Revisão do incidente de ataque às pontes de cadeia cruzada: quase 2 mil milhões de dólares em ativos afetados, mais de 1,5 mil milhões de dólares já recuperados ou compensados.

Nos últimos anos, as pontes de cadeia cruzada tornaram-se um alvo importante para ataques de hackers. Como muitas novas blockchains emergentes carecem de ativos mainstream, é necessário obter financiamento através de pontes de cadeia cruzada de blockchains maduras como a Ethereum, o que torna as pontes de cadeia cruzada projetos intensivos em capital. No entanto, os frequentes incidentes de segurança também destacam a vulnerabilidade das pontes de cadeia cruzada. Este artigo irá revisar os dez principais incidentes de ataque a pontes de cadeia cruzada que ocorreram nos últimos anos e resumir as lições aprendidas.

ChainSwap: perda de 8 milhões de dólares, resolvida através da reemissão de tokens

Em julho de 2021, o ChainSwap sofreu dois ataques de hackers, resultando em perdas de cerca de 8 milhões de dólares. Mais de 20 projetos que utilizavam o ChainSwap para cadeia cruzada foram afetados. As investigações mostraram que os atacantes exploraram uma vulnerabilidade do protocolo na validação da eficácia das assinaturas. Como as perdas envolviam principalmente tokens de governança, vários projetos escolheram fazer um snapshot e emitir novos tokens para compensar os usuários afetados.

Poly Network: 610 milhões de dólares roubados, totalmente recuperados

Em agosto de 2021, a Poly Network sofreu um ataque de grande escala, envolvendo um montante de até 610 milhões de dólares. O atacante explorou uma vulnerabilidade na lógica de gerenciamento de permissões do contrato, conseguindo modificar o endereço do validador da cadeia alvo. Apesar da sofisticação da técnica de ataque, o hacker acabou devolvendo todos os fundos. A Poly Network mais tarde chamou esse hacker de "chapéu branco" e o convidou para ser o consultor de segurança da empresa.

Multichain: 6 milhões de dólares afetados, parte já paga

Em janeiro de 2022, a Multichain descobriu uma vulnerabilidade significativa que afetava vários tokens. Embora a vulnerabilidade tenha sido corrigida a tempo, cerca de 6 milhões de dólares em ativos foram roubados. A razão foi que o contrato não verificou corretamente a legalidade dos tokens inseridos pelo usuário. A equipe da Multichain recuperou quase 50% dos fundos roubados e propôs um plano de compensação.

QBridge: perda de 80 milhões de dólares, apenas 2% de indemnização

No final de janeiro de 2022, a ponte de cadeia cruzada QBridge do protocolo de empréstimo Qubit foi atacada, resultando em uma perda de cerca de 80 milhões de dólares. O atacante explorou uma vulnerabilidade no QBridge ao processar tokens da lista branca, conseguindo emitir uma grande quantidade de tokens xETH falsos na BSC. Atualmente, a maior parte dos fundos roubados ainda não foi compensada.

Meter.io: 4,4 milhões de dólares roubados, promete compensar com receitas futuras

Em fevereiro de 2022, a ponte de cadeia cruzada Meter Passport foi atacada, resultando em uma perda de 4,4 milhões de dólares. O problema estava na "suposição de confiança errada" no código-fonte original expandido da Meter. A equipe do projeto comprometeu-se a emitir um novo token PASS para compensação e a recomprar esses tokens com receitas futuras.

Ronin: 620 milhões de dólares roubados, já totalmente compensados

Em março de 2022, a cadeia Ronin por trás do Axie Infinity sofreu um grave incidente de segurança, resultando em perdas de cerca de 620 milhões de dólares. Os atacantes obtiveram acesso a sistemas críticos através de engenharia social. Embora os fundos roubados não tenham sido recuperados, a equipe de desenvolvimento Sky Mavis arrecadou 150 milhões de dólares em uma nova rodada de financiamento para compensar as perdas dos usuários.

Wormhole: 326 milhões de dólares em perdas, já pagos

Em fevereiro de 2022, o protocolo de cadeia cruzada Wormhole foi atacado, resultando em uma perda de cerca de 326 milhões de dólares. O atacante explorou uma vulnerabilidade na verificação de assinatura do contrato na rede Solana. A empresa-mãe da desenvolvedora, Jump Crypto, rapidamente injetou fundos equivalentes, permitindo que o Wormhole retornasse à operação normal.

EvoDeFi: perda estimada em mais de dez milhões de dólares, não tratada

Em junho de 2022, o DEX ValleySwap no ecossistema Oasis enfrentou uma grave desvalorização do USDT, devido à falta de liquidez da ponte de cadeia cruzada EVODeFi que utilizava. O valor exato das perdas não é claro, mas estima-se que esteja na casa das dezenas de milhões de dólares. As partes envolvidas estão ansiosas para se desvincular da situação, e as perdas dos usuários ainda não foram resolvidas até hoje.

Horizon: Quase 100 milhões de dólares foram roubados, um plano de compensação está sendo elaborado

Em junho de 2022, a ponte de cadeia cruzada Horizon da Harmony sofreu um ataque, resultando em uma perda de cerca de 100 milhões de dólares. Investigações preliminares indicam que o problema pode ter sido causado por um vazamento de chave privada. A equipe do projeto está em negociações com a comunidade para elaborar um plano de compensação.

Nomad: 190 milhões de dólares perdidos, em processo

Em agosto de 2022, a ponte de cadeia cruzada Nomad sofreu um grave incidente de segurança, resultando na exaustão de aproximadamente 190 milhões de dólares em liquidez. O problema originou-se de um erro de inicialização durante uma atualização de contrato. Até agora, não foi apresentada uma proposta clara de compensação, mas alguns hackers éticos já se manifestaram dispostos a devolver os fundos.

Resumo

A frequência de acidentes de segurança em pontes de cadeia cruzada destaca o alto risco nesta área. Mesmo as pontes de cadeia cruzada com alta classificação de liquidez já sofreram ataques, o que nos alerta de que qualquer projeto de cadeia cruzada pode enfrentar ameaças à segurança.

É importante notar que projetos com um forte respaldo geralmente conseguem recuperar ativos ou realizar compensações de forma mais eficaz após sofrerem um incidente de segurança. Por exemplo, projetos como Poly Network, Ronin Network e Wormhole, após sofrerem perdas significativas, foram capazes de garantir os direitos dos usuários através de várias maneiras.

Além disso, a capacidade de monitoramento em tempo real e resposta rápida por parte da equipe do projeto também é crucial. Alguns projetos, como o Hop Protocol e o StarGate, agiram rapidamente após detectar atividades suspeitas, conseguindo impedir ataques potenciais.

Estes casos lembram-nos que, ao escolher pontes de cadeia cruzada, além de considerar fatores técnicos, devemos também prestar atenção ao histórico da equipe do projeto, à força financeira e à capacidade de resposta a emergências, a fim de proteger ao máximo a segurança dos nossos ativos.