Điểm lại mười vụ tấn công cầu xuyên chuỗi lớn nhất trong lịch sử
Một lần nữa lại xảy ra chuyện với cây cầu chéo.
Sáng nay, cầu nối liên chuỗi BNB Chian BSC Token Hub đã bị tấn công. Tin tặc đã sử dụng lỗ hổng cầu nối chéo để lấy tổng cộng 2 triệu BNB chia thành hai phần, với tổng giá trị là 566 triệu đô la Mỹ. Về diễn biến cụ thể của vụ việc này, Odaily đã có"Phân tích: Khoảng 566 triệu đô la Mỹ trong toàn bộ quá trình BNB bị đánh cắp"Nó đã được sắp xếp chi tiết trong bài viết.
Báo cáoBáo cáođề cập trongSố tiền thiệt hại liên quan đến cầu nối chuỗi chéo đã lên tới 2 tỷ đô la Mỹ, phần lớn sẽ xảy ra trong năm 2022, chiếm 69% tổng dữ liệu ngành trong năm nay.
tiêu đề phụ
1. Ronin Network
Vào cuối tháng 3 năm nay, cây cầu xuyên chuỗi của Mạng Ronin chuỗi bên Axie Infinity đã bị tấn công và tổng thiệt hại lên tới 624 triệu đô la Mỹ.
Theo tiết lộ sau đó của tất cả các bên, cuộc tấn công vào Ronin là một cuộc tấn công kỹ thuật xã hội. Đầu tiên, nhân viên của một công ty giả mạo đã liên hệ với nhân viên của Axie Infinity và nhà phát triển Ronin Sky Mavis qua LinkedIn và mời họ làm việc; sau đó, một nhân viên của Sky Mavis đã nhận được lời đề nghị giả mạo sau một cuộc phỏng vấn, sau khi anh ta tải xuống tệp After the Offer giả mạo, phần mềm tin tặc đã xâm nhập vào hệ thống Ronin và chiếm lấy 4 trong số 9 nút xác thực; sau đó, tin tặc đã kiểm soát Axie DAO thông qua Sky Mavis, công ty đã cho phép Sky Mavis ký nhiều giao dịch thay mặt nó; Cuối cùng, tin tặc đã kiểm soát đại đa số (5/9) các nút trình xác thực và sau đó là toàn bộ mạng.
tiêu đề phụ
2. Poly Network
Tháng 8 năm ngoái, Poly Network, một dự án khả năng tương tác xuyên chuỗi, bất ngờ bị tấn công và mất tới 610 triệu USD.
Về nguyên nhân của sự cố này, dựa trên phân tích của một số công ty bảo mật, nguyên nhân của sự cố này là do người quản lý hợp đồng EthCrossChainData có thể bị hợp đồng EthCrossChainManager sửa đổi và chức năng verifyHeaderAndExecuteTx của hợp đồng EthCrossChainManager có thể thực thi người dùng- đã truyền chức năng thông qua chức năng _executeCrossChainTx.dữ liệu đầu vào.
tiêu đề phụ
3. BSC Token Hub
Đây là sự kiện, xemtiêu đề phụ。
4. Wormhole
Vào tháng 2 năm nay, Wormhole, dự án cầu nối chuỗi quan trọng nhất trong hệ sinh thái Solana, đã bị tấn công và mất khoảng 120.000 ETH, trị giá khoảng 326 triệu USD.
Quá trình cụ thể của vụ việc là kẻ tấn công đã đúc 0,1 ETH lỗ sâu lần đầu tiên trên Solana, lấy chức năng "post_vaa" trong hợp đồng "tin nhắn chuyển khoản", sau đó bỏ qua hợp đồng kiểm tra chữ ký bằng cách tải một hợp đồng bên ngoài, tạo ra một tham số cần thiết bởi chức năng Wormhole "complete_wrapped", do đó đạt được khả năng đúc vô hạn. Nguyên nhân gốc rễ của tất cả những điều này là do Wormhole đã sử dụng một hợp đồng hệ thống lỗi thời mà không có bản nâng cấp mới nhất của hợp đồng theo yêu cầu của các tham số.
tiêu đề phụ
5. Nomad
Vào đầu tháng 8 năm nay, giao thức liên lạc xuyên chuỗi Nomad đã bị tấn công, khiến thanh khoản khoảng 190 triệu đô la Mỹ trên cây cầu nhanh chóng cạn kiệt.
Không giống như những vụ hack khác, có thể nói Nomad đã bị một nhóm "hacker" bêu riếu. Theo phân tích của bậc thầy bảo mật nổi tiếng samczsun, tai nạn này là do Nomad đã khởi tạo gốc đáng tin cậy thành 0x00 trong một bản nâng cấp hợp đồng, để bất kỳ ai cũng có thể sử dụng giao dịch hợp lệ để thay thế địa chỉ của bên kia bằng địa chỉ của chính họ, sau đó gửi Tiền có thể được rút từ cầu liên chuỗi sau khi giao dịch được phát sóng. Thống kê sau sự kiện cho thấy tổng cộng 1.251 địa chỉ ETH đã tham gia vào cuộc tấn công này.
tiêu đề phụ
6. Harmony Horizon
Vào tháng 6 năm nay, cây cầu xuyên chuỗi chính thức của Harmony là Horizon đã bị tấn công, gây thiệt hại khoảng 100 triệu USD.
