bridges cross-chain du monde Blockchain : un domaine à haut risque avec des accidents de sécurité fréquents

Dans l'écosystème Blockchain, les ponts cross-chain, en tant qu'infrastructure fondamentale reliant différentes blockchains, ont été fréquemment la cible d'attaques de hackers ces dernières années. Étant donné que les ponts cross-chain gèrent généralement d'importants montants de fonds, toute vulnérabilité de sécurité peut entraîner des pertes considérables. Cet article examinera plusieurs incidents de sécurité majeurs récents concernant les ponts cross-chain, explorera leurs causes et conséquences, dans l'espoir d'offrir des leçons à l'industrie.

ChainSwap : pertes de plus de 8 millions de dollars suite à deux attaques

En juillet 2021, ChainSwap a subi deux attaques de hackers consécutives. La première a causé des pertes d'environ 800 000 dollars, la seconde a même atteint 8 millions de dollars, touchant plus de 20 projets utilisant ChainSwap pour des transactions cross-chain. Les enquêtes montrent que la raison de l'attaque réside dans le fait que le protocole n'a pas vérifié strictement la validité des signatures, permettant ainsi aux attaquants d'utiliser des signatures auto-générées pour effectuer des transactions.

Après l'accident, ChainSwap et plusieurs projets affectés ont choisi de faire un snapshot et de réémettre des tokens pour compenser les pertes des détenteurs et des fournisseurs de liquidités.

Poly Network : 6,1 milliards de dollars volés récupérés en totalité

En août 2021, le protocole cross-chain Poly Network a été victime d'une attaque par des hackers, entraînant une perte d'environ 610 millions de dollars d'actifs sur trois chaînes : Ethereum, Binance Smart Chain et Polygon. Les attaquants ont exploité une vulnérabilité dans la gestion des permissions du contrat pour remplacer avec succès l'adresse du validateur de la chaîne cible, leur permettant ainsi d'obtenir les droits de signature pour le transfert des actifs.

Bien que l'ampleur de l'attaque soit énorme, les hackers ont finalement choisi de restituer tous les fonds. Poly Network les a qualifiés de "hackers éthiques" et a même proposé de les embaucher en tant que conseillers en sécurité.

Multichain : 600 000 $ de pertes ont été partiellement remboursées

En janvier 2022, Multichain a découvert une vulnérabilité majeure affectant plusieurs tokens. Bien que l'équipe officielle ait rapidement émis un avertissement, près de 6 millions de dollars d'actifs ont tout de même été volés. L'analyse de sécurité montre que le problème vient du fait que le contrat ne vérifiait pas correctement la légitimité des tokens d'entrée des utilisateurs.

L'équipe Multichain a réussi à récupérer près de 50 % des fonds volés et a proposé un plan d'indemnisation. Cependant, l'indemnisation ne concerne que les utilisateurs ayant annulé l'autorisation de contrat dans le délai imparti, sans couvrir tous les victimes.

Ronin Network : 6,2 millions de dollars de pertes indemnisées intégralement

En mars 2022, la sidechain Ronin du jeu Axie Infinity a subi une importante attaque de hackers de 620 millions de dollars. Une enquête a révélé que les attaquants avaient obtenu le contrôle de plusieurs nœuds de validation par des moyens d'ingénierie sociale.

Bien que les fonds volés n'aient pas pu être récupérés, le développeur d'Axie Infinity, Sky Mavis, a rapidement finalisé un financement de 150 millions de dollars et a promis de rembourser intégralement les pertes des utilisateurs. Cet événement met en évidence l'importance de la force et de la réputation d'un projet dans la gestion des crises.

Wormhole : 3,26 millions de dollars de pertes récupérées instantanément

En février 2022, le protocole cross-chain Wormhole a subi une attaque de 326 millions de dollars en raison d'une vulnérabilité dans le contrat de la plateforme Solana. L'attaquant a exploité une erreur de validation de signature pour créer un grand nombre de jetons falsifiés sur Solana et retirer les actifs correspondants d'Ethereum.

Il est à noter que Jump Crypto, derrière Wormhole, a rapidement injecté des fonds équivalents, permettant au protocole de reprendre ses opérations en peu de temps et minimisant ainsi les pertes pour les utilisateurs.

Avertissement de sécurité

En examinant ces événements, nous pouvons tirer les leçons suivantes :

1. Les bridges cross-chain, en tant que domaine à haut risque, peuvent faire face à des menaces de sécurité, les utilisateurs doivent rester vigilants lors de leur utilisation.

2. La force technique, la solidité financière et la réputation de l'équipe du projet sont essentielles pour la gestion des incidents. Une équipe ayant un bon soutien en arrière-plan est généralement mieux à même de faire face à une crise, de fournir des compensations ou de récupérer des actifs.

3. Une surveillance en temps réel et un mécanisme de réponse rapide peuvent efficacement réduire les pertes. Certains projets ont réussi à empêcher des tentatives d'attaques, évitant ainsi des pertes majeures.

4. Les audits de sécurité des contrats, les signatures multiples et d'autres mesures de sécurité restent nécessaires, mais ne peuvent pas éliminer complètement les risques. L'optimisation continue de la sécurité et la correction des vulnérabilités sont également importantes.

5. Les utilisateurs doivent prêter attention aux antécédents de sécurité du projet et aux mesures prises, choisir des ponts cross-chain solides peut être plus sûr.

En somme, avec la croissance de la demande de cross-chain, la sécurité des bridges cross-chain continuera d'attirer l'attention. Les projets doivent constamment améliorer les normes de sécurité, tandis que les utilisateurs doivent faire preuve de prudence lors de leur utilisation et évaluer raisonnablement les risques.