Tóm tắt sự kiện tấn công cầu nối Cross-chain: Gần 2 tỷ USD tài sản bị ảnh hưởng, hơn 1.5 tỷ USD đã được thu hồi hoặc bồi thường

Trong những năm gần đây, cầu nối Cross-chain đã trở thành mục tiêu quan trọng của các cuộc tấn công của hacker. Do nhiều chuỗi công cộng mới nổi thiếu tài sản chính thống, cần phải thông qua cầu nối Cross-chain để lấy vốn từ các chuỗi công cộng trưởng thành như Ethereum, điều này đã khiến cầu nối Cross-chain trở thành dự án tập trung vào vốn. Tuy nhiên, các sự cố an ninh thường xuyên cũng đã làm nổi bật sự yếu kém của cầu nối Cross-chain. Bài viết này sẽ xem xét mười sự kiện tấn công cầu nối Cross-chain lớn đã xảy ra trong vài năm qua và tổng kết các bài học từ đó.

ChainSwap: Mất 8 triệu đô la, giải quyết bằng cách phát hành lại token

Vào tháng 7 năm 2021, ChainSwap đã gặp phải hai cuộc tấn công của hacker, gây ra thiệt hại khoảng 8 triệu USD. Hơn 20 dự án sử dụng ChainSwap để thực hiện chuỗi cross đã bị ảnh hưởng. Cuộc điều tra cho thấy, kẻ tấn công đã lợi dụng lỗ hổng trong việc xác minh tính hợp lệ của chữ ký trong giao thức. Do thiệt hại chủ yếu liên quan đến token quản trị, nhiều dự án đã chọn thực hiện chụp nhanh và phát hành token mới để bồi thường cho người dùng bị ảnh hưởng.

Poly Network: 6.1 triệu đô la bị đánh cắp, đã được hoàn trả đầy đủ

Vào tháng 8 năm 2021, Poly Network đã gặp phải một cuộc tấn công quy mô lớn, với số tiền lên tới 610 triệu USD. Kẻ tấn công đã lợi dụng lỗ hổng trong logic quản lý quyền hợp đồng, thành công sửa đổi địa chỉ của người xác nhận trên chuỗi mục tiêu. Mặc dù phương pháp tấn công rất tinh vi, kẻ hacker cuối cùng vẫn hoàn trả toàn bộ số tiền. Poly Network sau đó đã gọi kẻ hacker này là "mũ trắng" và mời anh ta đảm nhận vị trí cố vấn an ninh cấp cao của công ty.

Multichain: 600 triệu USD bị ảnh hưởng, một phần đã được bồi thường

Vào tháng 1 năm 2022, Multichain phát hiện một lỗ hổng quan trọng ảnh hưởng đến nhiều loại token. Mặc dù lỗ hổng đã được sửa chữa kịp thời, nhưng vẫn có khoảng 6 triệu đô la tài sản bị đánh cắp. Nguyên nhân là do hợp đồng không kiểm tra đúng tính hợp lệ của token mà người dùng nhập vào. Đội ngũ Multichain đã thu hồi gần 50% số tiền bị đánh cắp và đề xuất một kế hoạch bồi thường.

QBridge: 8000 triệu đô la Mỹ thiệt hại, chỉ bồi thường 2%

Cuối tháng 1 năm 2022, cầu nối Cross-chain QBridge của giao thức cho vay Qubit đã bị tấn công, gây thiệt hại khoảng 80 triệu USD. Kẻ tấn công đã tận dụng một lỗ hổng trong việc xử lý token trong danh sách trắng của QBridge, thành công trong việc đúc một lượng lớn token xETH giả trên BSC. Hiện tại, hầu hết số tiền bị đánh cắp vẫn chưa được bồi thường.

Meter.io: 440 triệu USD bị đánh cắp, cam kết bồi thường bằng lợi nhuận trong tương lai

Vào tháng 2 năm 2022, cầu nối Cross-chain Meter Passport đã bị tấn công, gây ra thiệt hại 4,4 triệu USD. Vấn đề nằm ở "giả định tin cậy sai lầm" trong mã nguồn mở của Meter. Đội ngũ dự án hứa hẹn phát hành token mới PASS để bồi thường và sẽ sử dụng lợi nhuận trong tương lai để mua lại những token này.