Sau đó, người sáng lập Harmony, Stephen Tse thừa nhận rằng cuộc tấn công là do rò rỉ khóa riêng tư, tiền đã bị đánh cắp từ phía Ethereum của cầu nối chuỗi chéo và kẻ tấn công đã truy cập và giải mã thành công một số khóa này, một số trong số đó đã được sử dụng để ký giao dịch trái phép.
tiêu đề phụ
7. Qubit
Vào tháng 1 năm nay, cây cầu xuyên chuỗi QBridge của thỏa thuận cho vay Qubit đã bị tấn công, dẫn đến thiệt hại khoảng 80 triệu đô la.
Về nguyên nhân vụ tai nạn là do hợp đồng không kiểm tra lại địa chỉ 0 khi chuyển token trong danh sách trắng, dẫn đến thao tác nạp tiền lẽ ra phải được nạp qua chức năng nạp tiền gốc nhưng lại có thể diễn ra bình thường. mã thông báo một cách trơn tru. Nạp tiền logic.
Sau sự cố, nhóm phát triển của Qubit là Team Mound đã thông báo rằng nó không thể duy trì được nữa nên quyết định giải tán, đồng thời các giao thức Bunny và Qubit do nhóm phát triển sẽ do DAO quản lý. Cộng đồng sẽ có tất cả các quyền liên quan để nâng cấp hợp đồng, thay đổi cấu trúc phí, v.v.
tiêu đề phụ
8. EvoDeFi Bridge
Vào tháng 6 năm nay, người dùng hệ sinh thái Oasis đã phát hiện ra rằng USDT và USDC trên DEX ValleySwap trên chuỗi của họ không được neo một cách nghiêm trọng. Sau khi điều tra thêm, họ phát hiện ra rằng nguyên nhân sâu xa là cầu liên chuỗi EvoDeFi Bridge mà họ dựa vào bị nghi ngờ đúc tài sản bắc cầu ra khỏi không khí mỏng trong tình trạng không đủ tài sản thế chấp. Cụ thể, EvoDeFi Bridge đã tạo ra 83 triệu USDT và 33 triệu USDC trên chuỗi Oasis, nhưng chỉ có 10,6 triệu USDT và 10,2 triệu USDC được thế chấp.
Theo thống kê từ cơ sở dữ liệu bảo mật Rekt, thiệt hại cụ thể do sự cố gây ra cho người dùng lên tới khoảng 66 triệu đô la Mỹ.
tiêu đề phụ
9. THORChain
Từ tháng 6 đến tháng 7 năm ngoái, dự án cầu xuyên chuỗi THORChain đã bị tấn công ba lần liên tiếp, với tổng thiệt hại khoảng 16 triệu đô la Mỹ.
kho bạc"kho bạc"Khoản bồi thường tài sản được phân bổ, đợt thứ hai được hoàn trả bằng cách cho vay tài sản từ Ngân hàng Sắt thông qua RUNE làm tài sản thế chấp và đợt thứ ba sẽ được bồi thường sau khi mạng được vận hành lại.
tiêu đề phụ
10. pNetwork
Tháng 9 năm ngoái, giao thức chuỗi chéo pNetwork đã bị hack và 277 pBTC (trị giá hơn 13 triệu đô la theo giá hiện tại) đã bị mất.
Để đối phó với vụ việc, pNetwork tuyên bố rằng tin tặc đã khai thác lỗ hổng trong cơ sở mã của nó và trích xuất pBTC từ chuỗi khối BSC, trong khi các hợp đồng trên các chuỗi khác không bị ảnh hưởng.
bản tóm tắt
bản tóm tắt
Liên quan đến các vấn đề bảo mật của các cầu xuyên chuỗi, ngành công nghiệp này từ lâu đã trở thành một "sáo rỗng".
Tại sao các giao thức liên quan đến chuỗi chéo rất dễ bị tấn công? Cầu nối chuỗi chéo nên cân bằng hiệu quả và bảo mật như thế nào? Khi tình hình bảo mật ngày càng trở nên nghiêm trọng, các vai trò khác nhau như các bên dự án và người dùng nên chú ý đến điều gì? Nếu một tai nạn nghiêm trọng xảy ra, phương tiện bồi thường hiệu quả là gì? Trước đó, Odaily đã phỏng vấn các công ty bảo mật nổi tiếng như PeckShield và BlockSec về loạt vấn đề này.một bài báo.một bài báo.
