кросчейн міст у світі Блокчейн: високо ризикована сфера з частими аваріями безпеки

У екосистемі Блокчейн, кросчейн міст, як важлива інфраструктура, що з'єднує різні публічні ланцюги, в останні роки часто ставали мішенню для хакерських атак. Оскільки кросчейн міст зазвичай управляє великою кількістю коштів, у разі виявлення уразливостей безпеки можуть виникнути величезні втрати. У цій статті буде оглянуто кілька значних інцидентів безпеки кросчейн міст, обговорено їх причини та наслідки, щоб надати галузі приклад для наслідування.

ChainSwap: втрата понад 8 мільйонів доларів через два напади

У липні 2021 року ChainSwap зазнав двох хакерських атак. Перша призвела до збитків приблизно в 800 000 доларів, друга ж завдала збитків у 8 000 000 доларів, вплинувши на більше 20 проектів, які використовували ChainSwap для крос-ланцюга. Розслідування показало, що причиною атаки стало те, що протокол не суворо перевіряв дійсність підписів, що дозволило зловмисникам використовувати самостійно згенеровані підписи для проведення транзакцій.

Після інциденту ChainSwap та кілька постраждалих проєктів вирішили зробити знімок та повторно випустити токени, щоб компенсувати збитки власникам та постачальникам ліквідності.

Poly Network: 6,1 мільярда доларів США було вкрадено, але повністю повернуто

У серпні 2021 року крос-ланцюгова протокол Poly Network зазнав хакерської атаки, в результаті якої на трьох ланцюгах: Ethereum, Binance Smart Chain та Polygon було втрачено близько 610 мільйонів доларів активів. Зловмисники скористалися вразливістю управління правами контракту, успішно замінивши адреси валідаторів цільового ланцюга, що дозволило їм отримати права на підписання передачі активів.

Хоча атака була величезною, хакер врешті-решт вирішив повернути всі кошти. Poly Network назвав його "білим капелюшком" і навіть запропонував йому стати головним консультантом з безпеки.

Multichain: частково відшкодовано втрати у 6000000 доларів США

У січні 2022 року Multichain виявила суттєву вразливість, що вплинула на кілька токенів. Незважаючи на те, що офіційне попередження було видано вчасно, було вкрадено близько 6 мільйонів доларів активів. Аналіз безпеки показує, що проблема полягала у неправильній перевірці легітимності введеного користувачем токена.

Команда Multichain успішно повернула майже 50% вкрадених коштів і запропонувала план компенсації. Але компенсація надається лише користувачам, які відкликали авторизацію контракту в установлені терміни, що не покриває всіх постраждалих.

Ronin Network: Втрата 620 мільйонів доларів компенсована в повному обсязі

У березні 2022 року боковий ланцюг гри Axie Infinity зазнав значної атаки хакерів на суму 620 мільйонів доларів. Розслідування показало, що зловмисники отримали контроль над кількома валідаційними вузлами за допомогою соціальної інженерії.

Хоча вкрадені кошти не вдалося повернути, розробник Axie Infinity Sky Mavis швидко завершив фінансування в розмірі 150 мільйонів доларів і пообіцяв повністю компенсувати втрати користувачів. Ця подія підкреслює важливість сили та репутації проекту у вирішенні криз.

Wormhole: миттєве покриття збитків у 326 мільйонів доларів

У лютому 2022 року крос-ланцюгова протокол Wormhole зазнав атаки на 326 мільйонів доларів через вразливість контракту на стороні Solana. Зловмисник використав помилку перевірки підпису, щоб створити велику кількість підроблених токенів на Solana та вилучити відповідні активи з Ethereum.

Варто зазначити, що Jump Crypto, що стоїть за Wormhole, швидко вклала рівну суму коштів, що дозволило протоколу відновити роботу за короткий час і мінімізувати втрати користувачів.

Безпекові поради

Оглядаючи ці події, ми можемо зробити такі висновки:

1. Кросчейн міст як високоризикова сфера, будь-який проект може стикатися з загрозами безпеці, користувачі повинні бути обережними під час використання.

2. Технічна потужність, фінансова спроможність та репутація команди проєкту є критично важливими для вирішення інцидентів. Команда з сильним бекграундом зазвичай краще справляється з кризами, надає компенсацію або повертає активи.

3. Своєчасний моніторинг та швидка реакція можуть ефективно знизити втрати. Деякі проекти успішно зупинили спроби атак, уникнувши значних втрат.

4. Аудит безпеки контрактів, мультипідпис та інші заходи безпеки все ще є необхідними, але не можуть повністю усунути ризики. Постійна оптимізація безпеки та виправлення вразливостей також є важливими.

5. Користувачі повинні звертати увагу на безпекові записи проекту та заходи реагування, вибір потужного кросчейн моста може бути більш надійним.

Отже, зростання попиту на крос-ланцюг призведе до того, що безпеці кросчейн мостів продовжать приділяти увагу. Командам проектів слід постійно підвищувати стандарти безпеки, а користувачі повинні бути обережними під час використання та адекватно оцінювати ризики.