Revue des événements de sécurité des ponts cross-chain : impliquant plus de 1,9 milliard de dollars, la plupart ont été indemnisés ou récupérés

Il existe de nombreuses chaînes publiques dans l'écosystème blockchain, mais en raison de la concentration des actifs principaux sur quelques chaînes, les bridges cross-chain sont devenus une infrastructure clé pour connecter différentes chaînes. Cependant, en raison de leur nature de gestion d'un montant important de fonds, les bridges cross-chain sont fréquemment la cible des attaques de hackers. Cet article passe en revue les dix principaux événements de sécurité récents liés aux bridges cross-chain, impliquant un montant total de fonds dépassant 1,9 milliard de dollars, dont environ 1,55 milliard de dollars ont été récupérés ou indemnisés.

ChainSwap : 8 millions de dollars de pertes, résolues par la réémission de jetons

En juillet 2021, ChainSwap a subi deux attaques en peu de temps, la seconde entraînant une perte d'environ 8 millions de dollars, affectant plus de 20 projets utilisant ses services. La cause de l'incident est que le protocole n'a pas vérifié rigoureusement la validité des signatures. ChainSwap et les projets affectés ont indemnisé les détenteurs par le biais de snapshots et de réémission de tokens.

Poly Network : 610 millions de dollars volés, récupérés intégralement

En août 2021, Poly Network a été attaqué, perdant environ 610 millions de dollars d'actifs sur Ethereum, Binance Smart Chain et Polygon. L'attaquant a exploité une vulnérabilité dans la gestion des droits de contrat pour remplacer avec succès l'adresse du validateur de la chaîne cible. Bien que la méthode d'attaque soit sophistiquée, le hacker a finalement restitué tous les fonds, et Poly Network l'a même invité à devenir conseiller en sécurité.

Multichain : 6 millions de dollars affectés, paiement partiel effectué

En janvier 2022, Multichain a découvert une vulnérabilité majeure affectant plusieurs tokens. Bien que la vulnérabilité ait été corrigée, environ 6,04 millions de dollars d'actifs ont été volés. La raison en est une négligence dans la vérification des entrées utilisateur par le contrat. Multichain a récupéré près de la moitié des fonds volés et a indemnisé les utilisateurs ayant révoqué leur autorisation en temps utile.

QBridge : perte de 80 millions de dollars, seulement peu d'indemnités

À la fin janvier 2022, le pont cross-chain QBridge de Qubit a été attaqué, entraînant une perte d'environ 80 millions de dollars. L'attaquant a exploité une vulnérabilité où le contrat ne vérifiait pas à nouveau les adresses nulles, permettant de créer une grande quantité de jetons sur BSC. Actuellement, l'utilisation de Qubit est très faible et la plupart des fonds volés n'ont pas encore été remboursés.

Meter.io : perte de 4,4 millions de dollars, engagement à indemniser avec des bénéfices futurs

En février 2022, le pont cross-chain Meter Passport a été attaqué en raison d'une "hypothèse de confiance erronée" dans le code, entraînant une perte de 4,4 millions de dollars. Meter a décidé d'émettre un nouveau jeton PASS pour indemniser les utilisateurs et a promis de racheter avec les revenus futurs, mais le rachat n'a pas encore commencé.

Ronin : 620 millions de dollars volés, remboursement intégral effectué

En mars 2022, la chaîne Ronin d'Axie Infinity a subi une perte majeure de 620 millions de dollars. Les attaquants ont obtenu un accès au système par des techniques d'ingénierie sociale. Bien que les fonds volés n'aient pas pu être récupérés, le développeur Sky Mavis a levé 150 millions de dollars lors d'un nouveau tour de financement pour indemniser les utilisateurs.

Wormhole : 326 millions de dollars de pertes, déjà remboursé

En février 2022, Wormhole a été attaqué en raison d'une vulnérabilité de vérification de contrat sur Solana, entraînant une perte d'environ 326 millions de dollars. Jump Crypto a rapidement injecté des fonds équivalents dans Wormhole pour garantir la sécurité des actifs des utilisateurs.

EvoDeFi : pertes estimées à plusieurs millions de dollars, non traitées

En juin 2022, le DEX ValleySwap dans l'écosystème Oasis a connu un sérieux dépegging de l'USDT, en raison d'une liquidité insuffisante de son pont cross-chain EvoDeFi. Le montant exact des pertes est inconnu, mais il est estimé à plusieurs millions de dollars. Les parties concernées n'ont proposé aucune solution, et les pertes des utilisateurs n'ont pas encore été compensées.

Horizon : Près de 100 millions de dollars de pertes, un plan d'indemnisation est en cours d'élaboration.

En juin 2022, le pont cross-chain Horizon de Harmony a été victime d'une attaque, entraînant une perte d'environ 100 millions de dollars. Le fondateur a reconnu que cela pourrait être dû à une fuite de clé privée. Actuellement, Harmony discute avec la communauté pour établir un plan de compensation raisonnable.

Nomad : 190 millions de dollars volés, une partie des fonds pourrait être récupérée

En août 2022, Nomad a perdu 190 millions de dollars en raison d'une erreur de mise à niveau du contrat. L'attaque a affecté 1251 adresses, dont les adresses ENS représentaient 38 % du montant total. Certains hackers éthiques ont exprimé leur volonté de restituer des fonds, mais un plan de remboursement spécifique n'a pas encore été déterminé.

Résumé

Les accidents de sécurité des bridges cross-chain fréquents nous rappellent que nous devons rester vigilants. Même les bridges cross-chain classés parmi les plus liquides ont déjà rencontré des problèmes de sécurité. En revanche, les projets avec un solide arrière-plan sont plus capables de récupérer des actifs ou d'effectuer des compensations en cas d'accidents de sécurité. La surveillance en temps réel et une réponse rapide sont essentielles pour prévenir les attaques, comme l'ont fait avec succès Hop Protocol et StarGate pour stopper les attaques potentielles. Les utilisateurs doivent être prudents lorsqu'ils choisissent un bridge cross-chain, en privilégiant les projets solides pour réduire les risques.