Обзор инцидента с атакой на кроссчейн мост: пострадавшие активы на сумму почти 2 миллиарда долларов, более 1.5 миллиарда долларов уже возвращены или компенсированы

В последние годы кроссчейн мосты стали важной целью для хакерских атак. Поскольку многие новые публичные блокчейны не имеют основных активов, им необходимо получать финансирование через кроссчейн мосты из таких зрелых публичных блокчейнов, как Эфириум, что делает кроссчейн мосты капиталоемкими проектами. Однако частые инциденты безопасности также подчеркивают уязвимость кроссчейн мостов. В этой статье будут рассмотрены десять крупных атак на кроссчейн мосты, произошедших за последние несколько лет, и подведены итоги полученных уроков.

ChainSwap: убыток в 8 миллионов долларов, решение через повторное эмитирование токенов

В июле 2021 года ChainSwap подвергся двум хакерским атакам, в результате которых был причинен ущерб на сумму около 8 миллионов долларов. Более 20 проектов, использующих ChainSwap для кросс-чейн операций, пострадали. Расследование показало, что злоумышленники использовали уязвимость протокола в проверке действительности подписей. Поскольку убытки в основном касались治理代币, несколько проектов выбрали провести снимок (snapshot) и выпустить новые токены для компенсации пострадавшим пользователям.

Poly Network: 610 миллионов долларов украдено, полностью возвращено

В августе 2021 года Poly Network подверглась масштабной атаке, сумма которой составила 610 миллионов долларов. Атакующий использовал уязвимость в логике управления правами контракта, успешно изменив адреса валидаторов целевой цепи. Несмотря на изощренные методы атаки, хакер в конечном итоге вернул все средства. Позже Poly Network назвала этого хакера "белой шляпой" и пригласила его занять должность главного консультанта по безопасности компании.

Multichain: 600 миллионов долларов под угрозой, частично выплачено

В январе 2022 года Multichain обнаружил важную уязвимость, затрагивающую множество токенов. Хотя уязвимость была своевременно исправлена, около 6 миллионов долларов активов были украдены. Причина заключалась в том, что контракт неправильно проверял законность токенов, вводимых пользователями. Команда Multichain вернула почти 50% украденных средств и предложила план компенсации.

QBridge: потеря 80 миллионов долларов, компенсация только 2%

В конце января 2022 года кроссчейн мост QBridge кредитного соглашения Qubit был атакован, что привело к потерям около 80 миллионов долларов. Злоумышленник использовал уязвимость QBridge при обработке токенов из белого списка, успешно выпустив большое количество поддельных токенов xETH на BSC. В настоящее время большая часть украденных средств еще не была возмещена.

Meter.io: 4,4 миллиона долларов украдены, обещание компенсировать будущими доходами

В феврале 2022 года кроссчейн мост Meter Passport был атакован, что привело к убыткам в 4,4 миллиона долларов. Проблема заключалась в "ошибочном предположении о доверии" в расширенном исходном коде Meter. Команда проекта пообещала выпустить новый токен PASS для компенсации и использовать будущую прибыль для выкупа этих токенов.

Ronin: 620 миллионов долларов были украдены, все выплаты произведены.

В марте 2022 года блокчейн Ronin, за которым стоит Axie Infinity, столкнулся с серьезным инцидентом безопасности, в результате которого было потеряно около 620 миллионов долларов. Злоумышленники получили доступ к ключевым системам с помощью методов социальной инженерии. Хотя украденные средства не удалось вернуть, команда разработчиков Sky Mavis собрала 150 миллионов долларов в рамках нового раунда финансирования для компенсации убытков пользователей.

Wormhole: убытки в 326 миллионов долларов, уже выплачено

В феврале 2022 года кросс-чейн протокол Wormhole подвергся атаке, в результате которой был потерян около 326 миллионов долларов. Злоумышленники воспользовались уязвимостью проверки подписи в смарт-контракте на стороне Solana. Материнская компания разработчиков Jump Crypto быстро внесла эквивалентные средства, чтобы восстановить нормальную работу Wormhole.

EvoDeFi: ожидаемые убытки составляют более десяти миллионов долларов, не были обработаны

В июне 2022 года в экосистеме Oasis DEX ValleySwap возникло серьезное отклонение USDT от паритета, причиной чего стало недостаточное количество ликвидности в используемом кроссчейн мосте EVODeFi. Конкретная сумма убытков не известна, но, по оценкам, она составляет миллионы долларов. Все заинтересованные стороны спешат откреститься от происшествия, а убытки пользователей до сих пор не решены.

Horizon: украдено почти 100 миллионов долларов, разрабатывается план компенсации

В июне 2022 года официальный кроссчейн мост Harmony Horizon был атакован, в результате чего был потерян около 100 миллионов долларов. Предварительное расследование показало, что проблема могла быть вызвана утечкой приватного ключа. Проектная команда ведет переговоры с сообществом о разработке компенсационного плана.

Nomad: потеряно 190 миллионов долларов, в процессе обработки

В августе 2022 года кроссчейн мост Nomad столкнулся с重大安全ным инцидентом, в результате которого было исчерпано около 190 миллионов долларов ликвидности. Проблема возникла из-за ошибки инициализации в процессе обновления контракта. На данный момент четкий план компенсации не был предоставлен, но некоторые белые хакеры уже выразили готовность вернуть средства.

Резюме

Частые инциденты с безопасностью кроссчейн мостов подчеркивают высокие риски в этой области. Даже кроссчейн мосты с высоким рейтингом ликвидности подвергались атакам, что предупреждает нас о том, что любые кроссчейн проекты могут столкнуться с угрозами безопасности.

Стоит отметить, что проекты с мощной поддержкой на фоне возникновения инцидентов безопасности часто могут более эффективно вернуть активы или произвести выплаты. Например, такие проекты, как Poly Network, Ronin Network и Wormhole, после понесенных значительных убытков смогли защитить права пользователей различными способами.

Кроме того, способность команды проекта к мониторингу в реальном времени и быстрой реакции также имеет решающее значение. Некоторые проекты, такие как Hop Protocol и StarGate, быстро предприняли действия после обнаружения подозрительной активности, успешно предотвратив потенциальные атаки.

Эти примеры напоминают нам, что при выборе кроссчейн моста, помимо технических факторов, следует обратить внимание на фон команды проекта, финансовую состоятельность и способности к экстренному реагированию, чтобы максимально защитить безопасность своих активов.