A segurança das pontes de cadeia cruzada enfrenta frequentes acidentes, com perdas próximas de 20 bilhões de dólares, mais de 15 bilhões já recuperados ou compensados.
Pontes de cadeia cruzada ataque evento análise: perda de quase 2 bilhões de dólares, mais de 1,5 bilhões de dólares compensados ou recuperados
Existem várias blockchains públicas no ecossistema de blockchain, mas devido à falta de ativos mainstream, a maioria precisa obter ativos através de pontes de cadeia cruzada a partir de blockchains públicas mainstream como o Ethereum. Recentemente, ocorreram muitos incidentes de segurança na área de DeFi, e as pontes de cadeia cruzada tornaram-se o principal alvo dos atacantes devido ao grande fluxo de fundos. Este artigo revisa os 10 maiores incidentes de ataque a pontes de cadeia cruzada que ocorreram no passado, alertando as equipes de desenvolvimento sobre a necessidade de estarem sempre atentas aos riscos de segurança. Vale ressaltar que projetos de pontes de cadeia cruzada com recursos financeiros robustos e forte capacidade financeira, após sofrerem incidentes de segurança, geralmente têm mais capacidade para recuperar ativos ou compensar usuários, portanto, escolher pontes de cadeia cruzada mais fortes é uma opção mais segura para os usuários.
ChainSwap: 8 milhões de dólares em perdas, compensação através da reemissão de tokens
Em julho de 2021, a ChainSwap sofreu dois ataques de hackers, com a primeira perda de cerca de 800 mil dólares e a segunda perda de cerca de 8 milhões de dólares. A segunda ataque teve um impacto mais amplo, afetando mais de 20 projetos que utilizavam a ChainSwap para realizar cadeias cruzadas.
A pesquisa mostra que a causa do acidente foi a falta de verificação rigorosa da validade das assinaturas do protocolo, permitindo que os atacantes usassem assinaturas geradas por eles mesmos para assinar transações. Como a principal perda foi dos tokens de governança dos projetos, vários projetos, incluindo o ChainSwap, decidiram fazer um snapshot e emitir novos tokens para compensar os detentores de tokens e os provedores de liquidez.
Poly Network: 610 milhões de dólares recuperados na totalidade
No dia 10 de agosto de 2021, o protocolo de interoperabilidade de cadeia cruzada Poly Network foi atacado por hackers, resultando na perda de 250 milhões, 270 milhões e 85 milhões de dólares em ativos na Ethereum, Binance Smart Chain e Polygon, respectivamente, totalizando cerca de 610 milhões de dólares.
O ataque explorou principalmente uma vulnerabilidade na lógica de gestão de permissões do contrato da Poly Network. O atacante construiu uma operação na cadeia de origem que modificava o validador da cadeia de destino para o seu próprio endereço; o retransmissor oficial submeteu e executou essa operação sem se precaver; o atacante, em seguida, assinou os ativos a serem transferidos através do endereço do validador substituído; a transação foi validada e executada, e os ativos foram transferidos para o endereço do hacker.
Os atacantes estavam preparados com antecedência, com o capital inicial proveniente da moeda de privacidade XMR, que foi trocada por BNB, ETH e MATIC em uma exchange que não exige KYC antes de serem retirados. No entanto, o hacker acabou devolvendo todos os fundos, e a Poly Network chamou-o de "hacker de chapéu branco" e o convidou para ser o consultor de segurança da empresa.
Multichain: 600 milhões de dólares em perdas, já compensados
Em 18 de janeiro de 2022, a Multichain descobriu uma vulnerabilidade significativa que afeta seis tokens: WETH, PERI, OMT, WBNB, MATIC e AVAX. Embora a vulnerabilidade tenha sido corrigida, os usuários ainda precisam revogar a autorização o mais rápido possível para evitar riscos aos ativos. Um mês depois, a Multichain publicou um relatório de investigação que mostrou que um total de 7962 endereços de usuários foram afetados, dos quais 4861 já revogaram a autorização e 3101 ainda não o fizeram. Um total de 1889,6612 WETH e 833,4191 AVAX foram roubados, avaliados em aproximadamente 6 milhões de dólares com base no preço de 18 de janeiro.
