Cross chain köprüleri saldırı olayları değerlendirmesi: Yaklaşık 2 milyar dolar kayıp, 1.5 milyar dolardan fazla tazminat veya geri kazanım
Blockchain ekosisteminde birçok kamu blok zinciri bulunmaktadır, ancak ana akım varlıkların eksikliği nedeniyle çoğu, varlıkları Ethereum gibi ana akım kamu blok zincirlerinden elde etmek için cross-chain köprüleri aracılığıyla işlem yapmak zorundadır. Son zamanlarda, DeFi alanında güvenlik olayları artış göstermiştir ve cross-chain köprüleri, büyük miktarda para akışı nedeniyle saldırganların ana hedefi haline gelmiştir. Bu makalede, geçmişte meydana gelen 10 büyük ölçekli cross-chain köprü saldırı olayı derlenmiştir ve geliştirme ekiplerinin güvenlik risklerine karşı sürekli olarak dikkatli olmaları gerektiği hatırlatılmaktadır. Dikkate değer bir nokta, güçlü arka plana ve mali güce sahip cross-chain köprü projelerinin güvenlik olayları sonrası genellikle varlıkları geri alma veya kullanıcılara tazminat ödeme konusunda daha fazla kapasiteye sahip olmalarıdır, bu nedenle kullanıcıların daha güçlü cross-chain köprülerini tercih etmeleri daha güvenli olacaktır.
ChainSwap: 800 milyon dolar kayıp, tokenlerin yeniden çıkarılması ile tazminat
2021 Temmuz'unda, ChainSwap peş peşe iki kez siber saldırıya uğradı, ilki yaklaşık 800.000 $ kayba neden oldu, ikincisi ise yaklaşık 8.000.000 $ kayba neden oldu. İkinci saldırının etkisi daha genişti, 20'den fazla ChainSwap kullanarak cross-chain yapan proje etkilendi.
Araştırmalar, kazanın nedeninin sözleşmenin imza geçerliliğini sıkı bir şekilde doğrulamaması olduğunu göstermektedir. Saldırgan, kendi ürettiği imzayı işlem imzası olarak kullanabilmiştir. Kaybın büyük kısmı projelerin yönetim token'ları olduğu için, ChainSwap dahil olmak üzere birçok proje, token sahiplerine ve likidite sağlayıcılarına tazminat vermek amacıyla bir anlık görüntü almayı ve yeni token'lar çıkarmayı kararlaştırmıştır.
Poly Network: 6.1 milyon doların tamamı geri alındı
10 Ağustos 2021'de, cross-chain互操作协议 Poly Network bir siber saldırıya uğradı ve Ethereum, Binance Smart Chain ve Polygon üzerinde sırasıyla 250 milyon, 270 milyon ve 85 milyon dolar değerinde varlık kaybı yaşadı, toplamda yaklaşık 610 milyon dolar.
Saldırı, esas olarak Poly Network sözleşmesi yetki yönetim mantığındaki bir açığı kullandı. Saldırgan, kaynak zincirinde hedef zincir doğrulayıcısını kendi adresiyle değiştiren bir işlem oluşturdu; resmi iletici, bu işlemi dikkate almadan gönderip yürüttü; saldırgan daha sonra değiştirilmiş doğrulayıcı adresi üzerinden dışarı çıkacak varlıklar için imza attı; işlem doğrulandı ve yürütüldü, varlıklar hacker adresine transfer edildi.
Saldırgan önceden hazırlık yapmış, başlangıç sermayesi gizli para birimi XMR'den gelmekte, KYC gerektirmeyen borsalarda BNB, ETH, MATIC'e dönüştürdükten sonra para çekmiştir. Ancak sonuçta hacker tüm fonları geri iade etti, Poly Network onu "beyaz şapka" hacker olarak nitelendirdi ve şirkette baş güvenlik danışmanı olarak atamayı davet etti.
Multichain:6000000$ kayıp, tazmin edildi
18 Ocak 2022'de, Multichain, WETH, PERI, OMT, WBNB, MATIC, AVAX altı tokenini etkileyen ciddi bir güvenlik açığı keşfetti. Açık kapatılmış olmasına rağmen, kullanıcıların varlık riskini önlemek için yetkileri bir an önce kaldırmaları gerekmektedir. Bir ay sonra, Multichain, toplamda 7962 kullanıcı adresinin etkilendiğini gösteren bir araştırma raporu yayınladı; bunlardan 4861'i yetkilerini kaldırmış, 3101'i ise henüz kaldırmamıştır. Toplamda 1889.6612 WETH ve 833.4191 AVAX çalındı; 18 Ocak fiyatlarına göre yaklaşık 6.04 milyon dolar değerindedir.
