- Tópico
19k Popularidade
12k Popularidade
3k Popularidade
15k Popularidade
30k Popularidade
638 Popularidade
110k Popularidade
26k Popularidade
26k Popularidade
7k Popularidade
- Pino
19k Popularidade
12k Popularidade
3k Popularidade
15k Popularidade
30k Popularidade
638 Popularidade
110k Popularidade
26k Popularidade
26k Popularidade
7k Popularidade
Análise de dez casos de ataque à ponte de cadeia cruzada: lições de segurança do roubo de 600 milhões de dólares
Revisão de acidentes de segurança de pontes de cadeia cruzada: Análise dos dez principais casos de ataque
Nos últimos anos, com o desenvolvimento da tecnologia blockchain, as pontes de cadeia cruzada tornaram-se uma infraestrutura fundamental para conectar diferentes ecossistemas de blockchain pública. No entanto, devido ao grande volume de movimentação de fundos, as pontes de cadeia cruzada também se tornaram alvos principais de ataques de hackers. Este artigo irá rever dez incidentes de ataque a pontes de cadeia cruzada que tiveram um impacto profundo, resumir as lições aprendidas e fornecer referências para o desenvolvimento seguro do setor.
ChainSwap: Duplo golpe e reemissão de tokens
Em julho de 2021, a ChainSwap sofreu dois ataques de hackers em apenas 9 dias, com uma perda total de cerca de 8,8 milhões de dólares. O segundo ataque teve um impacto particularmente amplo, afetando mais de 20 projetos que utilizavam a ChainSwap para ponte de cadeia cruzada.
A investigação mostrou que o ataque se deveu à falha do protocolo em validar rigorosamente a validade das assinaturas, permitindo que os atacantes utilizassem assinaturas geradas por eles mesmos para realizar transações. Como as perdas envolveram principalmente tokens de governança, a ChainSwap e vários projetos afetados optaram por realizar um snapshot e emitir novos tokens para compensar as perdas dos detentores e provedores de liquidez.
Poly Network: O maior ataque da história e uma reviravolta inesperada
Em agosto de 2021, a Poly Network sofreu o maior ataque da história de pontes de cadeia cruzada, envolvendo um montante de até 610 milhões de dólares. O atacante explorou habilmente uma vulnerabilidade na gestão de permissões do contrato, conseguindo alterar o endereço do validador da cadeia alvo.
No entanto, este incidente teve um desfecho dramático. O atacante acabou por escolher devolver todos os fundos e foi chamado de "hacker de chapéu branco" pela Poly Network. Este evento não só mostrou os enormes desafios de segurança que as pontes de cadeia cruzada enfrentam, como também destacou a importância de fortalecer a gestão de permissões de contratos e os mecanismos de verificação.
Multichain:vulnerabilidades ocultas e compensação parcial
Em janeiro de 2022, a Multichain descobriu uma vulnerabilidade significativa que afetava vários tokens. Embora a vulnerabilidade tenha sido corrigida, cerca de 6 milhões de dólares em ativos ainda foram roubados.
A vulnerabilidade surge da insuficiência na verificação da legitimidade do Token fornecido pelo usuário, especialmente por não considerar que nem todos os tokens implementam a função permit. A equipe da Multichain está ativamente tentando recuperar os fundos roubados e propôs um plano de compensação para os usuários cujas autorizações foram revogadas, mas não se responsabiliza pelas perdas decorrentes de atrasos no processamento.
QBridge: Erros de validação de token e grandes perdas
No final de janeiro de 2022, a ponte de cadeia cruzada QBridge do protocolo de empréstimo Qubit foi atacada, resultando em uma perda de cerca de 80 milhões de dólares. O atacante explorou uma falha crítica da QBridge ao processar transferências de tokens na lista branca.
Especificamente, o QBridge falhou em realizar uma segunda verificação do endereço zero, permitindo que atacantes cunhassem uma grande quantidade de tokens xETH na BSC sem depositar qualquer token. Esses tokens falsos foram então usados como garantia para emprestar outros tokens do Qubit, esgotando o fundo do protocolo.
Meter.io: Suposições Erradas e Planos de Indemnização Inovadores
Em fevereiro de 2022, a ponte de cadeia cruzada Meter Passport foi atacada devido a uma "suposição de confiança errada", resultando em uma perda de 4,4 milhões de dólares. O atacante explorou com sucesso uma vulnerabilidade na funcionalidade de depósito ERC20 subjacente, falsificando transferências de BNB e ETH.
A equipe do Meter adotou uma solução de compensação inovadora, emitindo novos tokens PASS para compensar as perdas dos usuários, e prometeu recomprar esses tokens com os lucros futuros. Embora essa abordagem seja inovadora, também levantou discussões sobre a sustentabilidade a longo prazo.
