Огляд атаки на кросчейн міст: постраждало активів на понад 2 мільярди доларів, понад 1,5 мільярда вже повернуто або компенсовано

В останні роки кросчейн мости стали важливою мішенню для атак хакерів. Оскільки багато нових публічних блокчейнів не мають основних активів, їм потрібно отримувати фінансування через кросчейн мости з більш зрілих публічних блокчейнів, таких як Ethereum, що робить кросчейн мости проектами, що вимагають значних фінансових вкладень. Проте часті інциденти безпеки також підкреслюють вразливість кросчейн мостів. У цій статті буде оглянуто десять значних атак на кросчейн мости, які сталися за останні кілька років, та підсумовано отримані уроки.

ChainSwap: втрата 8 мільйонів доларів США, вирішена шляхом повторного випуску токенів

У липні 2021 року ChainSwap зазнав двох хакерських атак, внаслідок яких було завдано збитків приблизно на 8 мільйонів доларів. Понад 20 проектів, які використовували ChainSwap для крос-ланцюгового обміну, постраждали. Розслідування показало, що зловмисники скористалися вразливістю протоколу в перевірці дійсності підписів. Оскільки збитки в основному стосувалися токенів управління, кілька проектів вирішили зробити знімок і випустити нові токени для компенсації постраждалим користувачам.

Poly Network: вкрадено 6,1 мільярда доларів, повністю повернуто

У серпні 2021 року Poly Network зазнала масштабної атаки, обсяг якої становив 610 мільйонів доларів. Зловмисник скористався вразливістю в логіці управління правами контракту, успішно змінивши адресу валідатора цільового ланцюга. Незважаючи на майстерність атаки, хакер врешті-решт повернув усі кошти. Poly Network пізніше назвала цього хакера "білим капелюшком" і запросила його зайняти посаду головного консультанта з безпеки компанії.

Multichain: 600 тисяч доларів США постраждали, частина вже виплачена

У січні 2022 року Multichain виявила важливу уразливість, яка вплинула на кілька токенів. Хоча уразливість була своєчасно виправлена, приблизно 6 мільйонів доларів активів було вкрадено. Причина полягає в тому, що контракт не перевіряв законність введених токенів. Команда Multichain вже повернула близько 50% вкрадених коштів і запропонувала план компенсації.

QBridge: втрата 80 мільйонів доларів, компенсація лише 2%

В кінці січня 2022 року кросчейн міст QBridge кредитного протоколу Qubit зазнав атаки, в результаті якої було втрачено близько 80 мільйонів доларів. Атакуючий скористався вразливістю QBridge при обробці токенів зі списку білих, успішно емісуючи велику кількість фальшивих xETH токенів на BSC. На даний момент більшість вкрадених коштів ще не була відшкодована.

Meter.io: вкрадено 4,4 мільйона доларів, обіцяють виплатити з майбутніх доходів

У лютому 2022 року кросчейн міст Meter Passport зазнав атаки, внаслідок чого було завдано збитків на 4,4 мільйона доларів. Проблема полягала в "помилковому довірчому припущенні" в оригінальному коді Meter. Проект пообіцяв випустити новий токен PASS для компенсації і викупити ці токени за рахунок майбутніх доходів.

Ronin: вкрадено 620 мільйонів доларів, повна компенсація виплачена

У березні 2022 року Ronin-ланцюг, за яким стоїть Axie Infinity, зазнав серйозного інциденту безпеки, в результаті якого було втрачено близько 620 мільйонів доларів. Зловмисники за допомогою соціальної інженерії отримали ключовий доступ до системи. Хоча вкрадені кошти не вдалося повернути, команда розробників Sky Mavis залучила 150 мільйонів доларів у новому раунді фінансування для компенсації втрат користувачів.

Wormhole: збитки у 3,26 мільярда доларів, вже компенсовано

У лютому 2022 року кросчейн протокол Wormhole зазнав атаки, внаслідок чого було втрачено близько 326 мільйонів доларів. Зловмисники скористалися вразливістю в перевірці підписів у контракті на стороні Solana. Материнська компанія розробника Jump Crypto швидко інвестувала еквівалентну суму, щоб відновити нормальну роботу Wormhole.

EvoDeFi: оцінка збитків понад десять мільйонів доларів, не було оброблено

У червні 2022 року на DEX ValleySwap в екосистемі Oasis виникла серйозна девальвація USDT, причина якої полягала в недостатній ліквідності кросчейн мосту EVODeFi. Конкретна сума збитків невідома, але оцінюється на рівні десятків мільйонів доларів. Всі сторони поспішали відмежуватися, втрати користувачів до цього часу не були вирішені.

Horizon: майже 100 мільйонів доларів було вкрадено, розробляється план компенсації

У червні 2022 року офіційний кросчейн міст Harmony Horizon зазнав атаки, в результаті якої було втрачено близько 100 мільйонів доларів. Попереднє розслідування показало, що проблема могла бути викликана витоком приватного ключа. Команда проекту веде переговори з громадою щодо розробки плану компенсації.

Nomad: втрата 1.9 мільярда доларів, обробка триває

У серпні 2022 року кросчейн міст Nomad зазнав значної аварії безпеки, внаслідок чого було витрачено близько 190 мільйонів доларів ліквідності. Проблема виникла через помилку ініціалізації під час оновлення контракту. Наразі не було запропоновано чіткий план компенсації, але деякі білої шапки хакери висловили готовність повернути кошти.

Резюме

Часті інциденти безпеки кросчейн мостів підкреслюють високу ризикованість цієї сфери. Навіть кросчейн мости з високим рейтингом ліквідності зазнавали атак, що застерігає нас, що будь-який крос-ланцюг проект може стикатися з загрозами безпеці.

Варто зазначити, що проекти з потужним бекграундом після виникнення інцидентів безпеки зазвичай можуть ефективніше відновити активи або здійснити компенсацію. Наприклад, такі проекти, як Poly Network, Ronin Network та Wormhole, після отримання значних втрат змогли забезпечити права користувачів різними способами.

Крім того, важливими є можливості проекту щодо моніторингу в реальному часі та швидкої реакції. Деякі проекти, такі як Hop Protocol та StarGate, швидко вжили заходів після виявлення підозрілої діяльності, успішно зупинивши потенційні атаки.

Ці випадки нагадують нам, що при виборі кросчейн моста, окрім технічних факторів, слід звертати увагу на фон команди проекту, фінансову спроможність та здатність до реагування на надзвичайні ситуації, щоб максимально захистити власні активи.