Güvenlik ekibi analizinde, çalınma nedeninin Multichain'in kullanıcıların gönderdiği Token'ların geçerliliğini kontrol ederken bir sorun yaşaması olduğu, tüm underlying token'ların permit fonksiyonunu uygulamadığını göz önünde bulundurmadığı ve bunun sonucunda daha önce AnyswapV4Router sözleşmesine yetki verilmiş olan kullanıcı WETH'nin saldırgan tarafından oluşturulan kötü niyetli bir adrese transfer edilmesine neden olduğu belirtilmiştir.
Soruşturma raporu yayınlandığında, 912.7984 WETH ve 125 AVAX geri alındı, bu çalınan fonların neredeyse %50'sini oluşturuyor. Ekip, geri alınan fonların, sözleşme yetkisini iptal eden kullanıcılara iade edilmesini önerdi, ancak 18 Şubat 24:00'ten sonraki zararlar için tazminat ödenmeyecek.
QBridge: 80 milyon USD kayıp, sadece %2 tazminat
28 Ocak 2022'de, borç verme protokolü Qubit'in cross-chain köprüleri QBridge saldırıya uğradı ve yaklaşık 80 milyon dolar kaybedildi.
Kazanın nedeni, QBridge'in para transferi beyaz liste token'leri için sıfır adresini tekrar kontrol etmemesidir. ERC20 token'leri ve ETH yüklemelerinin ayrı ayrı gerçekleştirilmesi durumunda, bu, ERC20 token'lerinin yatırılması için kullanılan deposit fonksiyonu hacker tarafından istismar edilerek, ERC20 token adresi sıfır adresi olarak ayarlanmış ve herhangi bir token yatırmadan BSC'de büyük miktarda xETH token'i ortaya çıkarılmıştır. Hacker daha sonra bu xETH'leri teminat olarak kullanarak Qubit'ten diğer token'leri borç almış ve bu durum Qubit'in teminatının tükenmesine neden olmuştur.
Şu anda Qubit neredeyse hiç kullanılmıyor, resmi web sitesi çalınan fonların %98'inin henüz tazmin edilmediğini gösteriyor.
Meter.io: 440 milyon dolar kayıp, gelecekteki gelirle tazmin edilecek
2022年2月6日,Meter Passport cross-chain köprüleri kötüye kullanıldı, 440万美元 zarar oluştu.
Meter resmi olarak, sorunun Meter genişletilmiş kaynak kodundaki "yanlış güven varsayımı" olduğunu ve bunun hackerların "alt düzey ERC20 yatırma fonksiyonunu çağırarak" BNB ve ETH transferlerini sahte olarak oluşturmasına olanak tanıdığını belirtti.
Meter, başlangıçta MTRG tokeni ile kullanıcıların BNB ve WETH kayıplarını tazmin edeceğini belirtti. Ancak, yönetişim oylaması sonucunda, kullanıcıların tazmin edilmesi için yeni bir PASS tokeni çıkarılmasına karar verildi ve Meter'ın gelecekteki gelirleri ile PASS tokenleri geri alınacaktır, ancak şu anda herhangi bir geri alım yapılmamıştır.
Ronin: 6.2 milyar dolar kayıp, tazminat ödendi
2022 yılının 29 Mart akşamı, Axie Infinity'nin arkasındaki Ronin zincirinin fonları çalındı. Bu saldırı 23 Mart'ta gerçekleşti, ancak 29 Mart'a kadar fark edilmedi ve yaklaşık 620 milyon dolar kayba neden oldu.
Araştırmalar, Ronin'in çalınmasının sosyal mühendislik saldırısından kaynaklandığını gösteriyor. Sahte bir şirketin çalışanı, LinkedIn aracılığıyla Axie Infinity ve Ronin geliştiricisi Sky Mavis'in çalışanlarıyla iletişim kurarak, onlara iş başvurusu yapmaları için cesaretlendirdi. Bir Sky Mavis çalışanı, çok sayıda mülakattan sonra "Teklif" aldı. Sahte "Teklif" kabul mektubunu indirdikten sonra, hacker yazılımı Ronin sistemine sızdı ve 9 doğrulayıcıdan 4'ünü ele geçirdi. Ardından, hacker Sky Mavis aracılığıyla Axie DAO'yu kontrol etti; bu, Sky Mavis'in adına işlem imzalamasına izin veriyordu ve bir kez saldırgan Sky Mavis'e eriştiğinde, Axie DAO doğrulayıcılarından imza alabiliyordu.
