Tổng quan về mười sự kiện an ninh lớn nhất trong lịch sử cầu nối Cross-chain
Cầu nối Cross-chain như một cơ sở hạ tầng quan trọng kết nối các chuỗi blockchain khác nhau, tính an toàn của nó luôn được quan tâm. Bài viết này sẽ điểm lại mười sự kiện an toàn nghiêm trọng đã xảy ra trong quá khứ liên quan đến cầu nối Cross-chain, tổng số tiền liên quan vượt quá 1,9 tỷ USD, trong đó khoảng 1,55 tỷ USD đã được bồi thường hoặc thu hồi. Những sự kiện này làm nổi bật những thách thức an toàn mà cầu nối Cross-chain đang phải đối mặt, đồng thời cung cấp những bài học quý giá cho ngành.
ChainSwap: Hai cuộc tấn công gây thiệt hại khoảng 8,8 triệu đô la Mỹ
Vào tháng 7 năm 2021, ChainSwap đã bị tấn công bởi hacker hai lần chỉ trong 9 ngày. Lần đầu tiên thiệt hại khoảng 800.000 USD, lần thứ hai thiệt hại khoảng 8 triệu USD, ảnh hưởng đến hơn 20 dự án sử dụng ChainSwap để thực hiện chuỗi cross.
Khảo sát cho thấy, cuộc tấn công thành công là do giao thức không kiểm tra chặt chẽ tính hợp lệ của chữ ký, khiến kẻ tấn công có thể sử dụng chữ ký tự sinh. Do tổn thất chủ yếu liên quan đến token quản trị, nhiều dự án bị ảnh hưởng đã chọn thực hiện chụp nhanh và phát hành lại token để bồi thường cho các nhà nắm giữ và nhà cung cấp thanh khoản.
Poly Network: 6.1 triệu USD bị đánh cắp đã được hoàn trả đầy đủ
Vào ngày 10 tháng 8 năm 2021, Poly Network đã gặp phải cuộc tấn công lớn nhất trong lịch sử cầu nối Cross-chain vào thời điểm đó, mất khoảng 610 triệu USD tài sản trên ba mạng lưới Ethereum, Binance Smart Chain và Polygon.
Kẻ tấn công đã lợi dụng lỗ hổng trong logic quản lý quyền hợp đồng của Poly Network, thành công thay thế địa chỉ xác thực của chuỗi mục tiêu, từ đó kiểm soát việc chuyển giao tài sản. Mặc dù phương pháp tấn công rất tinh vi, nhưng hacker cuối cùng đã chọn hoàn trả toàn bộ số tiền. Poly Network sau đó đã mời hacker "mũ trắng" này làm cố vấn an ninh trưởng.
Multichain: 600 triệu USD thiệt hại do lỗ hổng, một phần đã được bồi thường
Vào tháng 1 năm 2022, Multichain phát hiện một lỗ hổng quan trọng ảnh hưởng đến nhiều loại token. Mặc dù đã phát đi cảnh báo kịp thời, vẫn có gần 6 triệu đô la tài sản bị đánh cắp. Nguyên nhân là do không xác minh đầy đủ tính hợp pháp của Token do người dùng gửi.
Nhóm đã thu hồi gần 50% số tiền bị đánh cắp và đề xuất trả lại cho những người dùng đã hủy quyền hợp đồng. Tuy nhiên, đối với những người dùng không có hành động nào sau thông báo, tổn thất sẽ không được bồi thường.
QBridge: 80 triệu USD thiệt hại, chỉ bồi thường 2%
Vào cuối tháng 1 năm 2022, cầu nối Cross-chain QBridge của giao thức cho vay Qubit đã bị tấn công, thiệt hại khoảng 80 triệu USD. Kẻ tấn công đã lợi dụng một lỗ hổng logic trong việc xử lý chuyển tiền token trong danh sách trắng của QBridge.
Đến nay, lượng sử dụng Qubit đã giảm mạnh, 98% số tiền bị đánh cắp vẫn chưa được bồi thường.
Meter.io:440 triệu USD thiệt hại, cam kết bồi thường bằng lợi nhuận trong tương lai
Vào tháng 2 năm 2022, cầu nối Cross-chain Meter Passport đã bị kẻ tấn công lợi dụng do "giả thuyết tin cậy sai" trong mã, gây ra thiệt hại 4,4 triệu đô la.
Đội ngũ Meter ban đầu dự định bồi thường bằng token MTRG, sau đó đã chuyển sang phát hành token mới PASS và cam kết sẽ sử dụng lợi nhuận trong tương lai để mua lại. Tuy nhiên, hiện tại vẫn chưa có bất kỳ hoạt động mua lại nào được thực hiện.
