Cầu nối Cross-chain sự kiện an toàn tổng hợp: Gần 2 tỷ đô la Mỹ quỹ bị ảnh hưởng, một phần đã được thu hồi hoặc bồi thường
Trong những năm gần đây, với sự phát triển nhanh chóng của hệ sinh thái blockchain, cầu nối Cross-chain đã trở thành cơ sở hạ tầng quan trọng kết nối các công chain khác nhau, và do tính thanh khoản cao của nó, đã trở thành mục tiêu phổ biến của các cuộc tấn công của hacker. Bài viết này sẽ xem xét các sự kiện an ninh lớn gần đây xảy ra đối với cầu nối Cross-chain, phân tích nguyên nhân và thảo luận về tình hình xử lý tiếp theo.
ChainSwap: Hai cuộc tấn công gây thiệt hại khoảng 8,8 triệu đô la
Vào tháng 7 năm 2021, ChainSwap đã bị tấn công hai lần trong chỉ 9 ngày. Lần đầu tiên thiệt hại khoảng 800.000 USD, lần thứ hai thiệt hại khoảng 8 triệu USD, ảnh hưởng đến hơn 20 dự án sử dụng dịch vụ của nó. Nguyên nhân tấn công là do giao thức không xác minh chặt chẽ tính hợp lệ của chữ ký giao dịch. Do thiệt hại chính là token quản trị, nhiều dự án bị ảnh hưởng đã chọn thực hiện chụp nhanh và phát hành lại token để bù đắp cho các nhà đầu tư.
Poly Network: 6.1 triệu USD vốn bị đánh cắp đã được thu hồi toàn bộ
Vào tháng 8 năm 2021, giao thức chuỗi cross Poly Network đã trải qua cuộc tấn công DeFi lớn nhất vào thời điểm đó, với số tiền bị ảnh hưởng lên tới 610 triệu USD. Kẻ tấn công đã lợi dụng lỗ hổng quản lý quyền hợp đồng, thành công trong việc thay thế địa chỉ xác thực và chuyển tài sản. Tuy nhiên, hacker cuối cùng đã chọn trả lại toàn bộ số tiền, Poly Network cũng gọi đó là "hacker mũ trắng", và cho biết sẵn sàng thuê người này làm cố vấn an ninh.
Multichain:600 triệu USD tổn thất do lỗ hổng, đã được bồi thường một phần
Vào tháng 1 năm 2022, Multichain đã phát hiện một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều loại token. Khoảng 7962 địa chỉ người dùng bị ảnh hưởng, gây thiệt hại lên đến 6 triệu USD. Nguyên nhân là do hợp đồng có khuyết điểm trong việc xác thực tính hợp pháp của token mà người dùng truyền vào. Đội ngũ Multichain đã khôi phục gần 50% số tiền bị đánh cắp và đề xuất một kế hoạch bồi thường, nhưng chỉ giới hạn cho những người dùng đã thu hồi quyền truy cập trước ngày chỉ định.
QBridge: Thiệt hại 80 triệu USD, tiến triển bồi thường chậm.
Vào cuối tháng 1 năm 2022, cầu nối Cross-chain QBridge của giao thức cho vay Qubit đã bị tấn công, thiệt hại khoảng 80 triệu USD. Kẻ tấn công đã lợi dụng lỗ hổng không xác thực lại địa chỉ không (zero address) trong hợp đồng, đã tạo ra một lượng lớn token trên BSC và rút tiền mặt. Hiện tại, tỷ lệ sử dụng Qubit rất thấp, 98% số tiền bị đánh cắp vẫn chưa được bồi thường.
Meter.io: Lỗ 4.4 triệu USD, dự định bù đắp bằng lợi nhuận trong tương lai
Vào tháng 2 năm 2022, cầu nối Cross-chain Meter Passport đã bị tấn công do "giả định tin cậy sai lầm" trong mã, gây thiệt hại 4,4 triệu đô la. Đội ngũ dự án ban đầu đề xuất bồi thường bằng token MTRG, sau đó đã thay đổi thành phát hành token mới PASS và hứa hẹn sẽ mua lại bằng lợi nhuận trong tương lai, nhưng cho đến nay vẫn chưa có bồi thường thực chất.