A análise da equipe de segurança considera que a razão do roubo foi um problema na verificação da legalidade dos Tokens enviados pelos usuários pelo Multichain, não levando em conta que nem todos os tokens subjacentes implementaram a função permit, resultando na transferência do WETH autorizado anteriormente ao contrato AnyswapV4Router para um endereço malicioso criado pelo atacante.
Ao publicar o relatório da investigação, já foram recuperados 912.7984 WETH e 125 AVAX, o que representa quase 50% dos fundos roubados. A equipe propôs devolver os fundos recuperados aos usuários que revogaram a autorização do contrato, mas não compensará as perdas após as 24:00 do dia 18 de fevereiro.
QBridge: perda de 80 milhões de dólares, apenas 2% de compensação
Em 28 de janeiro de 2022, a ponte de cadeia cruzada QBridge do protocolo de empréstimos Qubit foi atacada, resultando em uma perda de cerca de 80 milhões de dólares.
A causa do acidente foi que o QBridge, ao transferir tokens na lista branca, não verificou novamente se era um endereço zero. No caso em que a recarga de tokens ERC20 e ETH é implementada separadamente, a função de depósito utilizada para depositar tokens ERC20 foi explorada pelos hackers, que definiram o endereço do token ERC20 como zero, e, sem depositar nenhum token, cunharam uma grande quantidade de tokens xETH de forma ilusória na BSC. Os hackers, em seguida, usaram esses xETH como colateral para emprestar outros tokens do Qubit, resultando na exaustão das garantias do Qubit.
Atualmente, o Qubit está quase sem usuários, e o site oficial mostra que 98% dos fundos roubados ainda não foram compensados.
Meter.io: 4,4 milhões de dólares em perdas, pagos com receitas futuras
No dia 6 de fevereiro de 2022, a ponte de cadeia cruzada Meter Passport foi explorada maliciosamente, causando uma perda de 4,4 milhões de dólares.
A Meter oficial afirmou que o problema estava na "suposição de confiança errada" no código-fonte do Meter, permitindo que os hackers "chamassem a funcionalidade de depósito ERC20 subjacente" para falsificar transferências de BNB e ETH.
O Meter inicialmente indicava que compensaria as perdas de BNB e WETH dos usuários com o token MTRG. No entanto, após a votação de governança, decidiu-se que o novo token PASS seria emitido para compensar os usuários, e que os futuros rendimentos do Meter seriam usados para recomprar o token PASS, mas até agora nenhuma recompra foi realizada.
Ronin: 6,2 milhões de dólares em perdas, já compensados
Na noite de 29 de março de 2022, os fundos da cadeia Ronin, por trás do Axie Infinity, foram roubados. O ataque ocorreu em 23 de março, mas só foi descoberto em 29 de março, resultando em perdas de cerca de 620 milhões de dólares.
A pesquisa mostrou que o roubo do Ronin foi originado de um ataque de engenharia social. Funcionários de uma empresa falsa contataram empregados da Axie Infinity e da desenvolvedora do Ronin, Sky Mavis, através do LinkedIn, incentivando-os a se candidatar a empregos. Um funcionário da Sky Mavis recebeu uma "Oferta" após várias rodadas de entrevistas. Depois de baixar uma carta de aceitação falsa da "Oferta", o software hacker infiltrou o sistema Ronin, assumindo o controle de 4 dos 9 validadores. Em seguida, os hackers controlaram o Axie DAO através da Sky Mavis, que havia permitido que a Sky Mavis assinasse transações em seu nome; uma vez que os atacantes tivessem acesso à Sky Mavis, poderiam obter assinaturas dos validadores do Axie DAO.
Os fundos roubados do Ronin não puderam ser recuperados. Em 4 de abril, a Sky Mavis anunciou que havia concluído uma rodada de financiamento de 150 milhões de dólares liderada pela Binance, para compensar as perdas dos usuários. Em 29 de junho, a Sky Mavis relançou a ponte Ronin, permitindo que os usuários recebessem compensação. No entanto, os fundos roubados consistiam principalmente em ETH(173600 ETH e 2550 milhões de USDC), durante o período do ataque até o pagamento, o preço do ETH caiu cerca de 2/3.