Ronin'in çalınan fonları geri alınamadı. 4 Nisan'da, Sky Mavis, kullanıcı kayıplarını telafi etmek için Binance'ın liderlik ettiği 150 milyon dolarlık finansmanın tamamlandığını duyurdu. 29 Haziran'da, Sky Mavis Ronin köprüsünü yeniden açtı, kullanıcılar tazminat alabilecek. Ancak çalınan fonlar esasen ETH(173600 ETH ve 2550 milyon USDC)'dir, saldırı ile tazminat süresi arasında ETH fiyatı yaklaşık 2/3 oranında düştü.
Wormhole: 3.26 milyar dolarlık kayıp, tazminat ödendi
3 Şubat 2022'de, cross-chain互操作协议 Wormhole bir siber saldırıya uğradı, yaklaşık 120.000 ETH kaybedildi, bu da yaklaşık 326 milyon dolar değerindeydi.
Hackerlar, Wormhole'un Solana tarafında çok sayıda whETH üretip, Ethereum'dan tüm ETH'leri çekti. 5 Şubat'ta, Wormhole, bu açığın Solana tarafındaki Wormhole ana sözleşmesinin imza doğrulama kodundaki hatadan kaynaklandığını bildirdi; saldırganlar "gözlemci" mesajını taklit ederek whETH basabiliyordu.
4 Şubat'ta, Jump Crypto( daha önce Wormhole geliştiricisi Certus One)'ı satın aldı ve Wormhole'a 120,000 ETH yatırdığını duyurdu, çalınan kayıpları telafi etmek için, Wormhole daha sonra çalışmaya başladı.
EvoDeFi: Beklenen on milyonlarca dolar kayıp, işlenmedi
7 Haziran 2022'de, Oasis ekosistemi DEX ValleySwap'ta USDT ciddi şekilde devalüe oldu. ValleySwap, Oasis zincirindeki en büyük DEX'ti ve TVL'si en yüksek 220 milyon dolardı. USDC-USDT işlem çiftinin likidite madenciliği getirileri yüksek olduğu için, bazı kullanıcılar bu iki stabilcoin ile ValleySwap'ta madencilik yaptı. Veriler, ValleySwap'taki fonların 4 Haziran'dan itibaren büyük ölçüde çıkış yaptığını gösteriyor, 7 Haziran'da TVL 88.78 milyon dolardı, kesin kayıp miktarı bilinmiyor, ancak on milyonlarca dolarlık seviyelerde olduğu tahmin ediliyor.
ValleySwap varlıklarının devalüe olmasının nedeni, kullanılan Cross chain köprüleri EVODeFi'nin kaynak zincirinde yeterli likiditenin olmamasıdır. EVODeFi, bunun FUD panikinden kaynaklandığını belirtmektedir, ancak bu neden açıkça geçerli değildir. Oasis'in resmi yanıtı, EVODeFi'nin risk taşıdığını bildirdiklerini, Oasis'in ValleySwap ve EvoDeFi ile ilgisinin olmadığını, EvoDeFi'nin yüksek riskli, denetlenmemiş, açık kaynak olmayan ve merkeziyetçi bir platform olduğunu belirtmiştir. Bu olay, EVODeFi'nin bir arka kapı aracılığıyla kullanıcı varlıklarını çalmasından kaynaklanabilir.
Kullanıcı kayıpları için bir çözüm yok, Oasis ilişkilerini koparma konusunda acele ediyor, ValleySwap ve EVODeFi'nin resmi Twitter hesapları 8 Haziran'dan sonra güncellemeleri durdurdu, aslında kaçtılar.
Horizon: Yaklaşık 100 milyon dolar zarar, tazminat planı hazırlanıyor
2022年6月24日,Harmony resmi cross-chain köprüleri Horizon saldırıya uğradı ve yaklaşık 1 milyar dolar para kaybına neden oldu.
26 Haziran'da, Harmony'nin kurucusu Stephen Tse, saldırının muhtemelen "özel anahtar sızıntısı" nedeniyle olduğunu kabul etti. Fonlar Ethereum ve BNB zincirinde çalındı, bunlar arasında BUSD, USDC, ETH, WBTC gibi varlıklar bulunuyor. Daha önce, Ethereum ile Horizon arasındaki çoklu imza işleminde fonları transfer etmek için 5'ten 2'sinin imzası yeterliydi, sonrasında gerekli imza sayısı 5'ten 4'e çıkarıldı.