Ronin: 620 triệu USD bị đánh cắp, đã hoàn trả đầy đủ
Vào tháng 3 năm 2022, chuỗi Ronin đứng sau Axie Infinity đã bị tấn công lớn trị giá 620 triệu đô la. Kẻ tấn công đã chiếm quyền kiểm soát nhiều nút xác thực thông qua các phương pháp kỹ thuật xã hội. Mặc dù số tiền bị đánh cắp không thể thu hồi, nhưng nhà phát triển Sky Mavis đã huy động được 150 triệu đô la thông qua tài trợ để bồi thường thiệt hại cho người dùng.
Wormhole: 3.26 triệu USD lỗ hổng, đã được bồi thường
Vào tháng 2 năm 2022, giao thức chuỗi cross Wormhole đã bị tấn công do lỗi xác minh chữ ký hợp đồng trên Solana, dẫn đến thiệt hại khoảng 326 triệu đô la. Jump Crypto đã nhanh chóng bơm vốn tương đương cho Wormhole để khôi phục hoạt động bình thường.
EvoDeFi: ước tính thiệt hại lên đến hàng chục triệu đô la, chưa được xử lý
Vào tháng 6 năm 2022, USDT trên DEX ValleySwap của hệ sinh thái Oasis đã bị mất giá nghiêm trọng, nguyên nhân là do cầu nối Cross-chain EvoDeFi sử dụng không đủ thanh khoản. Số tiền thiệt hại cụ thể chưa được biết, nhưng ước tính trong khoảng hàng chục triệu đô la. Hiện tại, các bên liên quan chưa cung cấp bất kỳ giải pháp nào, dường như nhóm dự án đã ngừng hoạt động.
Horizon: Gần 100 triệu USD thiệt hại, kế hoạch bồi thường vẫn đang được xây dựng.
Vào tháng 6 năm 2022, cầu nối Cross-chain chính thức Horizon của Harmony đã bị tấn công do rò rỉ khóa riêng, gây thiệt hại khoảng 100 triệu USD. Nhóm dự án ban đầu đã đề xuất bồi thường bằng cách phát hành thêm token theo từng đợt, nhưng không nhận được sự ủng hộ từ cộng đồng. Hiện tại, họ đang xây dựng lại kế hoạch bồi thường.
Nomad: 1.9 triệu đô la Mỹ bị đánh cắp, một phần tài sản có hy vọng được thu hồi
Vào tháng 8 năm 2022, Nomad đã bị đánh cắp 190 triệu USD do lỗi nâng cấp hợp đồng. Cuộc tấn công đã ảnh hưởng đến 1251 địa chỉ, trong đó địa chỉ ENS chiếm 38% tổng số tiền. Một số hacker mũ trắng đã bày tỏ sẵn sàng trả lại tiền, nhưng phía dự án vẫn chưa đưa ra kế hoạch bồi thường rõ ràng.
Tóm tắt
Cầu nối Cross-chain là lĩnh vực có rủi ro cao, ngay cả những dự án hàng đầu cũng không tránh khỏi sự cố an ninh. So với đó, những dự án có nền tảng mạnh và nguồn vốn dồi dào thường xử lý khủng hoảng tốt hơn, thường có thể thu hồi tài sản hoặc bồi thường để khắc phục tổn thất. Ngoài ra, việc giám sát hiệu quả theo thời gian thực và cơ chế phản ứng nhanh cũng là chìa khóa để ngăn ngừa và giảm thiểu thiệt hại từ tấn công. Người dùng khi chọn cầu nối Cross-chain nên đặc biệt cẩn trọng, ưu tiên xem xét những dự án có tính an toàn cao hơn và khả năng ứng phó rủi ro mạnh mẽ hơn.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
11 thích
Phần thưởng
11
7
Chia sẻ
Bình luận
0/400
LightningPacketLoss
· 5giờ trước
Nhiều cuộc tấn công như vậy, ngành bảo hiểm sắp phát tài.
Xem bản gốcTrả lời0
MetaMuskRat
· 6giờ trước
Chơi thì chơi, đừng phá cầu nhé.
Xem bản gốcTrả lời0
liquidation_watcher
· 6giờ trước
Lỗ hổng bảo mật vẫn chưa được khắc phục đã ra mắt?