Wormhole: perda de 326 milhões de dólares, já compensada
No dia 3 de fevereiro de 2022, o protocolo de interoperabilidade de cadeia cruzada Wormhole foi atacado por hackers, resultando na perda de cerca de 120 mil ETH, no valor de aproximadamente 326 milhões de dólares.
Hackers emitiram uma grande quantidade de whETH na ponta Solana do Wormhole e retiraram todos os ETH do Ethereum. Em 5 de fevereiro, o Wormhole relatou que a vulnerabilidade se deve a um erro no código de verificação de assinatura do contrato principal do Wormhole na ponta Solana, permitindo que os atacantes falsificassem mensagens de "guardião" para cunhar whETH.
No dia 4 de fevereiro, a Jump Crypto(, que anteriormente adquiriu a desenvolvedora do Wormhole, Certus One), anunciou que iria investir 120 mil ETH no Wormhole para compensar as perdas roubadas, e o Wormhole posteriormente retomou suas operações.
EvoDeFi: espera-se uma perda de mais de dez milhões de dólares, não resolvido
No dia 7 de junho de 2022, o USDT desvalorizou-se severamente na DEX ValleySwap do ecossistema Oasis. ValleySwap foi a maior DEX da cadeia Oasis, com um TVL de até 220 milhões de dólares. Devido aos altos rendimentos da mineração de liquidez do par de negociação USDC-USDT, alguns usuários utilizaram estas duas stablecoins para minerar na ValleySwap. Os dados mostram que os fundos da ValleySwap começaram a sair em grande quantidade a partir do dia 4 de junho, e no dia 7 de junho o TVL era de 88,78 milhões de dólares, sendo que o valor exato da perda é desconhecido, estimando-se que esteja na casa das dezenas de milhões de dólares.
A razão para o despegamento dos ativos do ValleySwap é a falta de liquidez na cadeia de origem da ponte de cadeia cruzada EVODeFi. A EVODeFi afirma que é devido ao pânico de FUD, mas essa justificativa claramente não se sustenta. A Oasis respondeu oficialmente que já havia alertado sobre os riscos da EVODeFi, afirmando que a Oasis não tem relação com o ValleySwap e a EvoDeFi, sendo a EvoDeFi de alto risco, não auditada, não open-source e centralizada. Este incidente pode ter ocorrido devido à EVODeFi ter roubado ativos de usuários por meio de uma porta dos fundos.
Os usuários perderam sem solução, a Oasis está ansiosa para se desvincular, o Twitter oficial do ValleySwap e do EVODeFi parou de atualizar após 8 de junho, na verdade, eles já fugiram.
Horizon: perda de quase 100 milhões de dólares, está a elaborar um plano de compensação
No dia 24 de junho de 2022, a ponte de cadeia cruzada Horizon da Harmony foi atacada, resultando em uma perda de fundos de cerca de 100 milhões de dólares.
No dia 26 de junho, o fundador da Harmony, Stephen Tse, admitiu que pode ter sido uma "vazamento de chave privada" que causou o ataque. Fundos foram roubados na Ethereum e na cadeia BNB, incluindo BUSD, USDC, ETH, WBTC, entre outros. Anteriormente, a assinatura múltipla entre a Ethereum e a Horizon exigia apenas 2 de 5 para transferir fundos, e o número de assinaturas necessárias foi alterado para 4 de 5.
A Harmony tinha a esperança de compensar os usuários por parte das perdas de ( em ), emitindo mais tokens ONE em um prazo de 3 anos, mas não chegou a um consenso com a comunidade. Após a proposta de compensação ser lançada pela comunidade a 27 de julho, Stephen Tse expressou compreensão pelas preocupações da comunidade e irá reformular o plano de compensação.
Nomad: 1.9 milhões de dólares em perdas, em tratamento
No dia 2 de agosto de 2022, a liquidez da Nomad esgotou-se rapidamente, com um total de 190 milhões de dólares em liquidez antes do incidente de segurança. O incidente também levou à perda de cerca de 3,34 milhões de dólares para o protocolo de interoperabilidade Layer2 Connext, que na altura possuía cerca de 3,34 milhões de dólares em madAssets na cadeia afetada.
