Обзор инцидента с безопасностью кроссчейн моста: более 1,9 миллиарда долларов США оказались под угрозой, большая часть из них уже возвращена или компенсирована

В последние годы, с бурным развитием экосистемы блокчейна, кроссчейн мосты стали важной инфраструктурой, соединяющей различные публичные блокчейны. Однако из-за своей сложности и объема средств, кроссчейн мосты также стали популярными целями для хакерских атак. В данной статье будет представлен обзор десяти недавних инцидентов безопасности кроссчейн мостов, общая сумма средств которых превышает 1,9 миллиарда долларов, из которых около 1,55 миллиарда долларов были возвращены или компенсированы.

ChainSwap: Два нападения привели к потерям около 8,8 миллиона долларов

В июле 2021 года ChainSwap за короткий срок в 9 дней подвергся двум атакам. В первый раз убытки составили около 800 000 долларов, во второй раз — около 8 000 000 долларов, пострадав более 20 проектов. Причиной инцидента стало то, что протокол не строго проверял действительность подписей. Чтобы компенсировать пользователям, ChainSwap и несколько пострадавших проектов провели снимок и повторно выпустили токены.

Poly Network: Полная компенсация после кражи 610 миллионов долларов

10 августа 2021 года Poly Network столкнулся с серьезным инцидентом безопасности, в результате чего было потеряно около 610 миллионов долларов активов на Ethereum, Binance Smart Chain и Polygon. Злоумышленники использовали уязвимость в управлении правами контрактов, изменив адреса валидаторов целевой цепи. В конечном итоге злоумышленники вернули все средства, и Poly Network назвал их "белыми хакерами" и пригласил их занять пост консультанта по безопасности.

Multichain: Убытки от уязвимости в размере 6 миллионов долларов почти полностью компенсированы

В январе 2022 года Multichain обнаружил важную уязвимость, которая затронула шесть токенов, что привело к потере активов на сумму около 604 тысячи долларов. Причиной стало некорректное подтверждение легитимности токенов, переданных пользователями. Команда вернула почти 50% украденных средств и компенсировала пользователям, которые своевременно отозвали свои разрешения.

QBridge: убытки в 80 миллионов долларов, компенсация только 2%

28 января 2022 года кроссчейн мост QBridge от Qubit подвергся атаке, в результате которой было потеряно около 80 миллионов долларов. Злоумышленники использовали уязвимость контракта для выпуска большого количества xETH без внесения каких-либо токенов. В настоящее время использование Qubit крайне низкое, 98% украденных средств еще не были компенсированы.

Meter.io: убытки в 4,4 миллиона долларов, обещание выплатить из будущих доходов

6 февраля 2022 года кроссчейн мост Meter Passport был атакован, что привело к убыткам в 4,4 миллиона долларов. Причиной стала "ошибочная предпосылка доверия" в коде. Meter решил выпустить новый токен PASS для компенсации пользователям и пообещал выкупить его за счет будущих доходов, но еще не начал выполнять это.

Ronin: 620 миллионов долларов украдено, полностью выплачено

В марте 2022 года цепочка Ronin игры Axie Infinity подверглась атаке социальной инженерии, в результате которой было потеряно около 620 миллионов долларов. Злоумышленники проникли в систему, подделав рабочие вакансии, и контролировали несколько узлов верификации. Хотя украденные средства не удалось вернуть, разработчики Sky Mavis привлекли 150 миллионов долларов финансирования для компенсации пользователям.

Wormhole: Уязвимость на 326 миллионов долларов, инвестиционные партнеры полностью компенсировали

3 февраля 2022 года Wormhole был атакован из-за ошибки в проверке подписи контракта на стороне Solana, что привело к убыткам примерно в 326 миллионов долларов. Инвестор Jump Crypto быстро восполнил 120 тысяч ETH, что позволило Wormhole восстановить нормальную работу.

EvoDeFi: ожидаемые убытки в десятки миллионов долларов, неурегулированные

В июне 2022 года на одном из экосистемных DEX USDT сильно отклонился от курса, причиной чего стал недостаток ликвидности на исходной цепочке кроссчейн моста EvoDeFi. Конкретная сумма убытков неизвестна, но ожидается, что она составит около десяти миллионов долларов. Соответствующие стороны не предоставили никаких решений, и убытки пользователей не могут быть возмещены.

Horizon: украдено почти 100 миллионов долларов, компенсационный план все еще разрабатывается

24 июня 2022 года кроссчейн мост Horizon от Harmony подвергся атаке, в результате которой было потеряно около 100 миллионов долларов. Возможно, это произошло из-за утечки приватного ключа. Команда проекта предлагала компенсировать потери путем постепенного выпуска токенов, но не получила поддержки сообщества, в настоящее время разрабатывается новый план компенсации.

Nomad: инцидент с безопасностью на 190 миллионов долларов, часть средств может быть возвращена

2 августа 2022 года Nomad потерял 190 миллионов долларов из-за ошибки при обновлении контракта. Некоторые белые хакеры выразили готовность вернуть средства, но конкретный план компенсации еще не определен.

Резюме

Кроссчейн мосты становятся все более частыми объектами безопасности, что напоминает нам о необходимости сохранять высокую бдительность. Даже у ведущих проектов могут быть скрытые угрозы безопасности. Относительно говоря, проекты с мощным фоном и сильными финансовыми возможностями имеют больше шансов восстановить активы или произвести компенсацию после инцидента безопасности. Кроме того, постоянный мониторинг команды и быстрая реакция имеют решающее значение для предотвращения атак. Пользователи должны осторожно оценивать риски при использовании кроссчейн мостов и выбирать надежные проекты.