Xem bản gốcTrả lời0
DaoGovernanceOfficer
· 6giờ trước
*thở dài* một thất bại thực nghiệm nữa của các giao thức xác thực chữ ký cơ bản
Xem bản gốcTrả lời0
LeverageAddict
· 6giờ trước
long một cái xô, làm là xong!
Xem bản gốcTrả lời0
CryptoWageSlave
· 6giờ trước
Những khoản lỗ này nghiêm trọng hơn nhiều so với việc nằm im.
Cầu nối Cross-chain phong ba: 2 tỷ đô la bị tấn công, một số dự án đã hoàn thành việc thu hồi và bồi thường.
Cầu nối Cross-chain sự kiện an toàn tổng hợp: Gần 2 tỷ đô la Mỹ quỹ bị ảnh hưởng, một phần đã được thu hồi hoặc bồi thường
Trong những năm gần đây, với sự phát triển nhanh chóng của hệ sinh thái blockchain, cầu nối Cross-chain đã trở thành cơ sở hạ tầng quan trọng kết nối các công chain khác nhau, và do tính thanh khoản cao của nó, đã trở thành mục tiêu phổ biến của các cuộc tấn công của hacker. Bài viết này sẽ xem xét các sự kiện an ninh lớn gần đây xảy ra đối với cầu nối Cross-chain, phân tích nguyên nhân và thảo luận về tình hình xử lý tiếp theo.
ChainSwap: Hai cuộc tấn công gây thiệt hại khoảng 8,8 triệu đô la
Vào tháng 7 năm 2021, ChainSwap đã bị tấn công hai lần trong chỉ 9 ngày. Lần đầu tiên thiệt hại khoảng 800.000 USD, lần thứ hai thiệt hại khoảng 8 triệu USD, ảnh hưởng đến hơn 20 dự án sử dụng dịch vụ của nó. Nguyên nhân tấn công là do giao thức không xác minh chặt chẽ tính hợp lệ của chữ ký giao dịch. Do thiệt hại chính là token quản trị, nhiều dự án bị ảnh hưởng đã chọn thực hiện chụp nhanh và phát hành lại token để bù đắp cho các nhà đầu tư.
Poly Network: 6.1 triệu USD vốn bị đánh cắp đã được thu hồi toàn bộ
Vào tháng 8 năm 2021, giao thức chuỗi cross Poly Network đã trải qua cuộc tấn công DeFi lớn nhất vào thời điểm đó, với số tiền bị ảnh hưởng lên tới 610 triệu USD. Kẻ tấn công đã lợi dụng lỗ hổng quản lý quyền hợp đồng, thành công trong việc thay thế địa chỉ xác thực và chuyển tài sản. Tuy nhiên, hacker cuối cùng đã chọn trả lại toàn bộ số tiền, Poly Network cũng gọi đó là "hacker mũ trắng", và cho biết sẵn sàng thuê người này làm cố vấn an ninh.
Multichain:600 triệu USD tổn thất do lỗ hổng, đã được bồi thường một phần
Vào tháng 1 năm 2022, Multichain đã phát hiện một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều loại token. Khoảng 7962 địa chỉ người dùng bị ảnh hưởng, gây thiệt hại lên đến 6 triệu USD. Nguyên nhân là do hợp đồng có khuyết điểm trong việc xác thực tính hợp pháp của token mà người dùng truyền vào. Đội ngũ Multichain đã khôi phục gần 50% số tiền bị đánh cắp và đề xuất một kế hoạch bồi thường, nhưng chỉ giới hạn cho những người dùng đã thu hồi quyền truy cập trước ngày chỉ định.
QBridge: Thiệt hại 80 triệu USD, tiến triển bồi thường chậm.
Vào cuối tháng 1 năm 2022, cầu nối Cross-chain QBridge của giao thức cho vay Qubit đã bị tấn công, thiệt hại khoảng 80 triệu USD. Kẻ tấn công đã lợi dụng lỗ hổng không xác thực lại địa chỉ không (zero address) trong hợp đồng, đã tạo ra một lượng lớn token trên BSC và rút tiền mặt. Hiện tại, tỷ lệ sử dụng Qubit rất thấp, 98% số tiền bị đánh cắp vẫn chưa được bồi thường.