Ronin: 6,2 triệu đô la Mỹ bị đánh cắp, đã bồi thường đầy đủ
Vào tháng 3 năm 2022, chuỗi Ronin của Axie Infinity đã遭遇 vụ trộm tiền lớn trị giá 620 triệu đô la. Kẻ tấn công đã lấy được quyền truy cập vào hệ thống thông qua các phương pháp kỹ thuật xã hội.
Mặc dù số tiền bị đánh cắp không thể thu hồi, nhưng nhà phát triển Sky Mavis đã huy động được 150 triệu USD thông qua một vòng tài trợ mới để bồi thường thiệt hại cho người dùng. Cần lưu ý rằng, do giá ETH đã giảm mạnh trong khoảng thời gian từ khi tấn công đến khi bồi thường, giá trị bồi thường thực tế đã bị thu hẹp.
Wormhole: Thiệt hại 326 triệu USD, đã bồi thường toàn bộ
Vào tháng 2 năm 2022, Wormhole đã bị tấn công do lỗi xác minh chữ ký hợp đồng ở đầu Solana, thiệt hại khoảng 326 triệu USD.
May mắn thay, Jump Crypto đã nhanh chóng bơm 120,000 ETH vào Wormhole, bù đắp toàn bộ tổn thất, giúp nền tảng khôi phục hoạt động.
EvoDeFi: Ước tính thiệt hại lên tới hàng triệu đô la, chưa được xử lý
Vào tháng 6 năm 2022, USDT trên DEX ValleySwap trong hệ sinh thái Oasis đã bị mất giá nghiêm trọng, dẫn đến ước tính thiệt hại lên tới hàng chục triệu USD. Vấn đề xuất phát từ cầu nối Cross-chain EVODeFi mà nó sử dụng có tính thanh khoản không đủ trên chuỗi nguồn.
Rất tiếc, người dùng vẫn chưa nhận được bất kỳ giải pháp nào cho thiệt hại. Các bên liên quan nhanh chóng từ chối trách nhiệm, bên dự án thực sự đã bỏ trốn.
Horizon:gần 100 triệu USD thiệt hại, kế hoạch bồi thường vẫn đang được xây dựng.
Vào tháng 6 năm 2022, cầu nối Cross-chain chính thức Horizon của Harmony đã bị tấn công do rò rỉ khóa riêng, gây thiệt hại khoảng 100 triệu đô la.
Harmony đã từng đề xuất bồi thường cho người dùng trong vòng 3 năm thông qua việc phát hành thêm token, nhưng không thể đạt được sự đồng thuận với cộng đồng. Hiện tại, một kế hoạch bồi thường mới đang được xây dựng.
Nomad: 1.9 triệu USD bị đánh cắp, một phần tiền có thể được thu hồi
Tháng 8 năm 2022, Nomad đã bị đánh cắp 190 triệu USD do một lỗi khởi tạo trong quá trình nâng cấp hợp đồng. Sự kiện này ảnh hưởng đến 1251 địa chỉ ETH, trong đó địa chỉ ENS chiếm 38% tổng số tiền.
Mặc dù chưa có kế hoạch bồi thường rõ ràng, nhưng một số hacker mũ trắng đã bày tỏ sẵn sàng trả lại tiền, mang lại hy vọng cho việc thu hồi thiệt hại.
Kết luận
Những sự kiện an ninh này làm nổi bật những thách thức to lớn mà cầu nối Cross-chain phải đối mặt. Ngay cả những cầu nối Cross-chain có tính thanh khoản cao nhất cũng đã từng bị tấn công, cho thấy lĩnh vực này vẫn tồn tại rủi ro cao. Tuy nhiên, các dự án có nền tảng mạnh mẽ thường thể hiện tốt hơn trong việc xử lý khủng hoảng, có khả năng thu hồi quỹ hoặc bồi thường một cách hiệu quả hơn.
Những trường hợp này nhấn mạnh tầm quan trọng của việc giám sát thời gian thực và phản ứng nhanh chóng. Những dự án như Hop Protocol và StarGate, bằng cách xử lý kịp thời các hoạt động đáng ngờ, đã ngăn chặn thành công các cuộc tấn công tiềm tàng.
Đối với người dùng, việc chọn dự án cầu nối Cross-chain có sức mạnh có thể là một lựa chọn an toàn hơn, nhưng vẫn cần giữ cảnh giác cao độ, luôn chú ý đến an toàn tài sản.
Xem bản gốc
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
14 thích
Phần thưởng
14
5
Chia sẻ
Bình luận
0/400
StakeTillRetire
· 07-06 16:50
Lại kiếm được tiền từ bài học của người khác.
Xem bản gốcTrả lời0
MetaMisfit
· 07-06 15:52
An toàn là trên hết... Ngồi tù không đáng sợ.
Xem bản gốcTrả lời0
HalfPositionRunner
· 07-06 15:41
bơm đi, ai chịu trách nhiệm cho việc thua lỗ?
