Обзор инцидентов безопасности кроссчейн моста: Анализ десяти случаев атак

В последние годы, с развитием технологий блокчейн, кроссчейн мосты стали важной инфраструктурой, соединяющей разные экосистемы публичных блокчейнов. Однако, из-за того, что они обрабатывают большие объемы денежных потоков, кроссчейн мосты также стали главной целью для хакерских атак. В данной статье будет рассмотрено десять знаковых случаев атак на кроссчейн мосты, подведены итоги и извлечены уроки, чтобы предоставить рекомендации для безопасного развития отрасли.

ChainSwap: Двойной удар и повторная эмиссия токенов

В июле 2021 года ChainSwap столкнулся с двумя хакерскими атаками всего за 9 дней, общие убытки составили около 8,8 миллиона долларов. Вторая атака оказала особенно широкое влияние, более 20 проектов, использующих ChainSwap для кросс-чейн транзакций, пострадали.

Исследование показало, что атака произошла из-за того, что протокол не смог строго проверить действительность подписи, что позволило злоумышленникам использовать самостоятельно сгенерированные подписи для проведения транзакций. Поскольку потери в основном касались токенов управления, ChainSwap и несколько затронутых проектов выбрали провести снимок и выпустить новые токены, чтобы компенсировать убытки держателям и поставщикам ликвидности.

Poly Network: Самая крупная атака в истории и неожиданный поворот

В августе 2021 года Poly Network подвергся крупнейшей атаке в истории кроссчейн мостов, затронувшей средства на сумму до 610 миллионов долларов. Злоумышленник ловко воспользовался уязвимостью управления правами контракта и успешно изменил адреса валидаторов целевой цепи.

Однако это событие приняло драматический поворот. Атакующий в конечном итоге выбрал вернуть все средства и был назван "белым хакером" Poly Network. Этот инцидент не только продемонстрировал огромные проблемы безопасности, с которыми сталкивается кроссчейн мост, но и подчеркнул важность усиления управления правами контрактов и механизмов проверки.

Multichain: скрытые уязвимости и частичные выплаты

В январе 2022 года Multichain обнаружил серьезную уязвимость, затрагивающую множество токенов. Несмотря на то, что уязвимость была исправлена, около 6 миллионов долларов активов были украдены.

Уязвимость возникла из-за недостаточной проверки законности пользовательского ввода токенов, особенно учитывая, что не все токены реализуют функцию permit. Команда Multichain активно пытается вернуть украденные средства и предложила схему компенсации для пользователей, чьи разрешения были отозваны, но не несет ответственности за убытки, связанные с задержкой обработки.

QBridge: Ошибка верификации токенов и огромные потери

В конце января 2022 года кроссчейн мост QBridge кредитного протокола Qubit был атакован, в результате чего был нанесен ущерб примерно в 80 миллионов долларов. Нападающий использовал ключевую уязвимость QBridge при обработке переводов токенов из белого списка.

В частности, QBridge не смог выполнить вторичную проверку нулевого адреса, что позволило злоумышленникам без внесения каких-либо токенов создать большое количество токенов xETH на BSC из воздуха. Эти поддельные токены затем использовались в качестве залога для заимствования других токенов у Qubit, исчерпав пул ликвидности протокола.

Meter.io: Ошибочные предположения и инновационная схема компенсации

В феврале 2022 года кроссчейн мост Meter Passport подвергся атаке из-за "ошибочного предположения о доверии", что привело к потерям в 4,4 миллиона долларов. Злоумышленники успешно использовали уязвимость функции депозитов ERC20 для подделки переводов BNB и ETH.

Команда Meter внедрила инновационную схему компенсации, выпустив новые токены PASS для возмещения убытков пользователей и пообещав выкупить эти токены за счет будущих доходов. Хотя этот подход и является инновационным, он также вызвал обсуждение по поводу долгосрочной устойчивости.

Ronin: Социальная инженерия и крупные финансовые компенсации

В марте 2022 года Ronin Chain, стоящий за Axie Infinity, стал жертвой тщательно спланированной социальной инженерной атаки, в результате которой были потеряны до 620 миллионов долларов. Злоумышленники, выдавая себя за фальшивую рекрутинговую компанию, смогли успешно проникнуть в систему Sky Mavis и в конечном итоге контролировать достаточно узлов валидаторов.