Meter.io: Lỗ 4.4 triệu USD, dự định bù đắp bằng lợi nhuận trong tương lai
Vào tháng 2 năm 2022, cầu nối Cross-chain Meter Passport đã bị tấn công do "giả định tin cậy sai lầm" trong mã, gây thiệt hại 4,4 triệu đô la. Đội ngũ dự án ban đầu đề xuất bồi thường bằng token MTRG, sau đó đã thay đổi thành phát hành token mới PASS và hứa hẹn sẽ mua lại bằng lợi nhuận trong tương lai, nhưng cho đến nay vẫn chưa có bồi thường thực chất.
Ronin: 620 triệu USD bị đánh cắp, đã hoàn trả đầy đủ
Vào tháng 3 năm 2022, chuỗi Ronin đứng sau Axie Infinity đã bị tấn công lớn trị giá 620 triệu đô la. Kẻ tấn công đã chiếm quyền kiểm soát nhiều nút xác thực thông qua các phương pháp kỹ thuật xã hội. Mặc dù số tiền bị đánh cắp không thể thu hồi, nhưng nhà phát triển Sky Mavis đã huy động được 150 triệu đô la thông qua tài trợ để bồi thường thiệt hại cho người dùng.
Wormhole: 3.26 triệu USD lỗ hổng, đã được bồi thường
Vào tháng 2 năm 2022, giao thức chuỗi cross Wormhole đã bị tấn công do lỗi xác minh chữ ký hợp đồng trên Solana, dẫn đến thiệt hại khoảng 326 triệu đô la. Jump Crypto đã nhanh chóng bơm vốn tương đương cho Wormhole để khôi phục hoạt động bình thường.
EvoDeFi: ước tính thiệt hại lên đến hàng chục triệu đô la, chưa được xử lý
Vào tháng 6 năm 2022, USDT trên DEX ValleySwap của hệ sinh thái Oasis đã bị mất giá nghiêm trọng, nguyên nhân là do cầu nối Cross-chain EvoDeFi sử dụng không đủ thanh khoản. Số tiền thiệt hại cụ thể chưa được biết, nhưng ước tính trong khoảng hàng chục triệu đô la. Hiện tại, các bên liên quan chưa cung cấp bất kỳ giải pháp nào, dường như nhóm dự án đã ngừng hoạt động.
Horizon: Gần 100 triệu USD thiệt hại, kế hoạch bồi thường vẫn đang được xây dựng.
Vào tháng 6 năm 2022, cầu nối Cross-chain chính thức Horizon của Harmony đã bị tấn công do rò rỉ khóa riêng, gây thiệt hại khoảng 100 triệu USD. Nhóm dự án ban đầu đã đề xuất bồi thường bằng cách phát hành thêm token theo từng đợt, nhưng không nhận được sự ủng hộ từ cộng đồng. Hiện tại, họ đang xây dựng lại kế hoạch bồi thường.
Nomad: 1.9 triệu đô la Mỹ bị đánh cắp, một phần tài sản có hy vọng được thu hồi
Vào tháng 8 năm 2022, Nomad đã bị đánh cắp 190 triệu USD do lỗi nâng cấp hợp đồng. Cuộc tấn công đã ảnh hưởng đến 1251 địa chỉ, trong đó địa chỉ ENS chiếm 38% tổng số tiền. Một số hacker mũ trắng đã bày tỏ sẵn sàng trả lại tiền, nhưng phía dự án vẫn chưa đưa ra kế hoạch bồi thường rõ ràng.
Tóm tắt
Cầu nối Cross-chain là lĩnh vực có rủi ro cao, ngay cả những dự án hàng đầu cũng không tránh khỏi sự cố an ninh. So với đó, những dự án có nền tảng mạnh và nguồn vốn dồi dào thường xử lý khủng hoảng tốt hơn, thường có thể thu hồi tài sản hoặc bồi thường để khắc phục tổn thất. Ngoài ra, việc giám sát hiệu quả theo thời gian thực và cơ chế phản ứng nhanh cũng là chìa khóa để ngăn ngừa và giảm thiểu thiệt hại từ tấn công. Người dùng khi chọn cầu nối Cross-chain nên đặc biệt cẩn trọng, ưu tiên xem xét những dự án có tính an toàn cao hơn và khả năng ứng phó rủi ro mạnh mẽ hơn.