ตรวจสอบการโจมตีสะพานข้ามโซ่ที่ใหญ่ที่สุดสิบแห่งในประวัติศาสตร์
มีบางอย่างเกิดขึ้นกับสะพานข้ามโซ่อีกครั้ง
เช้านี้ สะพานข้ามโซ่ BNB Chian BSC Token Hub ถูกโจมตี แฮ็กเกอร์ใช้ช่องโหว่ของ cross-chain bridge เพื่อให้ได้เงินจำนวน 2 ล้าน BNB ใน 2 ส่วน มูลค่ารวม 566 ล้านดอลลาร์สหรัฐ เกี่ยวกับขั้นตอนเฉพาะของเหตุการณ์นี้ Odaily มีอยู่แล้ว"การวิเคราะห์: ประมาณ 566 ล้านดอลลาร์สหรัฐในกระบวนการทั้งหมดของ BNB ถูกขโมย"มันถูกจัดเรียงในรายละเอียดในบทความ
รายงานรายงานกล่าวถึงในปริมาณการสูญเสียที่เกี่ยวข้องกับสะพานข้ามโซ่สูงถึง 2 พันล้านดอลลาร์สหรัฐ ซึ่งส่วนใหญ่จะเกิดขึ้นในปี 2565 คิดเป็น 69% ของข้อมูลอุตสาหกรรมทั้งหมดในปีนี้
ชื่อเรื่องรอง
1. Ronin Network
ในช่วงปลายเดือนมีนาคมของปีนี้ สะพานข้ามเครือข่ายของ Axie Infinity side chain Ronin Network ถูกโจมตี และความสูญเสียทั้งหมดสูงถึง 624 ล้านดอลลาร์สหรัฐ
จากการเปิดเผยของทุกฝ่ายในภายหลัง การโจมตีโรนินเป็นการโจมตีแบบวิศวกรรมสังคม อย่างแรก พนักงานของบริษัทปลอมได้ติดต่อพนักงานของ Axie Infinity และผู้พัฒนา Sky Mavis ของ Ronin ผ่านทาง LinkedIn และเชิญพวกเขาเข้าทำงาน จากนั้น พนักงานของ Sky Mavis ได้รับข้อเสนอปลอมหลังจากการสัมภาษณ์ หลังจากที่เขาดาวน์โหลดไฟล์ปลอม After the Offer ซอฟต์แวร์ของแฮ็กเกอร์แทรกซึมเข้าไปในระบบ Ronin และเข้ายึดโหนดตรวจสอบความถูกต้อง 4 จาก 9 โหนด จากนั้น แฮ็กเกอร์เข้าควบคุม Axie DAO ผ่าน Sky Mavis ซึ่งอนุญาตให้ Sky Mavis ลงนามในธุรกรรมต่างๆ ในนามของมัน ท้ายที่สุด แฮ็กเกอร์ก็ควบคุม ส่วนใหญ่ (5/9) ของโหนดตัวตรวจสอบความถูกต้อง และเครือข่ายทั้งหมด
ชื่อเรื่องรอง
2. Poly Network
เมื่อเดือนสิงหาคมปีที่แล้ว Poly Network ซึ่งเป็นโครงการการทำงานร่วมกันข้ามสายโซ่ถูกเจาะระบบอย่างกะทันหันและสูญเสียเงินไปมากถึง 610 ล้านดอลลาร์
เกี่ยวกับสาเหตุของเหตุการณ์นี้ จากการวิเคราะห์ของบริษัทรักษาความปลอดภัยหลายแห่ง สาเหตุของเหตุการณ์นี้คือ ผู้รักษาสัญญา EthCrossChainData สามารถแก้ไขได้โดยสัญญา EthCrossChainManager และฟังก์ชัน VerifyHeaderAndExecuteTx ของสัญญา EthCrossChainManager ผ่านฟังก์ชันผ่านฟังก์ชัน _executeCrossChainTx ป้อนข้อมูล
ชื่อเรื่องรอง
3. BSC Token Hub
นี่คือเหตุการณ์ดูชื่อเรื่องรอง。
4. Wormhole