Несмотря на то, что похищенные средства не удалось вернуть, Sky Mavis быстро завершила финансирование в размере 150 миллионов долларов для компенсации убытков пользователей. Этот инцидент подчеркивает важность человеческого фактора в безопасности блокчейна, помимо технических уязвимостей.

Wormhole: Уязвимость основного контракта и быстрая исправление

В феврале 2022 года кросс-чейн протокол Wormhole подвергся атаке на 326 миллионов долларов из-за ошибки в проверке подписи основного контракта на стороне Solana. Нападающий успешно подделал сообщение "опекуна" и массово выпустил whETH.

Стоит отметить, что Jump Crypto быстро внес эквивалентное количество ETH в Wormhole, что позволило протоколу быстро восстановить работу. Этот шаг демонстрирует важность мощной поддержки для безопасности кросс-чейн проектов.

EvoDeFi: Кризис ликвидности и исчезновение проектов

В июне 2022 года USDT на DEX экосистемы Oasis ValleySwap серьезно отклонился от курса, что, по оценкам, привело к убыткам на сумму более десяти миллионов долларов. Проблема возникла из-за недостаточной ликвидности кроссчейн моста EVODeFi на исходной цепи.

Процесс обработки этого инцидента разочаровал, заинтересованные стороны быстро дистанцировались, а команда проекта фактически выбрала избежать ответственности. Это подчеркивает важность учета фона проекта и способности к ответственности при выборе кроссчейн моста.

Horizon：Споры о утечке приватных ключей и компенсации со стороны сообщества

В июне 2022 года официальный кроссчейн мост Harmony Horizon подвергся атаке, в результате чего был потерян почти 100 миллионов долларов. Расследование показало, что атака, скорее всего, была вызвана утечкой приватного ключа.

Команда Harmony предложила план компенсации пользователям путем эмиссии токенов в течение 3 лет, но не смогла получить единодушную поддержку сообщества. Этот инцидент подчеркивает важность управления приватными ключами и также отражает трудности в балансировке интересов всех сторон при обработке последствий массовых атак.

Nomad: Ошибка при обновлении и спонтанное возвращение сообщества

В августе 2022 года Nomad потерял около 190 миллионов долларов из-за ошибки инициализации при обновлении контракта. Эта казалось бы простая ошибка позволила любому извлекать средства из кроссчейн моста.

Стоит отметить, что некоторые белые хакеры выразили готовность вернуть средства, демонстрируя способность сообщества к саморегуляции. Однако этот инцидент также напоминает нам о том, что даже небольшие ошибки при обновлении могут привести к катастрофическим последствиям.

Резюме и выводы

Оглядываясь на эти крупные атаки, мы можем сделать следующие выводы:

1. Технический аудит имеет решающее значение: большинство атак происходит из-за уязвимостей в контрактах или ошибок при обновлении, что подчеркивает необходимость полного аудита кода.

2. Механизм многократной проверки: сбой в одной точке может привести к катастрофическим последствиям, поэтому необходимо создать многоуровневый механизм безопасной проверки.

3. Быстрая реакция: своевременное обнаружение и решение проблем безопасности может значительно сократить потери, поэтому важно создать эффективные механизмы мониторинга и реагирования на чрезвычайные ситуации.

4. Доверие и коммуникация в сообществе: во время кризисного управления важно поддерживать прозрачное общение с сообществом и предлагать разумные планы компенсации, что является ключевым для поддержания долгосрочного развития проекта.

5. Человеческие факторы не следует игнорировать: помимо технических аспектов, необходимо быть осторожными с безопасностными рисками, связанными с человеческими факторами, такими как социальная инженерия.

6. Резервирование средств и страхование: наличие достаточных резервов средств или механизмов страхования может лучше защитить интересы пользователей в случае возникновения инцидентов безопасности.

Кроссчейн мост как ключевая инфраструктура, соединяющая различные экосистемы блокчейна, его безопасность напрямую влияет на стабильность всего криптовалютного рынка. Разработчики, инвесторы и пользователи должны извлекать уроки из этих событий и совместно работать над повышением стандартов безопасности в отрасли.