Ronin: 6.2 triệu USD đã bị đánh cắp, đã bồi thường toàn bộ

Vào tháng 3 năm 2022, chuỗi Ronin đứng sau Axie Infinity đã gặp phải một sự cố an ninh nghiêm trọng, với khoản thiệt hại khoảng 620 triệu đô la. Kẻ tấn công đã sử dụng các phương pháp kỹ thuật xã hội để có được quyền truy cập hệ thống quan trọng. Mặc dù số tiền bị đánh cắp không được thu hồi, nhưng đội ngũ phát triển Sky Mavis đã huy động được 150 triệu đô la thông qua một vòng tài trợ mới để bồi thường thiệt hại cho người dùng.

Wormhole: 3.26 triệu USD thiệt hại, đã bồi thường

Vào tháng 2 năm 2022, giao thức cầu nối Cross-chain Wormhole đã bị tấn công, thiệt hại khoảng 326 triệu USD. Kẻ tấn công đã lợi dụng lỗ hổng xác minh chữ ký trong hợp đồng ở đầu Solana. Công ty mẹ của nhà phát triển Jump Crypto đã nhanh chóng bơm vốn tương đương để Wormhole khôi phục hoạt động bình thường.

EvoDeFi: Dự đoán tổn thất lên đến hàng chục triệu đô la, chưa được xử lý

Vào tháng 6 năm 2022, DEX ValleySwap trong hệ sinh thái Oasis đã xảy ra hiện tượng USDT bị mất giá nghiêm trọng, nguyên nhân là do cầu nối Cross-chain EVODeFi thiếu thanh khoản. Số tiền thiệt hại cụ thể không rõ, nhưng ước tính vào khoảng hàng triệu đô la. Các bên liên quan đều nhanh chóng tìm cách tránh trách nhiệm, và tổn thất của người dùng đến nay vẫn chưa được giải quyết.

Horizon：Gần 100 triệu USD bị đánh cắp, đang xây dựng kế hoạch bồi thường

Vào tháng 6 năm 2022, cầu nối Cross-chain chính thức Horizon của Harmony đã bị tấn công, gây thiệt hại khoảng 100 triệu USD. Cuộc điều tra sơ bộ cho thấy có thể là do rò rỉ khóa riêng. Đội ngũ dự án đang làm việc với cộng đồng để thương thảo một kế hoạch bồi thường.

Nomad：1.9 triệu đô la Mỹ mất tích, đang xử lý

Vào tháng 8 năm 2022, cầu nối Cross-chain Nomad đã gặp phải một sự cố an ninh lớn, khoảng 190 triệu USD thanh khoản đã bị tiêu hao. Vấn đề xuất phát từ một lỗi khởi tạo trong quá trình nâng cấp hợp đồng. Hiện tại chưa có kế hoạch bồi thường rõ ràng, nhưng một số hacker mũ trắng đã bày tỏ sẵn sàng hoàn trả lại số tiền.

Tóm tắt

Sự cố an ninh cầu nối Cross-chain xảy ra thường xuyên đã làm nổi bật tính rủi ro cao trong lĩnh vực này. Ngay cả những cầu nối Cross-chain có xếp hạng thanh khoản cao cũng từng bị tấn công, điều này cảnh báo chúng ta rằng bất kỳ dự án cầu nối nào cũng có thể đối mặt với mối đe dọa an ninh.

Đáng chú ý là những dự án có nền tảng mạnh mẽ thường có khả năng thu hồi tài sản hoặc bồi thường hiệu quả hơn sau khi gặp sự cố an ninh. Chẳng hạn như các dự án như Poly Network, Ronin Network và Wormhole đều có thể bảo vệ quyền lợi của người dùng thông qua nhiều cách khác nhau sau khi chịu tổn thất lớn.

Ngoài ra, khả năng giám sát thời gian thực và phản ứng nhanh chóng của nhóm dự án cũng rất quan trọng. Một số dự án như Hop Protocol và StarGate đã nhanh chóng hành động sau khi phát hiện hoạt động đáng ngờ, thành công ngăn chặn các cuộc tấn công tiềm tàng.

Những trường hợp này nhắc nhở chúng ta rằng, khi lựa chọn cầu nối Cross-chain, ngoài việc xem xét các yếu tố kỹ thuật, còn cần quan tâm đến bối cảnh của đội ngũ dự án, sức mạnh tài chính và khả năng xử lý tình huống khẩn cấp, nhằm tối đa hóa việc bảo vệ an toàn tài sản của bản thân.