Огляд інцидентів безпеки кросчейн моста: аналіз десяти випадків атак

Останніми роками, з розвитком технології блокчейн, кросчейн міст став важливою інфраструктурою, що з'єднує різні екосистеми публічних ланцюгів. Однак, оскільки він несе в собі значні обсяги фінансових потоків, кросчейн міст також став основною мішенню для хакерських атак. У цій статті будуть розглянуті десять значних атак на кросчейн мости, підсумовані уроки, щоб надати приклади для безпечного розвитку галузі.

ChainSwap: Подвійний удар і повторна емісія токенів

У липні 2021 року ChainSwap зазнав двох хакерських атак всього за 9 днів, загальні збитки склали приблизно 8,8 мільйона доларів. Друга атака мала особливо широкий вплив, постраждало понад 20 проектів, які використовували ChainSwap для крос-ланцюг.

Дослідження показало, що атака походила від того, що протокол не зміг суворо перевірити дійсність підписів, що дозволило зловмисникам використовувати самостійно згенеровані підписи для проведення транзакцій. Оскільки збитки в основному стосуються токенів управління, ChainSwap та кілька постраждалих проектів вирішили зробити знімок і випустити нові токени, щоб компенсувати втрати тримачів та постачальників ліквідності.

Poly Network: Найбільша атака в історії та несподіваний поворот

У серпні 2021 року Poly Network зазнав наймасштабнішої атаки в історії кросчейн мостів, з фінансовими втратами до 610 мільйонів доларів. Зловмисник хитро скористався вразливістю в управлінні правами контракту, успішно підмінивши адреси валідаторів цільового ланцюга.

Однак, ця подія отримала драматичний поворот. Зловмисник врешті-решт вирішив повернути всі кошти і був названий "білим капелюшком" хакером компанією Poly Network. Ця подія не тільки продемонструвала величезні виклики безпеки, з якими стикаються кросчейн мости, але й підкреслила важливість зміцнення управління правами контракту та механізмів верифікації.

Multichain: приховані вразливості та часткове відшкодування

У січні 2022 року Multichain виявила суттєву уразливість, що вплинула на кілька токенів. Незважаючи на те, що уразливість була виправлена, близько 6 мільйонів доларів активів було вкрадено.

Вразливість виникла через недостатню перевірку законності введеного користувачем токена, особливо враховуючи, що не всі токени реалізували функцію permit. Команда Multichain активно повертає вкрадені кошти та запропонувала схему компенсації для користувачів, які відкликали авторизацію, але більше не несе відповідальності за збитки, пов'язані з затримкою обробки.

QBridge: Помилка верифікації токенів та величезні втрати

Наприкінці січня 2022 року, кросчейн міст QBridge кредитного протоколу Qubit зазнав атаки, в результаті якої було втрачено близько 80 мільйонів доларів. Зловмисники використали критичну вразливість у QBridge при обробці переказів токенів з білого списку.

Конкретно, QBridge не вдалося здійснити повторну перевірку нульової адреси, що призвело до того, що зловмисники без внесення жодних токенів зуміли створити велику кількість токенів xETH на BSC. Ці фальшиві токени потім використовувалися як застава для отримання інших токенів з Qubit, виснаживши ліквідність протоколу.

Meter.io: помилкові припущення та інноваційний компенсаційний план

У лютому 2022 року кросчейн міст Meter Passport зазнав атаки через "помилкові припущення довіри", що призвело до збитків у розмірі 4,4 мільйона доларів. Зловмисник успішно скористався вразливістю функції депозиту ERC20, підробивши перекази BNB та ETH.

Команда Meter впровадила інноваційну схему компенсації, випустивши нові токени PASS для відшкодування втрат користувачів, і пообіцяла викупити ці токени за рахунок майбутніх доходів. Хоча цей підхід є новаторським, він також викликав дискусії щодо довгострокової стійкості.

Ronin: Атаки соціальної інженерії та великі виплати за фінансування

У березні 2022 року блокчейн Ronin, що стоїть за Axie Infinity, зазнав ретельно спланованої соціальної інженерії атаки, завдавши збитків на суму до 620 мільйонів доларів. Зловмисники, видаючи себе за фальшиві рекрутингові компанії, успішно проникли в систему Sky Mavis, зрештою контролюючи достатню кількість вузлів верифікації.