Harmony, 3 yıl içinde kullanıcıların ( kayıplarının bir kısmını telafi etmek amacıyla ONE token'larını artırmayı umuyordu, ancak toplulukla uzlaşma sağlanamadı. 27 Temmuz'da topluluk tazminat önerisi başlattıktan sonra, Stephen Tse topluluğun endişelerini anladığını belirtti ve tazminat planını yeniden düzenleyeceğini söyledi.
Nomad: 1.9 milyar dolar kayıp, işlemde
2 Ağustos 2022'de, Nomad likiditesi hızla tükendi ve güvenlik kazasından önce 190 milyon dolar likidite vardı. Kaza ayrıca Layer2 etkileşim protokolü Connext'in yaklaşık 3.34 milyon dolar kaybetmesine neden oldu; o sırada Connext, etkilenen zincirde yaklaşık 3.34 milyon dolar değerinde madAssets tutuyordu.
Araştırmacılar, kazanın Nomad'ın bir akıllı sözleşme güncellemesi sırasında güvenilir kökün 0x00 olarak başlatılmasından kaynaklandığını, bu durumun herhangi bir kişinin geçerli bir işlemle karşı tarafın adresini kendi adresiyle değiştirmesine ve ardından işlemi yayınlayarak Cross chain köprüleri üzerinden fonları çekmesine neden olduğunu düşünüyor.
Analizler, saldırının 1251 ETH adresini kapsadığını ve yaklaşık 190 milyon dolar tutarında bir miktarı etkilediğini gösteriyor. Bu miktarın %38'ini oluşturan 12 ENS adresi var. Proje ekibi kesin bir tazminat planı sunmadı, bazı beyaz şapkalı hackerlar ise fonları geri vermeye istekli olduklarını belirtti.
Özet
Cross chain köprüleri güvenlik kazaları sıkça meydana geliyor, dikkat edilmesi gerekiyor. Likidite sıralamasında ilk üçte yer alan Multichain, Portal)Wormhole( ve Poly Network güvenlik kazaları yaşamıştır. Bu durum, cross-chain köprülerinin yüksek riskli bir alan olduğunu göstermektedir; herhangi bir cross-chain köprüsünde tekrar güvenlik sorunları yaşanabilir.
Göreceli olarak, geliştirme ekibi arka planı iyi ve mali gücü güçlü olan cross-chain köprüleri, güvenlik kazalarından sonra, varlıkları geri almak veya tazminat ödemek için daha kolaydır; örneğin, Poly Network, Ronin Network, Wormhole gibi büyük miktarlarda çalınan fonların geri alınması veya tam tazminat ödenmesi.
Ekiplerin gerçek zamanlı izleme yapması ve aktif bir şekilde müdahale etmesi önemlidir, Hop Protocol ve StarGate, şüpheli faaliyet raporları aldıktan sonra hızlı bir şekilde müdahale ederek, hacker saldırılarını zamanında engelledi.
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
14 Likes
Reward
14
5
Repost
Share
Comment
0/400
NewDAOdreamer
· 08-16 16:39
Bu köprülerin güvenlik riski neden bu kadar büyük... paranın kaybolmasından korkuyorum.
View OriginalReply0
TideReceder
· 08-15 15:14
Toprak zengini cross-chain köprüleri para verince boğa, fakir geri para almakta çok zorlanıyor.
View OriginalReply0
ponzi_poet
· 08-15 14:54
Cross chain köprüleri para gönderme, güvenlik teknolojisi katılımda önemlidir.
Cross chain köprüleri güvenlik kazaları sıkça meydana geliyor, yaklaşık 2 milyar dolar kayıp, 1.5 milyardan fazlası geri alındı veya tazmin edildi.