ในเดือนกุมภาพันธ์ของปีนี้ Wormhole ซึ่งเป็นโครงการสะพานข้ามโซ่ที่สำคัญที่สุดในระบบนิเวศของ Solana ถูกโจมตีและสูญเสีย ETH ประมาณ 120,000 ETH มูลค่าประมาณ 326 ล้านดอลลาร์
กระบวนการเฉพาะของเหตุการณ์นี้คือผู้โจมตีสร้าง 0.1 Wormhole ETH บน Solana เป็นครั้งแรก ได้รับฟังก์ชัน "post_vaa" ในสัญญา "transfer message" จากนั้นข้ามการตรวจสอบลายเซ็นโดยการโหลดสัญญาภายนอก และสร้างพารามิเตอร์ที่ต้องการ โดยฟังก์ชัน Wormhole "complete_wrapped" จึงบรรลุการสร้างเหรียญที่ไม่มีที่สิ้นสุด ต้นเหตุของเรื่องทั้งหมดนี้คือ Wormhole กำลังใช้สัญญาระบบที่ล้าสมัยโดยไม่มีการอัปเกรดล่าสุดเป็นสัญญาที่พารามิเตอร์กำหนด
ชื่อเรื่องรอง
5. Nomad
เมื่อต้นเดือนสิงหาคมปีนี้ Nomad โปรโตคอลการสื่อสารข้ามสายถูกโจมตี ทำให้สภาพคล่องประมาณ 190 ล้านดอลลาร์สหรัฐในสะพานหมดลงอย่างรวดเร็ว
แตกต่างจากเหตุการณ์แฮ็คอื่น ๆ Nomad อาจกล่าวได้ว่าถูกกลุ่ม "แฮ็กเกอร์" หัวโล้น จากการวิเคราะห์ของกูรูด้านความปลอดภัยชื่อดัง samczsun อุบัติเหตุครั้งนี้เป็นเพราะ Nomad เริ่มต้นรูทที่เชื่อถือได้เป็น 0x00 ในการอัปเกรดสัญญา เพื่อให้ทุกคนสามารถใช้ธุรกรรมที่ถูกต้องเพื่อแทนที่ที่อยู่ของอีกฝ่ายด้วยที่อยู่ของตนเอง จากนั้น ส่งเงินสามารถถอนออกจากสะพานข้ามโซ่ได้หลังจากรายการออกอากาศ สถิติหลังเหตุการณ์แสดงให้เห็นว่ามีที่อยู่ ETH ทั้งหมด 1,251 รายการที่เกี่ยวข้องกับการโจมตีครั้งนี้
ชื่อเรื่องรอง
6. Harmony Horizon
ในเดือนมิถุนายนปีนี้ สะพาน Horizon ข้ามโซ่อย่างเป็นทางการของ Harmony ถูกโจมตี ทำให้สูญเสียเงินไปประมาณ 100 ล้านดอลลาร์
หลังจากนั้น Stephen Tse ผู้ก่อตั้ง Harmony ยอมรับว่าการโจมตีเกิดจากการรั่วไหลของคีย์ส่วนตัว เงินถูกขโมยจากฝั่ง Ethereum ของสะพานข้ามโซ่ และผู้โจมตีเข้าถึงและถอดรหัสคีย์เหล่านี้ได้สำเร็จ ซึ่งบางคีย์ถูกนำไปใช้ เพื่อลงนามการค้าที่ไม่ได้รับอนุญาต
ชื่อเรื่องรอง
7. Qubit
ในเดือนมกราคมของปีนี้ สะพานข้ามโซ่ QBridge ของข้อตกลงการให้กู้ยืม Qubit ถูกโจมตี ส่งผลให้สูญเสียเงินประมาณ 80 ล้านดอลลาร์
เกี่ยวกับสาเหตุของอุบัติเหตุเป็นเพราะสัญญาไม่ได้ตรวจสอบว่าเป็นที่อยู่ 0 อีกครั้งหรือไม่เมื่อโอนโทเค็นในรายการที่อนุญาต ซึ่งนำไปสู่การดำเนินการเติมเงินที่ควรได้รับการชาร์จผ่านฟังก์ชันการเติมเงินแบบเนทีฟ แต่สามารถดำเนินการตามปกติได้ โทเค็นอย่างราบรื่น เติมเงินตรรกะ
