Обзор инцидентов безопасности кроссчейн моста: затронуто более 1,9 миллиарда долларов, большинство уже компенсировано или возвращено

В экосистеме блокчейна существует множество публичных блокчейнов, но из-за того, что основные активы сосредоточены на нескольких цепочках, кроссчейн мосты становятся ключевой инфраструктурой для соединения различных цепочек. Однако, кроссчейн мосты, из-за их характеристики управления большим объемом средств, часто становятся мишенью для хакерских атак. В данной статье рассматриваются десять недавних инцидентов с безопасностью кроссчейн мостов, сумма вовлеченных средств превышает 1,9 миллиарда долларов, из которых около 1,55 миллиарда долларов были возвращены или компенсированы.

ChainSwap: убыток в 8 миллионов долларов, решение через переэмиссию токенов

В июле 2021 года ChainSwap в краткосрочной перспективе столкнулся с двумя атаками, вторая из которых привела к потерям около 8 миллионов долларов и затронула более 20 проектов, использующих его услуги. Причиной инцидента стало то, что протокол не строго проверял действительность подписи. ChainSwap и затронутые проекты компенсировали владельцам убытки путем создания снимков и повторной эмиссии токенов.

Poly Network: 610 миллионов долларов украдено, все возвращено

В августе 2021 года Poly Network подверглась атаке, в результате которой было потеряно около 610 миллионов долларов активов на Ethereum, Binance Smart Chain и Polygon. Злоумышленники использовали уязвимость в управлении правами контракта и успешно заменили адреса валидаторов целевой цепи. Несмотря на то, что метод атаки был сложным, хакер в конечном итоге вернул все средства, и Poly Network даже пригласила его в качестве консультанта по безопасности.

Multichain: 6 миллионов долларов пострадавших, частично выплачено

В январе 2022 года Multichain обнаружил серьезную уязвимость, затрагивающую множество токенов. Несмотря на то, что уязвимость была устранена, около 6,04 миллиона долларов активов было похищено. Причиной этого стало упущение в проверке пользовательского ввода в контракте. Multichain вернул почти половину похищенных средств и компенсировал пользователям, которые своевременно отменили авторизацию.

QBridge: убытки в 80 миллионов долларов, лишь небольшая компенсация

В конце января 2022 года кроссчейн мост QBridge от Qubit был атакован, в результате чего было потеряно около 80 миллионов долларов. Атакующие использовали уязвимость контракта, которая не проверяла нулевой адрес повторно, чтобы произвольно создать большое количество токенов на BSC. В настоящее время использование Qubit крайне низкое, большая часть украденных средств все еще не была компенсирована.

Meter.io: убытки в 4,4 миллиона долларов, обещание компенсировать за счет будущих доходов

В феврале 2022 года кроссчейн мост Meter Passport был атакован из-за "ошибочного предположения о доверии" в коде, что привело к убыткам в 4,4 миллиона долларов. Meter решил выпустить новый токен PASS для компенсации пользователям и пообещал выкупить его за счет будущих доходов, но на данный момент выкуп еще не начался.

Ronin: 620 миллионов долларов украдено, полностью выплачено

В марте 2022 года цепочка Ronin игры Axie Infinity понесла значительные потери в размере 620 миллионов долларов. Атакующие получили доступ к системе с помощью социальной инженерии. Хотя украденные средства не удалось вернуть, разработчик Sky Mavis привлек 150 миллионов долларов в рамках нового раунда финансирования для компенсации пользователям.

Wormhole: потеря в 326 миллионов долларов, компенсация выплачена

В феврале 2022 года Wormhole подвергся атаке из-за уязвимости в проверке контрактов на Solana, что привело к убыткам примерно в 326 миллионов долларов США. Jump Crypto быстро инвестировала эквивалентные средства в Wormhole, обеспечив безопасность активов пользователей.

EvoDeFi: оценочные убытки более десяти миллионов долларов, не были обработаны

В июне 2022 года на DEX ValleySwap в экосистеме Oasis произошел серьезный разрыв привязки USDT, причиной чего стало недостаточное обеспечение ликвидности кроссчейн моста EvoDeFi. Конкретная сумма убытков неизвестна, но оценивается в десятки миллионов долларов. Связанные стороны не предоставили никаких решений, и пользователи до сих пор не получили компенсацию за понесенные убытки.

Horizon: убытки близкие к 100 миллионам долларов, план компенсации разрабатывается.

В июне 2022 года кроссчейн мост Horizon от Harmony был атакован, в результате чего был потерян около 100 миллионов долларов. Основатель признал, что это могло произойти из-за утечки приватного ключа. В настоящее время Harmony обсуждает с сообществом разработку разумного плана компенсации.

Nomad: 190 миллионов долларов украдено, часть средств может быть возвращена

В августе 2022 года Nomad потерял 190 миллионов долларов из-за ошибки обновления контракта. Атака затронула 1251 адрес, из которых адреса ENS составили 38% от общей суммы. Некоторые белые хакеры выразили готовность вернуть средства, но конкретный план компенсации еще не определен.

Итоги

Кроссчейн мосты подвергаются частым инцидентам безопасности, что напоминает нам о необходимости быть на чеку. Даже кроссчейн мосты с высоким рейтингом ликвидности когда-либо сталкивались с проблемами безопасности. В сравнении, проекты с сильным фоном обладают большей способностью восстанавливать активы или компенсировать убытки при возникновении инцидентов безопасности. Непрерывный мониторинг и быстрая реакция имеют решающее значение для предотвращения атак, как это успешно делали Hop Protocol и StarGate, которые смогли предотвратить потенциальные атаки. Пользователям следует быть осторожными при выборе кроссчейн мостов, отдавая предпочтение сильным проектам для снижения рисков.