Cross chain köprüleri saldırı olayları değerlendirmesi: Yaklaşık 2 milyar dolar kayıp, 1.5 milyar dolardan fazla tazminat veya geri kazanım
Blockchain ekosisteminde birçok kamu blok zinciri bulunmaktadır, ancak ana akım varlıkların eksikliği nedeniyle çoğu, varlıkları Ethereum gibi ana akım kamu blok zincirlerinden elde etmek için cross-chain köprüleri aracılığıyla işlem yapmak zorundadır. Son zamanlarda, DeFi alanında güvenlik olayları artış göstermiştir ve cross-chain köprüleri, büyük miktarda para akışı nedeniyle saldırganların ana hedefi haline gelmiştir. Bu makalede, geçmişte meydana gelen 10 büyük ölçekli cross-chain köprü saldırı olayı derlenmiştir ve geliştirme ekiplerinin güvenlik risklerine karşı sürekli olarak dikkatli olmaları gerektiği hatırlatılmaktadır. Dikkate değer bir nokta, güçlü arka plana ve mali güce sahip cross-chain köprü projelerinin güvenlik olayları sonrası genellikle varlıkları geri alma veya kullanıcılara tazminat ödeme konusunda daha fazla kapasiteye sahip olmalarıdır, bu nedenle kullanıcıların daha güçlü cross-chain köprülerini tercih etmeleri daha güvenli olacaktır.
ChainSwap: 800 milyon dolar kayıp, tokenlerin yeniden çıkarılması ile tazminat
2021 Temmuz'unda, ChainSwap peş peşe iki kez siber saldırıya uğradı, ilki yaklaşık 800.000 $ kayba neden oldu, ikincisi ise yaklaşık 8.000.000 $ kayba neden oldu. İkinci saldırının etkisi daha genişti, 20'den fazla ChainSwap kullanarak cross-chain yapan proje etkilendi.
Araştırmalar, kazanın nedeninin sözleşmenin imza geçerliliğini sıkı bir şekilde doğrulamaması olduğunu göstermektedir. Saldırgan, kendi ürettiği imzayı işlem imzası olarak kullanabilmiştir. Kaybın büyük kısmı projelerin yönetim token'ları olduğu için, ChainSwap dahil olmak üzere birçok proje, token sahiplerine ve likidite sağlayıcılarına tazminat vermek amacıyla bir anlık görüntü almayı ve yeni token'lar çıkarmayı kararlaştırmıştır.
Poly Network: 6.1 milyon doların tamamı geri alındı
10 Ağustos 2021'de, cross-chain互操作协议 Poly Network bir siber saldırıya uğradı ve Ethereum, Binance Smart Chain ve Polygon üzerinde sırasıyla 250 milyon, 270 milyon ve 85 milyon dolar değerinde varlık kaybı yaşadı, toplamda yaklaşık 610 milyon dolar.
Saldırı, esas olarak Poly Network sözleşmesi yetki yönetim mantığındaki bir açığı kullandı. Saldırgan, kaynak zincirinde hedef zincir doğrulayıcısını kendi adresiyle değiştiren bir işlem oluşturdu; resmi iletici, bu işlemi dikkate almadan gönderip yürüttü; saldırgan daha sonra değiştirilmiş doğrulayıcı adresi üzerinden dışarı çıkacak varlıklar için imza attı; işlem doğrulandı ve yürütüldü, varlıklar hacker adresine transfer edildi.
Saldırgan önceden hazırlık yapmış, başlangıç sermayesi gizli para birimi XMR'den gelmekte, KYC gerektirmeyen borsalarda BNB, ETH, MATIC'e dönüştürdükten sonra para çekmiştir. Ancak sonuçta hacker tüm fonları geri iade etti, Poly Network onu "beyaz şapka" hacker olarak nitelendirdi ve şirkette baş güvenlik danışmanı olarak atamayı davet etti.
Multichain:6000000$ kayıp, tazmin edildi
18 Ocak 2022'de, Multichain, WETH, PERI, OMT, WBNB, MATIC, AVAX altı tokenini etkileyen ciddi bir güvenlik açığı keşfetti. Açık kapatılmış olmasına rağmen, kullanıcıların varlık riskini önlemek için yetkileri bir an önce kaldırmaları gerekmektedir. Bir ay sonra, Multichain, toplamda 7962 kullanıcı adresinin etkilendiğini gösteren bir araştırma raporu yayınladı; bunlardan 4861'i yetkilerini kaldırmış, 3101'i ise henüz kaldırmamıştır. Toplamda 1889.6612 WETH ve 833.4191 AVAX çalındı; 18 Ocak fiyatlarına göre yaklaşık 6.04 milyon dolar değerindedir.
Güvenlik ekibi analizinde, çalınma nedeninin Multichain'in kullanıcıların gönderdiği Token'ların geçerliliğini kontrol ederken bir sorun yaşaması olduğu, tüm underlying token'ların permit fonksiyonunu uygulamadığını göz önünde bulundurmadığı ve bunun sonucunda daha önce AnyswapV4Router sözleşmesine yetki verilmiş olan kullanıcı WETH'nin saldırgan tarafından oluşturulan kötü niyetli bir adrese transfer edilmesine neden olduğu belirtilmiştir.
