння ціни ETH під час атаки до виплати, фактична вартість компенсації зменшилася.

Wormhole: Втрата 326 мільйонів доларів США, компенсація виплачена в повному обсязі

У лютому 2022 року Wormhole зазнав атаки через помилку верифікації підпису контракту на стороні Solana, внаслідок чого було втрачено близько 326 мільйонів доларів.

На щастя, Jump Crypto швидко інвестував 120 000 ETH у Wormhole, компенсуючи всі втрати, що дозволило платформі відновити роботу.

EvoDeFi: оцінкові збитки понад десять мільйонів доларів, не були оброблені

У червні 2022 року на DEX ValleySwap в екосистемі Oasis USDT серйозно втратив прив'язку, що призвело до оцінкових збитків у десятки мільйонів доларів. Проблема виникла через недостатню ліквідність на вихідному ланцюзі кросчейн моста EVODeFi.

На жаль, користувачі досі не отримали жодного рішення щодо своїх втрат. Залучені сторони швидко дистанціювалися, а команда проекту насправді вже зникла.

Horizon: майже 100 мільйонів доларів збитків, план компенсації ще розробляється

У червні 2022 року офіційний кросчейн міст Harmony Horizon зазнав атаки через витік приватного ключа, що призвело до збитків у розмірі близько 100 мільйонів доларів.

Harmony раніше пропонував компенсувати користувачів шляхом емісії токенів протягом 3 років, але не зміг досягти згоди з громадою. Наразі розробляється новий план компенсації.

Nomad: вкрадено 1,9 мільярда доларів, частину коштів можливо повернути

У серпні 2022 року Nomad через помилку ініціалізації під час оновлення контракту втратив 190 мільйонів доларів США. Ця подія торкнулася 1251 ETH адреси, серед яких адреси ENS становили 38% від загальної суми.

Хоча чіткий план компенсації ще не був наданий, вже деякі білих капелюшків-хакерів висловили готовність повернути кошти, що дає надію на відшкодування збитків.

Висновок

Ці безпекові інциденти підкреслюють величезні виклики, з якими стикаються кросчейн мости. Навіть найбільш ліквідні кросчейн мости зазнавали атак, що свідчить про те, що в цій сфері все ще існують високі ризики. Проте проекти з потужним бекграундом зазвичай краще справляються з кризовими ситуаціями, здатні більш ефективно повернути кошти або провести компенсацію.

Ці випадки підкреслюють важливість моніторингу в реальному часі та швидкого реагування. Проекти, такі як Hop Protocol та StarGate, успішно зупинили потенційні атаки, своєчасно обробляючи підозрілі дії.

Для користувачів вибір потужного кросчейн мосту може бути більш надійним, але все ж потрібно зберігати високу пильність і постійно стежити за безпекою активів.