Ronin: Ataques de engenharia social e compensações financeiras massivas
Em março de 2022, a cadeia Ronin por trás do Axie Infinity sofreu um ataque de engenharia social cuidadosamente planejado, resultando em perdas de até 620 milhões de dólares. Os atacantes, através de uma empresa de recrutamento falsa, conseguiram infiltrar-se no sistema da Sky Mavis e, eventualmente, controlar um número suficiente de nós validadores.
Apesar de os fundos roubados não terem sido recuperados, a Sky Mavis completou rapidamente uma ronda de financiamento de 150 milhões de dólares para compensar as perdas dos usuários. Este evento destaca a importância dos fatores humanos na segurança da blockchain, além das vulnerabilidades tecnológicas.
Wormhole: Vulnerabilidade do contrato central e solução rápida
Em fevereiro de 2022, o protocolo de cadeia cruzada Wormhole sofreu um ataque de 326 milhões de dólares devido a um erro de verificação de assinatura no contrato principal do lado Solana. O atacante conseguiu falsificar a mensagem do "guardião" e cunhar uma grande quantidade de whETH.
É importante notar que a Jump Crypto rapidamente injetou uma quantia equivalente em ETH no Wormhole, permitindo que o protocolo retomasse suas operações rapidamente. Esta ação demonstra a importância de um forte apoio para a segurança de projetos de cadeia cruzada.
EvoDeFi: Crise de liquidez e desaparecimento de projetos
Em junho de 2022, o USDT na DEX ValleySwap do ecossistema Oasis desvalorizou severamente, causando perdas estimadas em milhões de dólares. O problema originou-se da falta de liquidez na cadeia de origem da ponte de cadeia cruzada EVODeFi que foi utilizada.
O processo de tratamento deste evento é decepcionante, as partes envolvidas rapidamente se desassociaram, e a equipe do projeto na verdade optou por evitar responsabilidades. Isso destaca a importância de considerar o histórico do projeto e a capacidade de assumir responsabilidades ao escolher uma ponte de cadeia cruzada.
Horizon: Disputa sobre o vazamento de chaves privadas e compensação da comunidade
Em junho de 2022, a ponte de cadeia cruzada oficial da Harmony, Horizon, foi atacada, resultando em perdas de quase 100 milhões de dólares. As investigações mostram que o ataque provavelmente foi causado por uma divulgação de chave privada.
A equipe da Harmony propôs um plano para compensar os usuários através da emissão adicional de tokens ao longo de 3 anos, mas não conseguiu obter o apoio unânime da comunidade. Este evento destaca a importância da gestão de chaves privadas, ao mesmo tempo que reflete a dificuldade de equilibrar os interesses de todas as partes ao lidar com as consequências de ataques em grande escala.
Nomad: Erro de atualização e devolução espontânea da comunidade
Em agosto de 2022, a Nomad perdeu cerca de 190 milhões de dólares devido a um erro de inicialização durante uma atualização de contrato. Esse erro aparentemente simples permitiu que qualquer pessoa pudesse retirar fundos da ponte de cadeia cruzada.
Vale a pena mencionar que alguns hackers de chapéu branco se mostraram dispostos a devolver os fundos, demonstrando a capacidade de auto-regulação da comunidade. No entanto, este incidente também nos lembra que até mesmo um pequeno erro de atualização pode ter consequências catastróficas.
Resumo e Revelações
Ao rever estes importantes eventos de ataque, podemos tirar as seguintes conclusões:
A auditoria técnica é crucial: a maioria dos ataques resulta de vulnerabilidades de contrato ou erros de atualização, enfatizando a necessidade de uma auditoria de código abrangente.
Mecanismos de validação múltipla: falhas de ponto único podem levar a consequências catastróficas, tornando necessário estabelecer mecanismos de validação de segurança em múltiplos níveis.
Capacidade de resposta rápida: Identificar e tratar problemas de segurança de forma atempada pode reduzir significativamente as perdas, sendo importante estabelecer mecanismos eficazes de monitorização e resposta a emergências.
Confiança e comunicação na comunidade: Durante o processo de gestão de crises, manter uma comunicação transparente com a comunidade e apresentar um plano de compensação razoável é crucial para a manutenção do desenvolvimento a longo prazo do projeto.
Fatores humanos não devem ser ignorados: além do aspecto técnico, é necessário estar atento aos riscos de segurança trazidos por fatores humanos, como a engenharia social.
Reservas de fundos e seguros: Ter reservas de fundos ou mecanismos de seguro suficientes pode proteger melhor os interesses dos usuários em caso de acidentes de segurança.
As pontes de cadeia cruzada são uma infraestrutura fundamental que conecta diferentes ecossistemas de blockchain, e sua segurança afeta diretamente a estabilidade de todo o mercado de criptomoedas. Desenvolvedores, investidores e usuários devem aprender com esses eventos e trabalhar juntos para melhorar os padrões de segurança de toda a indústria.