Os pesquisadores analisam que o acidente se deve a uma atualização de contrato da Nomad que inicializou a raiz de confiança como 0x00, permitindo que qualquer pessoa substituísse o endereço de outra por seu próprio endereço com uma transação válida e, em seguida, transmitisse a transação para retirar fundos da ponte de cadeia cruzada.
A análise mostra que o ataque envolve 1251 endereços ETH, totalizando cerca de 190 milhões de dólares, dos quais 12 endereços ENS representam aproximadamente 38% do total. A equipe do projeto não apresentou um plano de compensação exato, e alguns hackers éticos expressaram disposição para devolver os fundos.
Resumo
Os acidentes de segurança nas pontes de cadeia cruzada ocorrem frequentemente e merecem atenção. As três principais em termos de liquidez, Multichain, Portal(Wormhole) e Poly Network, já sofreram acidentes de segurança, indicando que as pontes de cadeia cruzada são uma área de alto risco, e qualquer ponte de cadeia cruzada pode enfrentar novamente problemas de segurança.
Relativamente, pontes de cadeia cruzada com uma boa formação de equipa de desenvolvimento e forte capacidade financeira são mais capazes de recuperar ativos ou realizar compensações após incidentes de segurança, como o Poly Network, Ronin Network e Wormhole, que conseguiram recuperar ou compensar montantes avultados que foram roubados.
É importante que a equipe monitore em tempo real e trate ativamente as situações. O Hop Protocol e o StarGate trataram rapidamente os relatórios de atividades suspeitas e impediram atempadamente os ataques de hackers.
Ver original
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
10 Curtidas
Recompensa
10
4
Repostar
Compartilhar
Comentário
0/400
NewDAOdreamer
· 23h atrás
Por que os riscos de segurança dessas pontes são tão grandes... tenho medo de perder dinheiro.
Ver originalResponder0
TideReceder
· 08-15 15:14
Os ricos pontes de cadeia cruzada dão dinheiro é bull, os pobres devolver dinheiro é um grande esforço.
Ver originalResponder0
ponzi_poet
· 08-15 14:54
pontes de cadeia cruzada打钱奥 Segurança técnica é fundamental na participação
A segurança das pontes de cadeia cruzada enfrenta frequentes acidentes, com perdas próximas de 20 bilhões de dólares, mais de 15 bilhões já recuperados ou compensados.
Pontes de cadeia cruzada ataque evento análise: perda de quase 2 bilhões de dólares, mais de 1,5 bilhões de dólares compensados ou recuperados
Existem várias blockchains públicas no ecossistema de blockchain, mas devido à falta de ativos mainstream, a maioria precisa obter ativos através de pontes de cadeia cruzada a partir de blockchains públicas mainstream como o Ethereum. Recentemente, ocorreram muitos incidentes de segurança na área de DeFi, e as pontes de cadeia cruzada tornaram-se o principal alvo dos atacantes devido ao grande fluxo de fundos. Este artigo revisa os 10 maiores incidentes de ataque a pontes de cadeia cruzada que ocorreram no passado, alertando as equipes de desenvolvimento sobre a necessidade de estarem sempre atentas aos riscos de segurança. Vale ressaltar que projetos de pontes de cadeia cruzada com recursos financeiros robustos e forte capacidade financeira, após sofrerem incidentes de segurança, geralmente têm mais capacidade para recuperar ativos ou compensar usuários, portanto, escolher pontes de cadeia cruzada mais fortes é uma opção mais segura para os usuários.
ChainSwap: 8 milhões de dólares em perdas, compensação através da reemissão de tokens
Em julho de 2021, a ChainSwap sofreu dois ataques de hackers, com a primeira perda de cerca de 800 mil dólares e a segunda perda de cerca de 8 milhões de dólares. A segunda ataque teve um impacto mais amplo, afetando mais de 20 projetos que utilizavam a ChainSwap para realizar cadeias cruzadas.
