Revisão de incidentes de segurança de pontes de cadeia cruzada: envolve mais de 1,9 bilhões de dólares, a maioria já foi compensada ou recuperada

Existem várias blockchains no ecossistema de blockchain, mas devido à concentração de ativos de grande relevância em poucas cadeias, as pontes de cadeia cruzada tornaram-se a infraestrutura chave para conectar diferentes cadeias. No entanto, as pontes de cadeia cruzada, devido à sua característica de gerenciar grandes quantidades de fundos, frequentemente se tornam alvo de ataques hackers. Este artigo revisa os dez principais incidentes de segurança de pontes de cadeia cruzada que ocorreram recentemente, envolvendo um total de fundos superior a 1,9 mil milhões de dólares, dos quais cerca de 1,55 mil milhões de dólares foram recuperados ou compensados.

ChainSwap: 8 milhões de dólares em perdas, resolvidas através da reemissão de tokens

Em julho de 2021, a ChainSwap sofreu dois ataques em um curto período, sendo que o segundo resultou em uma perda de cerca de 8 milhões de dólares, afetando mais de 20 projetos que utilizavam seus serviços. A causa do incidente foi a falta de verificação rigorosa da validade das assinaturas no protocolo. A ChainSwap e os projetos afetados compensaram os detentores por meio de snapshots e reemissão de tokens.

Poly Network: 610 milhões de dólares foram roubados, todos recuperados

Em agosto de 2021, a Poly Network foi atacada, resultando na perda de aproximadamente 610 milhões de dólares em ativos nas redes Ethereum, Binance Smart Chain e Polygon. Os atacantes exploraram uma vulnerabilidade na gestão de permissões do contrato, conseguindo substituir o endereço do validador da cadeia alvo. Apesar da sofisticação da técnica de ataque, os hackers acabaram devolvendo todos os fundos, e a Poly Network chegou a convidá-los para serem consultores de segurança.

Multichain: 600 mil dólares afetados, já foi parcialmente pago

Em janeiro de 2022, a Multichain descobriu uma vulnerabilidade significativa que afetava vários tokens. Embora a vulnerabilidade tenha sido corrigida, cerca de 6,04 milhões de dólares em ativos foram roubados. A razão foi uma falha na verificação da entrada do usuário no contrato. A Multichain recuperou quase metade dos fundos roubados e compensou os usuários que revogaram a autorização a tempo.

QBridge: perda de 80 milhões de dólares, apenas uma pequena compensação

No final de janeiro de 2022, a ponte de cadeia cruzada QBridge da Qubit foi atacada, resultando em perdas de cerca de 80 milhões de dólares. Os atacantes exploraram uma vulnerabilidade no contrato que não verificava novamente o endereço zero, criando uma grande quantidade de tokens do nada na BSC. Atualmente, a taxa de utilização da Qubit é extremamente baixa, e a maior parte dos fundos roubados ainda não foi compensada.

Meter.io: perda de 4,4 milhões de dólares, compromete-se a compensar com receitas futuras

Em fevereiro de 2022, a ponte de cadeia cruzada Meter Passport foi atacada devido a um "erro de suposição de confiança" no código, resultando em uma perda de 4,4 milhões de dólares. A Meter decidiu emitir um novo token PASS para compensar os usuários e prometeu recomprá-lo com os lucros futuros, mas até agora a recompra não começou.

Ronin: 620 milhões de dólares roubados, já totalmente compensados

Em março de 2022, a cadeia Ronin do Axie Infinity sofreu uma perda significativa de 620 milhões de dólares. Os atacantes obtiveram acesso ao sistema por meio de engenharia social. Embora os fundos roubados não tenham sido recuperados, os desenvolvedores Sky Mavis levantaram 150 milhões de dólares em uma nova rodada de financiamento para compensar os usuários.

Wormhole: 326 milhões de dólares em perdas, já compensados

Em fevereiro de 2022, o Wormhole foi atacado devido a uma vulnerabilidade na validação de contratos na rede Solana, resultando em uma perda de cerca de 326 milhões de dólares. A Jump Crypto rapidamente injetou fundos equivalentes no Wormhole, garantindo a segurança dos ativos dos usuários.

EvoDeFi: perdas estimadas em mais de dez milhões de dólares, não tratadas

Em junho de 2022, o DEX ValleySwap no ecossistema Oasis sofreu uma grave desvalorização do USDT, devido à falta de liquidez da ponte de cadeia cruzada EvoDeFi que utilizava. O valor exato da perda é desconhecido, mas estima-se que esteja na casa dos milhões de dólares. As partes relevantes não forneceram nenhuma solução e os usuários ainda não foram compensados pelas perdas.

Horizon: Perda de quase 100 milhões de dólares, plano de compensação em elaboração

Em junho de 2022, a ponte de cadeia cruzada Horizon da Harmony foi atacada, resultando em uma perda de cerca de 100 milhões de dólares. O fundador admitiu que isso pode ter sido causado por um vazamento de chave privada. Atualmente, a Harmony está discutindo com a comunidade a elaboração de um plano de compensação razoável.

Nomad: 190 milhões de dólares foram roubados, parte dos fundos pode ser recuperada

Em agosto de 2022, o Nomad sofreu um roubo de 190 milhões de dólares devido a um erro na atualização do contrato. O ataque afetou 1251 endereços, dos quais os endereços ENS representaram 38% do valor total. Alguns hackers éticos expressaram disposição para devolver os fundos, mas o plano de compensação específico ainda não foi determinado.

Resumo

Os acidentes de segurança das pontes de cadeia cruzada frequentes lembram-nos da necessidade de manter vigilância. Mesmo as pontes de cadeia cruzada com classificação de liquidez mais alta já enfrentaram problemas de segurança. Em comparação, projetos com um forte suporte de fundo são mais capazes de recuperar ativos ou compensar em caso de acidentes de segurança. Monitorização em tempo real e resposta rápida são cruciais para prevenir ataques, como o Hop Protocol e o StarGate conseguiram impedir ataques potenciais. Os usuários devem ser cautelosos ao escolher pontes de cadeia cruzada, priorizando projetos com forte capacidade para reduzir riscos.