Незважаючи на те, що вкрадені кошти не вдалося повернути, Sky Mavis швидко завершила фінансування на 150 мільйонів доларів для компенсації збитків користувачів. Ця подія підкреслює важливість людського фактора в безпеці блокчейнів, окрім технічних вразливостей.

Wormhole: Вразливість основного контракту та швидке усунення

У лютому 2022 року крос-ланцюг протокол Wormhole зазнав атаки на 326 мільйонів доларів через помилку в перевірці підпису основного контракту на Solana. Зловмисник успішно підробив повідомлення "опікуна" і масово виконав емісію whETH.

Слід зазначити, що Jump Crypto швидко влив еквівалентну кількість ETH у Wormhole, що дозволило протоколу швидко відновити роботу. Цей крок демонструє важливість потужної підтримки для безпеки кросчейн проектів.

EvoDeFi: Кризa ліквідності та зникнення проєктів

У червні 2022 року USDT на Oasis екосистемі DEX ValleySwap серйозно відірвався від прив'язки, що, як очікується, призведе до втрат у десятки мільйонів доларів. Проблема виникла через недостатню ліквідність кросчейн моста EVODeFi на вихідному ланцюзі.

Обробка цієї події викликала розчарування, відповідні сторони швидко зняли з себе відповідальність, а проектна команда насправді обрала уникати відповідальності. Це підкреслює важливість врахування фону проекту та здатності нести відповідальність при виборі кросчейн моста.

Horizon: Спір щодо витоку приватних ключів та компенсації для громади

У червні 2022 року офіційний кросчейн міст Harmony Horizon зазнав нападу, внаслідок чого було втрачене майже 100 мільйонів доларів. Розслідування показало, що напад, ймовірно, був спричинений витоком приватного ключа.

Команда Harmony запропонувала план компенсації користувачів шляхом випуску нових токенів протягом 3 років, але не змогла отримати одностайну підтримку громади. Ця подія підкреслює важливість управління приватними ключами, а також відображає труднощі балансування інтересів усіх сторін при вирішенні наслідків масштабних атак.

Nomad: помилка оновлення та добровільне повернення спільноти

У серпні 2022 року Nomad через помилку ініціалізації під час оновлення контракту втратив близько 190 мільйонів доларів. Ця, здавалося б, проста помилка дозволила будь-кому витягувати кошти з кросчейн моста.

Варто зазначити, що деякі білі хакери висловили готовність повернути кошти, що демонструє самочисту здатність громади. Проте ця подія також нагадує нам, що навіть маленька помилка під час оновлення може призвести до катастрофічних наслідків.

Підсумки та висновки

Оглядаючи ці значні атаки, ми можемо зробити такі висновки:

1. Технічний аудит є надзвичайно важливим: більшість атак виникає через вразливості контрактів або помилки під час оновлення, що підкреслює необхідність всебічного аудиту коду.

2. Багаторівнева механіка верифікації: єдина точка відмови може призвести до катастрофічних наслідків, тому необхідно створити багаторівневу механіку безпеки.

3. Швидка реакція: своєчасне виявлення та усунення проблем безпеки може значно зменшити збитки, важливо налагодити ефективний моніторинг та механізми реагування на надзвичайні ситуації.

4. Довіра та комунікація з громадою: під час управління кризою важливо підтримувати прозору комунікацію з громадою та запропонувати розумний план компенсації, що має вирішальне значення для підтримки довгострокового розвитку проєкту.

5. Людські фактори не слід недооцінювати: окрім технічних аспектів, також слід бути обережними з соціальною інженерією та іншими людськими факторами, які можуть нести ризики безпеці.

6. Резерви капіталу та страхування: наявність достатніх резервів капіталу або страхового механізму може краще захистити інтереси користувачів у разі виникнення безпекових інцидентів.

кросчейн міст як ключова інфраструктура, що з'єднує різні екосистеми блокчейнів, його безпека безпосередньо впливає на стабільність всього ринку криптовалют. Розробники, інвестори та користувачі повинні винести уроки з цих подій та спільно працювати над підвищенням стандартів безпеки в усій галузі.