Xem bản gốcTrả lời0
MoonMathMagic
· 07-06 15:40
cầu nối Cross-chain thật dám làm nhỉ
Xem bản gốcTrả lời0
0xOverleveraged
· 07-06 15:29
Hình mẫu đã bị phá, đồ ngốc cũ sẽ không bị mắc bẫy.
Mười sự kiện an toàn cầu nối Cross-chain: Bài học và kinh nghiệm từ tổn thất 1,9 tỷ USD
Tổng quan về mười sự kiện an ninh lớn nhất trong lịch sử cầu nối Cross-chain
Cầu nối Cross-chain như một cơ sở hạ tầng quan trọng kết nối các chuỗi blockchain khác nhau, tính an toàn của nó luôn được quan tâm. Bài viết này sẽ điểm lại mười sự kiện an toàn nghiêm trọng đã xảy ra trong quá khứ liên quan đến cầu nối Cross-chain, tổng số tiền liên quan vượt quá 1,9 tỷ USD, trong đó khoảng 1,55 tỷ USD đã được bồi thường hoặc thu hồi. Những sự kiện này làm nổi bật những thách thức an toàn mà cầu nối Cross-chain đang phải đối mặt, đồng thời cung cấp những bài học quý giá cho ngành.
ChainSwap: Hai cuộc tấn công gây thiệt hại khoảng 8,8 triệu đô la Mỹ
Vào tháng 7 năm 2021, ChainSwap đã bị tấn công bởi hacker hai lần chỉ trong 9 ngày. Lần đầu tiên thiệt hại khoảng 800.000 USD, lần thứ hai thiệt hại khoảng 8 triệu USD, ảnh hưởng đến hơn 20 dự án sử dụng ChainSwap để thực hiện chuỗi cross.
Khảo sát cho thấy, cuộc tấn công thành công là do giao thức không kiểm tra chặt chẽ tính hợp lệ của chữ ký, khiến kẻ tấn công có thể sử dụng chữ ký tự sinh. Do tổn thất chủ yếu liên quan đến token quản trị, nhiều dự án bị ảnh hưởng đã chọn thực hiện chụp nhanh và phát hành lại token để bồi thường cho các nhà nắm giữ và nhà cung cấp thanh khoản.
Poly Network: 6.1 triệu USD bị đánh cắp đã được hoàn trả đầy đủ
Vào ngày 10 tháng 8 năm 2021, Poly Network đã gặp phải cuộc tấn công lớn nhất trong lịch sử cầu nối Cross-chain vào thời điểm đó, mất khoảng 610 triệu USD tài sản trên ba mạng lưới Ethereum, Binance Smart Chain và Polygon.
Kẻ tấn công đã lợi dụng lỗ hổng trong logic quản lý quyền hợp đồng của Poly Network, thành công thay thế địa chỉ xác thực của chuỗi mục tiêu, từ đó kiểm soát việc chuyển giao tài sản. Mặc dù phương pháp tấn công rất tinh vi, nhưng hacker cuối cùng đã chọn hoàn trả toàn bộ số tiền. Poly Network sau đó đã mời hacker "mũ trắng" này làm cố vấn an ninh trưởng.
Multichain: 600 triệu USD thiệt hại do lỗ hổng, một phần đã được bồi thường
Vào tháng 1 năm 2022, Multichain phát hiện một lỗ hổng quan trọng ảnh hưởng đến nhiều loại token. Mặc dù đã phát đi cảnh báo kịp thời, vẫn có gần 6 triệu đô la tài sản bị đánh cắp. Nguyên nhân là do không xác minh đầy đủ tính hợp pháp của Token do người dùng gửi.
Nhóm đã thu hồi gần 50% số tiền bị đánh cắp và đề xuất trả lại cho những người dùng đã hủy quyền hợp đồng. Tuy nhiên, đối với những người dùng không có hành động nào sau thông báo, tổn thất sẽ không được bồi thường.
QBridge: 80 triệu USD thiệt hại, chỉ bồi thường 2%
Vào cuối tháng 1 năm 2022, cầu nối Cross-chain QBridge của giao thức cho vay Qubit đã bị tấn công, thiệt hại khoảng 80 triệu USD. Kẻ tấn công đã lợi dụng một lỗ hổng logic trong việc xử lý chuyển tiền token trong danh sách trắng của QBridge.
Đến nay, lượng sử dụng Qubit đã giảm mạnh, 98% số tiền bị đánh cắp vẫn chưa được bồi thường.
Meter.io:440 triệu USD thiệt hại, cam kết bồi thường bằng lợi nhuận trong tương lai
Vào tháng 2 năm 2022, cầu nối Cross-chain Meter Passport đã bị kẻ tấn công lợi dụng do "giả thuyết tin cậy sai" trong mã, gây ra thiệt hại 4,4 triệu đô la.