A pesquisa mostra que a causa do acidente foi a falta de verificação rigorosa da validade das assinaturas do protocolo, permitindo que os atacantes usassem assinaturas geradas por eles mesmos para assinar transações. Como a principal perda foi dos tokens de governança dos projetos, vários projetos, incluindo o ChainSwap, decidiram fazer um snapshot e emitir novos tokens para compensar os detentores de tokens e os provedores de liquidez.
Poly Network: 610 milhões de dólares recuperados na totalidade
No dia 10 de agosto de 2021, o protocolo de interoperabilidade de cadeia cruzada Poly Network foi atacado por hackers, resultando na perda de 250 milhões, 270 milhões e 85 milhões de dólares em ativos na Ethereum, Binance Smart Chain e Polygon, respectivamente, totalizando cerca de 610 milhões de dólares.
O ataque explorou principalmente uma vulnerabilidade na lógica de gestão de permissões do contrato da Poly Network. O atacante construiu uma operação na cadeia de origem que modificava o validador da cadeia de destino para o seu próprio endereço; o retransmissor oficial submeteu e executou essa operação sem se precaver; o atacante, em seguida, assinou os ativos a serem transferidos através do endereço do validador substituído; a transação foi validada e executada, e os ativos foram transferidos para o endereço do hacker.
Os atacantes estavam preparados com antecedência, com o capital inicial proveniente da moeda de privacidade XMR, que foi trocada por BNB, ETH e MATIC em uma exchange que não exige KYC antes de serem retirados. No entanto, o hacker acabou devolvendo todos os fundos, e a Poly Network chamou-o de "hacker de chapéu branco" e o convidou para ser o consultor de segurança da empresa.
Multichain: 600 milhões de dólares em perdas, já compensados
Em 18 de janeiro de 2022, a Multichain descobriu uma vulnerabilidade significativa que afeta seis tokens: WETH, PERI, OMT, WBNB, MATIC e AVAX. Embora a vulnerabilidade tenha sido corrigida, os usuários ainda precisam revogar a autorização o mais rápido possível para evitar riscos aos ativos. Um mês depois, a Multichain publicou um relatório de investigação que mostrou que um total de 7962 endereços de usuários foram afetados, dos quais 4861 já revogaram a autorização e 3101 ainda não o fizeram. Um total de 1889,6612 WETH e 833,4191 AVAX foram roubados, avaliados em aproximadamente 6 milhões de dólares com base no preço de 18 de janeiro.
A análise da equipe de segurança considera que a razão do roubo foi um problema na verificação da legalidade dos Tokens enviados pelos usuários pelo Multichain, não levando em conta que nem todos os tokens subjacentes implementaram a função permit, resultando na transferência do WETH autorizado anteriormente ao contrato AnyswapV4Router para um endereço malicioso criado pelo atacante.
Ao publicar o relatório da investigação, já foram recuperados 912.7984 WETH e 125 AVAX, o que representa quase 50% dos fundos roubados. A equipe propôs devolver os fundos recuperados aos usuários que revogaram a autorização do contrato, mas não compensará as perdas após as 24:00 do dia 18 de fevereiro.
QBridge: perda de 80 milhões de dólares, apenas 2% de compensação
Em 28 de janeiro de 2022, a ponte de cadeia cruzada QBridge do protocolo de empréstimos Qubit foi atacada, resultando em uma perda de cerca de 80 milhões de dólares.
A causa do acidente foi que o QBridge, ao transferir tokens na lista branca, não verificou novamente se era um endereço zero. No caso em que a recarga de tokens ERC20 e ETH é implementada separadamente, a função de depósito utilizada para depositar tokens ERC20 foi explorada pelos hackers, que definiram o endereço do token ERC20 como zero, e, sem depositar nenhum token, cunharam uma grande quantidade de tokens xETH de forma ilusória na BSC. Os hackers, em seguida, usaram esses xETH como colateral para emprestar outros tokens do Qubit, resultando na exaustão das garantias do Qubit.
Atualmente, o Qubit está quase sem usuários, e o site oficial mostra que 98% dos fundos roubados ainda não foram compensados.
