Revue des incidents de sécurité des ponts cross-chain : analyse des dix cas d'attaque

Ces dernières années, avec le développement de la technologie blockchain, les bridges cross-chain sont devenus une infrastructure fondamentale reliant différents écosystèmes de chaînes publiques. Cependant, en raison de leur gestion d'un grand volume de flux de fonds, les bridges cross-chain sont également devenus des cibles majeures pour les attaques de hackers. Cet article passera en revue dix incidents d'attaques de bridges cross-chain ayant eu un impact profond, résumera les leçons apprises et fournira des références pour le développement sécurisé de l'industrie.

ChainSwap : double coup et réémission de jetons

En juillet 2021, ChainSwap a subi deux attaques de hackers en seulement 9 jours, avec une perte totale d'environ 8,8 millions de dollars. La deuxième attaque a eu un impact particulièrement large, touchant plus de 20 projets utilisant ChainSwap pour des bridges cross-chain.

Une enquête montre que l'attaque provient du fait que le protocole n'a pas réussi à vérifier strictement la validité des signatures, permettant ainsi aux attaquants d'utiliser des signatures auto-générées pour effectuer des transactions. Étant donné que les pertes concernent principalement des jetons de gouvernance, ChainSwap et plusieurs projets affectés ont choisi de réaliser un instantané et d'émettre de nouveaux jetons pour compenser les pertes des détenteurs et des fournisseurs de liquidités.

Poly Network : La plus grande attaque de l'histoire et un retournement inattendu

En août 2021, Poly Network a subi la plus grande attaque de l'histoire des bridges cross-chain, impliquant des fonds atteignant 610 millions de dollars. L'attaquant a habilement exploité une vulnérabilité dans la gestion des droits des contrats, réussissant à modifier l'adresse des validateurs de la chaîne cible.

Cependant, cet événement a pris un tournant dramatique. Les attaquants ont finalement choisi de restituer l'intégralité des fonds et ont été qualifiés de "hackers white hat" par Poly Network. Cet incident montre non seulement les énormes défis de sécurité auxquels les bridges cross-chain sont confrontés, mais souligne également l'importance de renforcer la gestion des autorisations des contrats et les mécanismes de vérification.

Multichain : failles dissimulées et paiements partiels

En janvier 2022, Multichain a découvert une vulnérabilité majeure affectant plusieurs tokens. Bien que la vulnérabilité ait été corrigée, environ 6 millions de dollars d'actifs ont été volés.

La vulnérabilité provient d'un manque de vérification de la légitimité des tokens d'entrée des utilisateurs, en particulier en ne tenant pas compte du fait que tous les tokens n'ont pas implémenté la fonction permit. L'équipe de Multichain s'efforce de récupérer les fonds volés et a proposé un plan d'indemnisation pour les utilisateurs ayant révoqué leur autorisation, mais elle n'est plus responsable des pertes dues à des traitements retardés.

QBridge : erreur de validation des jetons et pertes massives

Fin janvier 2022, le pont cross-chain QBridge du protocole de prêt Qubit a été attaqué, entraînant une perte d'environ 80 millions de dollars. L'attaquant a exploité une vulnérabilité clé de QBridge lors du traitement des transferts de jetons sur liste blanche.

Plus précisément, QBridge n'a pas réussi à effectuer une seconde validation de l'adresse zéro, permettant ainsi aux attaquants de créer une grande quantité de jetons xETH sur BSC sans avoir déposé de jetons. Ces faux jetons ont ensuite été utilisés comme garantie pour emprunter d'autres jetons de Qubit, épuisant ainsi le pool de fonds du protocole.

Meter.io : hypothèses erronées et solutions d'indemnisation innovantes

En février 2022, le pont cross-chain Meter Passport a été attaqué en raison d'une "hypothèse de confiance erronée", entraînant une perte de 4,4 millions de dollars. L'attaquant a réussi à exploiter une vulnérabilité dans la fonction de dépôt ERC20 sous-jacente pour falsifier des transferts de BNB et d'ETH.

L'équipe de Meter a adopté un plan de compensation novateur en émettant de nouveaux tokens PASS pour indemniser les utilisateurs pour leurs pertes, et a promis de racheter ces tokens avec des bénéfices futurs. Bien que cette approche soit innovante, elle a également suscité des discussions sur la durabilité à long terme.

Ronin : attaques d'ingénierie sociale et indemnisations financières massives

En mars 2022, la chaîne Ronin derrière Axie Infinity a subi une attaque d'ingénierie sociale soigneusement planifiée, entraînant des pertes allant jusqu'à 620 millions de dollars. Les attaquants ont réussi à infiltrer le système de Sky Mavis en se faisant passer pour une société de recrutement, contrôlant finalement suffisamment de nœuds de validateurs.

