Revue des incidents de sécurité des ponts cross-chain : plus de 1,9 milliard de dollars de fonds affectés, la plupart ont été récupérés ou indemnisés

Ces dernières années, avec le développement florissant de l'écosystème blockchain, les bridges cross-chain sont devenus une infrastructure essentielle pour connecter différentes chaînes publiques. Cependant, en raison de leur complexité et de l'ampleur des fonds, les bridges cross-chain sont également devenus des cibles prisées pour les attaques de hackers. Cet article passera en revue les dix principaux incidents de sécurité liés aux bridges cross-chain survenus récemment, impliquant un montant total de fonds de plus de 1,9 milliard de dollars, dont environ 1,55 milliard de dollars a été récupéré ou indemnisé.

ChainSwap : Deux attaques ont causé environ 8,8 millions de dollars de pertes

En juillet 2021, ChainSwap a subi deux attaques en l'espace de seulement 9 jours. La première a entraîné une perte d'environ 800 000 dollars, la seconde une perte d'environ 8 millions de dollars, affectant plus de 20 projets. La cause de l'incident était que le protocole n'avait pas vérifié rigoureusement la validité des signatures. Pour compenser les utilisateurs, ChainSwap et plusieurs projets touchés ont effectué un instantané et réémetté des jetons.

Poly Network : 6,1 milliards de dollars volés récupérés en totalité

Le 10 août 2021, Poly Network a subi un grave incident de sécurité, perdant environ 610 millions de dollars d'actifs sur Ethereum, Binance Smart Chain et Polygon. Les attaquants ont exploité une vulnérabilité de gestion des droits de contrat pour modifier l'adresse des validateurs de la chaîne cible. Finalement, les attaquants ont restitué tous les fonds, et Poly Network les a qualifiés de "hackers au chapeau blanc" et les a invités à devenir conseillers en sécurité.

Multichain : 6 millions de dollars de pertes dues à des vulnérabilités compensées en grande partie

En janvier 2022, Multichain a découvert une vulnérabilité importante affectant six types de jetons, entraînant un impact d'environ 6,04 millions de dollars d'actifs. La raison en est une validation incorrecte de la légitimité des jetons envoyés par les utilisateurs. L'équipe a récupéré près de 50 % des fonds volés et a indemnisé les utilisateurs ayant annulé leur autorisation en temps utile.

QBridge : 80 millions de dollars de pertes, seulement 2 % remboursés

Le 28 janvier 2022, le pont cross-chain QBridge de Qubit a été attaqué, entraînant une perte d'environ 80 millions de dollars. L'attaquant a exploité une faille dans le contrat pour émettre une grande quantité de xETH sans avoir déposé de jetons. Actuellement, l'utilisation de Qubit est extrêmement faible, et 98 % des fonds volés n'ont pas encore été remboursés.

Meter.io : 4,4 millions de dollars de pertes, promet de rembourser avec les bénéfices futurs

Le 6 février 2022, le pont cross-chain Meter Passport a été attaqué, entraînant une perte de 4,4 millions de dollars. La raison en est qu'il y avait une "hypothèse de confiance erronée" dans le code. Meter a décidé d'émettre un nouveau jeton PASS pour indemniser les utilisateurs et a promis de racheter avec les bénéfices futurs, mais cela n'a pas encore été mis en œuvre.

Ronin : 620 millions de dollars volés, remboursement intégral effectué

En mars 2022, la chaîne Ronin d'Axie Infinity a subi une attaque d'ingénierie sociale, entraînant une perte d'environ 620 millions de dollars. Les attaquants ont infiltré le système en falsifiant des offres d'emploi et ont contrôlé plusieurs nœuds de validation. Bien que les fonds volés n'aient pas pu être récupérés, le développeur Sky Mavis a levé 150 millions de dollars par le biais de financements pour indemniser les utilisateurs.

Wormhole : 326 millions de dollars de faille, les investisseurs comblent intégralement

Le 3 février 2022, Wormhole a été attaqué en raison d'une erreur de vérification de signature du contrat côté Solana, entraînant une perte d'environ 326 millions de dollars. L'investisseur Jump Crypto a rapidement comblé 120 000 ETH, permettant à Wormhole de reprendre un fonctionnement normal.

EvoDeFi : Estimation des pertes de plusieurs millions de dollars, non traitées

En juin 2022, le USDT sur un DEX écologique a subi un dépeg sévère, en raison d'un manque de liquidité sur la chaîne source du pont cross-chain EvoDeFi. Le montant exact des pertes est inconnu, mais il est estimé à plusieurs millions de dollars. Les parties concernées n'ont fourni aucune solution, et les pertes des utilisateurs ne peuvent pas être récupérées.

Horizon : près de 100 millions de dollars dérobés, le plan d'indemnisation est toujours en cours d'élaboration

Le 24 juin 2022, le pont cross-chain Horizon de Harmony a été attaqué, entraînant une perte d'environ 100 millions de dollars. Cela pourrait être dû à une fuite de clé privée. L'équipe du projet avait proposé de compenser par une émission de jetons en plusieurs fois, mais n'a pas reçu le soutien de la communauté et est actuellement en train de redéfinir le plan de compensation.

Nomad : 1,9 milliard de dollars de dommage de sécurité, une partie des fonds pourrait être récupérée

Le 2 août 2022, Nomad a perdu 190 millions de dollars en raison d'une erreur lors de la mise à niveau du contrat. Certains hackers éthiques ont exprimé leur volonté de restituer les fonds, mais le plan de remboursement précis n'a pas encore été déterminé.

Résumé

Les accidents de sécurité des ponts cross-chain nous rappellent la nécessité de rester en alerte. Même les projets leaders peuvent présenter des risques de sécurité. En comparaison, les projets ayant un solide bagage et des ressources financières importantes sont mieux en mesure de récupérer des actifs ou d'indemniser après un incident de sécurité. De plus, la surveillance en temps réel de l'équipe et une réponse rapide sont essentielles pour prévenir les attaques. Les utilisateurs doivent évaluer prudemment les risques lors de l'utilisation des ponts cross-chain et choisir des projets fiables.