Meter.io: 4,4 milhões de dólares em perdas, pagos com receitas futuras
No dia 6 de fevereiro de 2022, a ponte de cadeia cruzada Meter Passport foi explorada maliciosamente, causando uma perda de 4,4 milhões de dólares.
A Meter oficial afirmou que o problema estava na "suposição de confiança errada" no código-fonte do Meter, permitindo que os hackers "chamassem a funcionalidade de depósito ERC20 subjacente" para falsificar transferências de BNB e ETH.
O Meter inicialmente indicava que compensaria as perdas de BNB e WETH dos usuários com o token MTRG. No entanto, após a votação de governança, decidiu-se que o novo token PASS seria emitido para compensar os usuários, e que os futuros rendimentos do Meter seriam usados para recomprar o token PASS, mas até agora nenhuma recompra foi realizada.
Ronin: 6,2 milhões de dólares em perdas, já compensados
Na noite de 29 de março de 2022, os fundos da cadeia Ronin, por trás do Axie Infinity, foram roubados. O ataque ocorreu em 23 de março, mas só foi descoberto em 29 de março, resultando em perdas de cerca de 620 milhões de dólares.
A pesquisa mostrou que o roubo do Ronin foi originado de um ataque de engenharia social. Funcionários de uma empresa falsa contataram empregados da Axie Infinity e da desenvolvedora do Ronin, Sky Mavis, através do LinkedIn, incentivando-os a se candidatar a empregos. Um funcionário da Sky Mavis recebeu uma "Oferta" após várias rodadas de entrevistas. Depois de baixar uma carta de aceitação falsa da "Oferta", o software hacker infiltrou o sistema Ronin, assumindo o controle de 4 dos 9 validadores. Em seguida, os hackers controlaram o Axie DAO através da Sky Mavis, que havia permitido que a Sky Mavis assinasse transações em seu nome; uma vez que os atacantes tivessem acesso à Sky Mavis, poderiam obter assinaturas dos validadores do Axie DAO.
Os fundos roubados do Ronin não puderam ser recuperados. Em 4 de abril, a Sky Mavis anunciou que havia concluído uma rodada de financiamento de 150 milhões de dólares liderada pela Binance, para compensar as perdas dos usuários. Em 29 de junho, a Sky Mavis relançou a ponte Ronin, permitindo que os usuários recebessem compensação. No entanto, os fundos roubados consistiam principalmente em ETH(173600 ETH e 2550 milhões de USDC), durante o período do ataque até o pagamento, o preço do ETH caiu cerca de 2/3.
Wormhole: perda de 326 milhões de dólares, já compensada
No dia 3 de fevereiro de 2022, o protocolo de interoperabilidade de cadeia cruzada Wormhole foi atacado por hackers, resultando na perda de cerca de 120 mil ETH, no valor de aproximadamente 326 milhões de dólares.
Hackers emitiram uma grande quantidade de whETH na ponta Solana do Wormhole e retiraram todos os ETH do Ethereum. Em 5 de fevereiro, o Wormhole relatou que a vulnerabilidade se deve a um erro no código de verificação de assinatura do contrato principal do Wormhole na ponta Solana, permitindo que os atacantes falsificassem mensagens de "guardião" para cunhar whETH.
No dia 4 de fevereiro, a Jump Crypto(, que anteriormente adquiriu a desenvolvedora do Wormhole, Certus One), anunciou que iria investir 120 mil ETH no Wormhole para compensar as perdas roubadas, e o Wormhole posteriormente retomou suas operações.
EvoDeFi: espera-se uma perda de mais de dez milhões de dólares, não resolvido
No dia 7 de junho de 2022, o USDT desvalorizou-se severamente na DEX ValleySwap do ecossistema Oasis. ValleySwap foi a maior DEX da cadeia Oasis, com um TVL de até 220 milhões de dólares. Devido aos altos rendimentos da mineração de liquidez do par de negociação USDC-USDT, alguns usuários utilizaram estas duas stablecoins para minerar na ValleySwap. Os dados mostram que os fundos da ValleySwap começaram a sair em grande quantidade a partir do dia 4 de junho, e no dia 7 de junho o TVL era de 88,78 milhões de dólares, sendo que o valor exato da perda é desconhecido, estimando-se que esteja na casa das dezenas de milhões de dólares.