Bien que les fonds volés n'aient pas pu être récupérés, Sky Mavis a rapidement levé 150 millions de dollars pour indemniser les pertes des utilisateurs. Cet événement met en lumière, en plus des vulnérabilités techniques, l'importance des facteurs humains dans la sécurité des blockchains.

Wormhole : vulnérabilité du contrat principal et remède rapide

En février 2022, le protocole cross-chain Wormhole a subi une attaque de 326 millions de dollars en raison d'une erreur de validation de signature dans le contrat principal sur Solana. L'attaquant a réussi à falsifier le message des "gardiens" et a minté une grande quantité de whETH.

Il convient de noter que Jump Crypto a rapidement injecté une somme équivalente d'ETH dans Wormhole, permettant ainsi au protocole de reprendre rapidement ses opérations. Ce geste démontre l'importance d'un soutien solide pour la sécurité des projets cross-chain.

EvoDeFi : crise de liquidité et disparition de projets

En juin 2022, l'USDT sur le DEX ValleySwap de l'écosystème Oasis s'est gravement décorrélé, entraînant des pertes estimées à plusieurs millions de dollars. Le problème provient du manque de liquidité sur la chaîne source du pont cross-chain EVODeFi utilisé.

Le processus de traitement de cet événement est décevant, les parties concernées se sont rapidement dégagées de toute responsabilité, et l'équipe du projet a en réalité choisi de fuir ses responsabilités. Cela souligne l'importance de prendre en compte le contexte du projet et la capacité à assumer des responsabilités lors du choix des bridges cross-chain.

Horizon : Controverse sur la fuite de clés privées et l'indemnisation de la communauté

En juin 2022, le pont cross-chain Horizon de Harmony a été attaqué, entraînant une perte de près de 100 millions de dollars. Les enquêtes montrent que l'attaque a probablement été causée par une fuite de clé privée.

L'équipe de Harmony a proposé un plan pour indemniser les utilisateurs en émettant des tokens supplémentaires sur une période de 3 ans, mais n'a pas réussi à obtenir le soutien unanime de la communauté. Cet événement souligne l'importance de la gestion des clés privées, tout en reflétant la difficulté d'équilibrer les intérêts de toutes les parties lors du traitement des conséquences d'attaques à grande échelle.

Nomad : erreurs de mise à niveau et retour volontaire de la communauté

En août 2022, Nomad a perdu environ 190 millions de dollars de fonds en raison d'une erreur d'initialisation lors d'une mise à niveau de contrat. Cette erreur apparemment simple a permis à quiconque de retirer des fonds du bridges cross-chain.

Il convient de noter que certains hackers éthiques ont exprimé leur volonté de restituer des fonds, montrant ainsi la capacité d'auto-régénération de la communauté. Cependant, cet événement nous rappelle que même une petite erreur de mise à niveau peut avoir des conséquences désastreuses.

Résumé et enseignements

En rétrospective de ces événements d'attaque majeurs, nous pouvons tirer les leçons suivantes :

1. L'audit technique est essentiel : la plupart des attaques proviennent de vulnérabilités dans les contrats ou d'erreurs de mise à niveau, soulignant la nécessité d'un audit complet du code.

2. Mécanisme de validation multiple : Un point de défaillance unique peut entraîner des conséquences catastrophiques, il est donc très nécessaire d'établir un mécanisme de validation de sécurité à plusieurs niveaux.

3. Capacité de réponse rapide : détecter et traiter les problèmes de sécurité en temps opportun peut considérablement réduire les pertes, il est donc important d'établir des mécanismes de surveillance et de réponse d'urgence efficaces.

4. Confiance et communication au sein de la communauté : Pendant le processus de gestion de crise, il est essentiel de maintenir une communication transparente avec la communauté et de proposer des solutions de compensation raisonnables pour préserver le développement à long terme du projet.

5. Les facteurs humains ne doivent pas être négligés : en plus des aspects techniques, il est important de rester vigilant face aux risques de sécurité liés à des facteurs humains tels que l'ingénierie sociale.

6. Réserves de fonds et assurance : Disposer de réserves de fonds suffisantes ou d'un mécanisme d'assurance peut mieux protéger les intérêts des utilisateurs en cas d'accident de sécurité.

Les ponts cross-chain, en tant qu'infrastructure clé reliant différents écosystèmes de blockchain, leur sécurité affecte directement la stabilité de l'ensemble du marché des cryptomonnaies. Les développeurs, les investisseurs et les utilisateurs devraient tirer des leçons de ces événements et s'efforcer ensemble d'améliorer les normes de sécurité de l'ensemble de l'industrie.