- Rubrique
37k Popularité
4k Popularité
5k Popularité
39k Popularité
17k Popularité
31k Popularité
31k Popularité
3k Popularité
112k Popularité
27k Popularité
- Épingler
37k Popularité
4k Popularité
5k Popularité
39k Popularité
17k Popularité
31k Popularité
31k Popularité
3k Popularité
112k Popularité
27k Popularité
Les vulnérabilités des bridges cross-chain se multiplient, près de 2 milliards de dollars d'actifs ont été volés, 60 % ont été récupérés ou indemnisés.
Revue des incidents d'attaque de ponts cross-chain : près de 2 milliards de dollars d'actifs affectés, plus de 1,5 milliard de dollars récupérés ou indemnisés
Ces dernières années, les bridges cross-chain sont devenus des cibles importantes pour les attaques de hackers. En raison du manque d'actifs mainstream sur de nombreuses nouvelles blockchains, il est nécessaire d'obtenir des fonds via des bridges cross-chain à partir de blockchains matures comme Ethereum, ce qui rend les bridges cross-chain des projets intensifs en capitaux. Cependant, la fréquence des incidents de sécurité a également mis en évidence la vulnérabilité des bridges cross-chain. Cet article passera en revue dix attaques majeures sur des bridges cross-chain survenues au cours des dernières années et résumera les leçons à en tirer.
ChainSwap : 8 millions de dollars de pertes, résolues par la réémission de jetons
En juillet 2021, ChainSwap a subi deux attaques de hackers, entraînant des pertes d'environ 8 millions de dollars. Plus de 20 projets utilisant ChainSwap pour des ponts cross-chain ont été affectés. Les enquêtes ont montré que les attaquants ont exploité une vulnérabilité dans le protocole concernant la vérification de la validité des signatures. Étant donné que les pertes concernaient principalement des jetons de gouvernance, plusieurs projets ont choisi de prendre un instantané et d'émettre de nouveaux jetons pour indemniser les utilisateurs affectés.
Poly Network : 610 millions de dollars volés, récupérés en totalité
En août 2021, Poly Network a subi une attaque d'une ampleur considérable, impliquant un montant allant jusqu'à 610 millions de dollars. L'attaquant a exploité une vulnérabilité dans la logique de gestion des autorisations de contrat, réussissant à modifier l'adresse du validateur de la chaîne cible. Bien que la méthode d'attaque ait été astucieuse, le hacker a finalement restitué tous les fonds. Poly Network a ensuite qualifié ce hacker de "chapeau blanc" et lui a proposé de devenir conseiller principal en sécurité de l'entreprise.
Multichain : 6 millions de dollars affectés, une partie a été dédommagée
En janvier 2022, Multichain a découvert une vulnérabilité importante affectant plusieurs jetons. Bien que la vulnérabilité ait été rapidement corrigée, environ 6 millions de dollars d'actifs ont été volés. La raison en est que le contrat n'a pas correctement vérifié la légitimité des jetons entrés par les utilisateurs. L'équipe de Multichain a récupéré près de 50 % des fonds volés et a proposé un plan d'indemnisation.
QBridge : 80 millions de dollars de pertes, seulement 2 % de remboursement
Fin janvier 2022, le pont cross-chain QBridge du protocole de prêt Qubit a été attaqué, entraînant une perte d'environ 80 millions de dollars. L'attaquant a exploité une vulnérabilité de QBridge lors du traitement des tokens sur liste blanche, réussissant à frapper une quantité importante de faux tokens xETH sur BSC. À l'heure actuelle, la plupart des fonds volés n'ont pas encore été remboursés.
Meter.io : 4,4 millions de dollars volés, promesse de remboursement avec les bénéfices futurs
En février 2022, le pont cross-chain Meter Passport a été attaqué, entraînant une perte de 4,4 millions de dollars. Le problème résidait dans l'"hypothèse de confiance erronée" dans le code source d'extension de Meter. L'équipe du projet a promis d'émettre un nouveau jeton PASS pour indemniser et de racheter ces jetons avec des revenus futurs.
Ronin : 620 millions de dollars volés, remboursement intégral effectué
En mars 2022, la chaîne Ronin derrière Axie Infinity a subi un grave incident de sécurité, entraînant des pertes d'environ 620 millions de dollars. Les attaquants ont obtenu un accès privilégié au système clé par des moyens d'ingénierie sociale. Bien que les fonds volés n'aient pas pu être récupérés, l'équipe de développement Sky Mavis a levé 150 millions de dollars lors d'un nouveau tour de financement pour indemniser les utilisateurs.
Wormhole : 326 millions de dollars de pertes, déjà remboursés
En février 2022, le protocole cross-chain Wormhole a été attaqué, entraînant une perte d'environ 326 millions de dollars. L'attaquant a exploité une vulnérabilité de validation de signature dans le contrat côté Solana. La société mère de la société de développement, Jump Crypto, a rapidement injecté des fonds équivalents pour ramener Wormhole à un fonctionnement normal.
EvoDeFi : estimation des pertes de plusieurs millions de dollars, non traitées
En juin 2022, le DEX ValleySwap dans l'écosystème Oasis a connu un grave désancrage de l'USDT, en raison d'un manque de liquidité de son pont cross-chain EVODeFi. Le montant exact des pertes n'est pas précisé, mais il est estimé à plusieurs millions de dollars. Les parties concernées se sont empressées de se dédouaner, et les pertes des utilisateurs n'ont toujours pas été résolues.
Horizon : Près de 100 millions de dollars volés, un plan de compensation est en cours d'élaboration
En juin 2022, le pont cross-chain Horizon de Harmony a été attaqué, entraînant une perte d'environ 100 millions de dollars. Les premières enquêtes montrent que cela pourrait être dû à une fuite de clé privée. L'équipe du projet est en pourparlers avec la communauté pour établir un plan de compensation.
Nomad : 1,9 milliard de dollars perdus, en cours de traitement
En août 2022, le pont cross-chain Nomad a subi un grave incident de sécurité, avec environ 190 millions de dollars de liquidités épuisées. Le problème provient d'une erreur d'initialisation lors d'une mise à niveau du contrat. Aucune proposition de compensation claire n'a encore été fournie, mais certains hackers éthiques ont déjà exprimé leur volonté de restituer les fonds.
Résumé
La fréquence des incidents de sécurité des bridges cross-chain met en évidence la haute risque dans ce domaine. Même les bridges cross-chain ayant un classement de liquidité élevé ont déjà été attaqués, ce qui nous avertit que tout projet cross-chain peut faire face à des menaces de sécurité.
Il est à noter que les projets avec un solide soutien en arrière-plan sont souvent capables de récupérer des actifs ou d'effectuer des compensations plus efficacement après avoir subi des incidents de sécurité. Par exemple, des projets tels que Poly Network, Ronin Network et Wormhole ont pu protéger les droits des utilisateurs de diverses manières après avoir subi d'énormes pertes.
De plus, la capacité de surveillance en temps réel et de réponse rapide de l'équipe du projet est également cruciale. Certains projets comme Hop Protocol et StarGate ont rapidement agi après avoir détecté des activités suspectes, réussissant ainsi à stopper des attaques potentielles.
Ces exemples nous rappellent que lors du choix de ponts cross-chain, en plus de prendre en compte les facteurs techniques, il est également important de prêter attention aux antécédents de l'équipe du projet, à la solidité financière ainsi qu'à la capacité de gestion des urgences, afin de protéger au maximum la sécurité de ses actifs.