Đội ngũ Meter ban đầu dự định bồi thường bằng token MTRG, sau đó đã chuyển sang phát hành token mới PASS và cam kết sẽ sử dụng lợi nhuận trong tương lai để mua lại. Tuy nhiên, hiện tại vẫn chưa có bất kỳ hoạt động mua lại nào được thực hiện.
Ronin: 6,2 triệu đô la Mỹ bị đánh cắp, đã bồi thường đầy đủ
Vào tháng 3 năm 2022, chuỗi Ronin của Axie Infinity đã遭遇 vụ trộm tiền lớn trị giá 620 triệu đô la. Kẻ tấn công đã lấy được quyền truy cập vào hệ thống thông qua các phương pháp kỹ thuật xã hội.
Mặc dù số tiền bị đánh cắp không thể thu hồi, nhưng nhà phát triển Sky Mavis đã huy động được 150 triệu USD thông qua một vòng tài trợ mới để bồi thường thiệt hại cho người dùng. Cần lưu ý rằng, do giá ETH đã giảm mạnh trong khoảng thời gian từ khi tấn công đến khi bồi thường, giá trị bồi thường thực tế đã bị thu hẹp.
Wormhole: Thiệt hại 326 triệu USD, đã bồi thường toàn bộ
Vào tháng 2 năm 2022, Wormhole đã bị tấn công do lỗi xác minh chữ ký hợp đồng ở đầu Solana, thiệt hại khoảng 326 triệu USD.
May mắn thay, Jump Crypto đã nhanh chóng bơm 120,000 ETH vào Wormhole, bù đắp toàn bộ tổn thất, giúp nền tảng khôi phục hoạt động.
EvoDeFi: Ước tính thiệt hại lên tới hàng triệu đô la, chưa được xử lý
Vào tháng 6 năm 2022, USDT trên DEX ValleySwap trong hệ sinh thái Oasis đã bị mất giá nghiêm trọng, dẫn đến ước tính thiệt hại lên tới hàng chục triệu USD. Vấn đề xuất phát từ cầu nối Cross-chain EVODeFi mà nó sử dụng có tính thanh khoản không đủ trên chuỗi nguồn.
Rất tiếc, người dùng vẫn chưa nhận được bất kỳ giải pháp nào cho thiệt hại. Các bên liên quan nhanh chóng từ chối trách nhiệm, bên dự án thực sự đã bỏ trốn.
Horizon:gần 100 triệu USD thiệt hại, kế hoạch bồi thường vẫn đang được xây dựng.
Vào tháng 6 năm 2022, cầu nối Cross-chain chính thức Horizon của Harmony đã bị tấn công do rò rỉ khóa riêng, gây thiệt hại khoảng 100 triệu đô la.
Harmony đã từng đề xuất bồi thường cho người dùng trong vòng 3 năm thông qua việc phát hành thêm token, nhưng không thể đạt được sự đồng thuận với cộng đồng. Hiện tại, một kế hoạch bồi thường mới đang được xây dựng.
Nomad: 1.9 triệu USD bị đánh cắp, một phần tiền có thể được thu hồi
Tháng 8 năm 2022, Nomad đã bị đánh cắp 190 triệu USD do một lỗi khởi tạo trong quá trình nâng cấp hợp đồng. Sự kiện này ảnh hưởng đến 1251 địa chỉ ETH, trong đó địa chỉ ENS chiếm 38% tổng số tiền.
Mặc dù chưa có kế hoạch bồi thường rõ ràng, nhưng một số hacker mũ trắng đã bày tỏ sẵn sàng trả lại tiền, mang lại hy vọng cho việc thu hồi thiệt hại.
Kết luận
Những sự kiện an ninh này làm nổi bật những thách thức to lớn mà cầu nối Cross-chain phải đối mặt. Ngay cả những cầu nối Cross-chain có tính thanh khoản cao nhất cũng đã từng bị tấn công, cho thấy lĩnh vực này vẫn tồn tại rủi ro cao. Tuy nhiên, các dự án có nền tảng mạnh mẽ thường thể hiện tốt hơn trong việc xử lý khủng hoảng, có khả năng thu hồi quỹ hoặc bồi thường một cách hiệu quả hơn.
Những trường hợp này nhấn mạnh tầm quan trọng của việc giám sát thời gian thực và phản ứng nhanh chóng. Những dự án như Hop Protocol và StarGate, bằng cách xử lý kịp thời các hoạt động đáng ngờ, đã ngăn chặn thành công các cuộc tấn công tiềm tàng.
Đối với người dùng, việc chọn dự án cầu nối Cross-chain có sức mạnh có thể là một lựa chọn an toàn hơn, nhưng vẫn cần giữ cảnh giác cao độ, luôn chú ý đến an toàn tài sản.