A razão para o despegamento dos ativos do ValleySwap é a falta de liquidez na cadeia de origem da ponte de cadeia cruzada EVODeFi. A EVODeFi afirma que é devido ao pânico de FUD, mas essa justificativa claramente não se sustenta. A Oasis respondeu oficialmente que já havia alertado sobre os riscos da EVODeFi, afirmando que a Oasis não tem relação com o ValleySwap e a EvoDeFi, sendo a EvoDeFi de alto risco, não auditada, não open-source e centralizada. Este incidente pode ter ocorrido devido à EVODeFi ter roubado ativos de usuários por meio de uma porta dos fundos.
Os usuários perderam sem solução, a Oasis está ansiosa para se desvincular, o Twitter oficial do ValleySwap e do EVODeFi parou de atualizar após 8 de junho, na verdade, eles já fugiram.
Horizon: perda de quase 100 milhões de dólares, está a elaborar um plano de compensação
No dia 24 de junho de 2022, a ponte de cadeia cruzada Horizon da Harmony foi atacada, resultando em uma perda de fundos de cerca de 100 milhões de dólares.
No dia 26 de junho, o fundador da Harmony, Stephen Tse, admitiu que pode ter sido uma "vazamento de chave privada" que causou o ataque. Fundos foram roubados na Ethereum e na cadeia BNB, incluindo BUSD, USDC, ETH, WBTC, entre outros. Anteriormente, a assinatura múltipla entre a Ethereum e a Horizon exigia apenas 2 de 5 para transferir fundos, e o número de assinaturas necessárias foi alterado para 4 de 5.
A Harmony tinha a esperança de compensar os usuários por parte das perdas de ( em ), emitindo mais tokens ONE em um prazo de 3 anos, mas não chegou a um consenso com a comunidade. Após a proposta de compensação ser lançada pela comunidade a 27 de julho, Stephen Tse expressou compreensão pelas preocupações da comunidade e irá reformular o plano de compensação.
Nomad: 1.9 milhões de dólares em perdas, em tratamento
No dia 2 de agosto de 2022, a liquidez da Nomad esgotou-se rapidamente, com um total de 190 milhões de dólares em liquidez antes do incidente de segurança. O incidente também levou à perda de cerca de 3,34 milhões de dólares para o protocolo de interoperabilidade Layer2 Connext, que na altura possuía cerca de 3,34 milhões de dólares em madAssets na cadeia afetada.
Os pesquisadores analisam que o acidente se deve a uma atualização de contrato da Nomad que inicializou a raiz de confiança como 0x00, permitindo que qualquer pessoa substituísse o endereço de outra por seu próprio endereço com uma transação válida e, em seguida, transmitisse a transação para retirar fundos da ponte de cadeia cruzada.
A análise mostra que o ataque envolve 1251 endereços ETH, totalizando cerca de 190 milhões de dólares, dos quais 12 endereços ENS representam aproximadamente 38% do total. A equipe do projeto não apresentou um plano de compensação exato, e alguns hackers éticos expressaram disposição para devolver os fundos.
Resumo
Os acidentes de segurança nas pontes de cadeia cruzada ocorrem frequentemente e merecem atenção. As três principais em termos de liquidez, Multichain, Portal(Wormhole) e Poly Network, já sofreram acidentes de segurança, indicando que as pontes de cadeia cruzada são uma área de alto risco, e qualquer ponte de cadeia cruzada pode enfrentar novamente problemas de segurança.
Relativamente, pontes de cadeia cruzada com uma boa formação de equipa de desenvolvimento e forte capacidade financeira são mais capazes de recuperar ativos ou realizar compensações após incidentes de segurança, como o Poly Network, Ronin Network e Wormhole, que conseguiram recuperar ou compensar montantes avultados que foram roubados.
É importante que a equipe monitore em tempo real e trate ativamente as situações. O Hop Protocol e o StarGate trataram rapidamente os relatórios de atividades suspeitas e impediram atempadamente os ataques de hackers.