หลังจากเหตุการณ์ดังกล่าว Team Mound ทีมพัฒนาของ Qubit ประกาศว่าไม่สามารถดูแลได้อีกต่อไป จึงตัดสินใจยุบวง และโปรโตคอล Bunny และ Qubit ที่พัฒนาโดยทีมจะได้รับการจัดการโดย DAO ชุมชนจะมีสิทธิ์ที่เกี่ยวข้องทั้งหมดในการอัปเกรดสัญญา เปลี่ยนแปลงโครงสร้างค่าธรรมเนียม ฯลฯ
ชื่อเรื่องรอง
8. EvoDeFi Bridge
ในเดือนมิถุนายนของปีนี้ ผู้ใช้ระบบนิเวศของ Oasis พบว่า USDT และ USDC บน DEX ValleySwap บนเชนของพวกเขาไม่ได้ถูกผูกมัดอย่างจริงจัง หลังจากตรวจสอบเพิ่มเติม พวกเขาพบว่าต้นตอของสาเหตุคือสะพานข้ามโซ่ EvoDeFi ที่พวกเขาใช้อยู่ถูกสงสัยว่า ของการหล่อสินทรัพย์ของสะพานออกจากอากาศภายใต้สภาวะที่มีหลักประกันไม่เพียงพอ โดยเฉพาะอย่างยิ่ง EvoDeFi Bridge สร้างรายได้ 83 ล้าน USDT และ 33 ล้าน USDC บนเครือข่าย Oasis แต่มีเพียง 10.6 ล้าน USDT และ 10.2 ล้าน USDC เท่านั้นที่ถูกจดจำนอง
ตามสถิติจากฐานข้อมูลความปลอดภัย Rekt ความสูญเสียเฉพาะที่เกิดจากเหตุการณ์ที่เกิดขึ้นกับผู้ใช้มีมูลค่ารวมประมาณ 66 ล้านดอลลาร์สหรัฐ
ชื่อเรื่องรอง
9. THORChain
ตั้งแต่เดือนมิถุนายนถึงกรกฎาคมปีที่แล้ว โครงการสะพานข้ามโซ่ THORChain ถูกแฮ็ก 3 ครั้งติดต่อกัน โดยสูญเสียเงินทั้งหมดประมาณ 16 ล้านดอลลาร์สหรัฐ
คลัง"คลัง"มีการจัดสรรการชดเชยสินทรัพย์ ชุดที่สองได้รับการชำระคืนโดยการให้ยืมสินทรัพย์จาก Iron Bank ผ่าน RUNE เป็นหลักประกัน และชุดที่สามจะได้รับการชดเชยหลังจากที่เครือข่ายกลับมาใช้งานได้อีกครั้ง
ชื่อเรื่องรอง
10. pNetwork
เมื่อเดือนกันยายนที่ผ่านมา pNetwork โปรโตคอลแบบ cross-chain ถูกแฮ็กและสูญเสีย 277 pBTC (มูลค่ามากกว่า 13 ล้านดอลลาร์ ณ ราคาปัจจุบัน)
ในการตอบสนองต่อเหตุการณ์ดังกล่าว pNetwork ระบุว่าแฮ็กเกอร์ใช้ช่องโหว่ในโค้ดเบสและดึง pBTC ออกจากบล็อกเชน BSC ในขณะที่สัญญาในเชนอื่นๆ ไม่ได้รับผลกระทบ
สรุป
สรุป
สำหรับปัญหาด้านความปลอดภัยของสะพานข้ามโซ่ อุตสาหกรรมนี้เป็น "ความคิดโบราณ" มานานแล้ว
เหตุใดโปรโตคอลที่เกี่ยวข้องกับการข้ามสายโซ่จึงเสี่ยงต่อการถูกโจมตี สะพานข้ามโซ่ควรสมดุลระหว่างประสิทธิภาพและความปลอดภัยอย่างไร? เมื่อสถานการณ์ด้านความปลอดภัยทวีความรุนแรงมากขึ้น บทบาทต่างๆ เช่น ฝ่ายโครงการและผู้ใช้ควรใส่ใจในเรื่องใด หากเกิดอุบัติเหตุรุนแรงมีวิธีชดเชยอย่างไรจึงจะได้ผล? ก่อนหน้านี้ Odaily ได้สัมภาษณ์บริษัทรักษาความปลอดภัยที่มีชื่อเสียง เช่น PeckShield และ BlockSec ในประเด็นต่างๆ นี้ ผู้อ่านที่สนใจสามารถดูได้ที่บทความหนึ่งบทความหนึ่ง