Soruşturma raporu yayınlandığında, 912.7984 WETH ve 125 AVAX geri alındı, bu çalınan fonların neredeyse %50'sini oluşturuyor. Ekip, geri alınan fonların, sözleşme yetkisini iptal eden kullanıcılara iade edilmesini önerdi, ancak 18 Şubat 24:00'ten sonraki zararlar için tazminat ödenmeyecek.
QBridge: 80 milyon USD kayıp, sadece %2 tazminat
28 Ocak 2022'de, borç verme protokolü Qubit'in cross-chain köprüleri QBridge saldırıya uğradı ve yaklaşık 80 milyon dolar kaybedildi.
Kazanın nedeni, QBridge'in para transferi beyaz liste token'leri için sıfır adresini tekrar kontrol etmemesidir. ERC20 token'leri ve ETH yüklemelerinin ayrı ayrı gerçekleştirilmesi durumunda, bu, ERC20 token'lerinin yatırılması için kullanılan deposit fonksiyonu hacker tarafından istismar edilerek, ERC20 token adresi sıfır adresi olarak ayarlanmış ve herhangi bir token yatırmadan BSC'de büyük miktarda xETH token'i ortaya çıkarılmıştır. Hacker daha sonra bu xETH'leri teminat olarak kullanarak Qubit'ten diğer token'leri borç almış ve bu durum Qubit'in teminatının tükenmesine neden olmuştur.
Şu anda Qubit neredeyse hiç kullanılmıyor, resmi web sitesi çalınan fonların %98'inin henüz tazmin edilmediğini gösteriyor.
Meter.io: 440 milyon dolar kayıp, gelecekteki gelirle tazmin edilecek
2022年2月6日,Meter Passport cross-chain köprüleri kötüye kullanıldı, 440万美元 zarar oluştu.
Meter resmi olarak, sorunun Meter genişletilmiş kaynak kodundaki "yanlış güven varsayımı" olduğunu ve bunun hackerların "alt düzey ERC20 yatırma fonksiyonunu çağırarak" BNB ve ETH transferlerini sahte olarak oluşturmasına olanak tanıdığını belirtti.
Meter, başlangıçta MTRG tokeni ile kullanıcıların BNB ve WETH kayıplarını tazmin edeceğini belirtti. Ancak, yönetişim oylaması sonucunda, kullanıcıların tazmin edilmesi için yeni bir PASS tokeni çıkarılmasına karar verildi ve Meter'ın gelecekteki gelirleri ile PASS tokenleri geri alınacaktır, ancak şu anda herhangi bir geri alım yapılmamıştır.
Ronin: 6.2 milyar dolar kayıp, tazminat ödendi
2022 yılının 29 Mart akşamı, Axie Infinity'nin arkasındaki Ronin zincirinin fonları çalındı. Bu saldırı 23 Mart'ta gerçekleşti, ancak 29 Mart'a kadar fark edilmedi ve yaklaşık 620 milyon dolar kayba neden oldu.
Araştırmalar, Ronin'in çalınmasının sosyal mühendislik saldırısından kaynaklandığını gösteriyor. Sahte bir şirketin çalışanı, LinkedIn aracılığıyla Axie Infinity ve Ronin geliştiricisi Sky Mavis'in çalışanlarıyla iletişim kurarak, onlara iş başvurusu yapmaları için cesaretlendirdi. Bir Sky Mavis çalışanı, çok sayıda mülakattan sonra "Teklif" aldı. Sahte "Teklif" kabul mektubunu indirdikten sonra, hacker yazılımı Ronin sistemine sızdı ve 9 doğrulayıcıdan 4'ünü ele geçirdi. Ardından, hacker Sky Mavis aracılığıyla Axie DAO'yu kontrol etti; bu, Sky Mavis'in adına işlem imzalamasına izin veriyordu ve bir kez saldırgan Sky Mavis'e eriştiğinde, Axie DAO doğrulayıcılarından imza alabiliyordu.
Ronin'in çalınan fonları geri alınamadı. 4 Nisan'da, Sky Mavis, kullanıcı kayıplarını telafi etmek için Binance'ın liderlik ettiği 150 milyon dolarlık finansmanın tamamlandığını duyurdu. 29 Haziran'da, Sky Mavis Ronin köprüsünü yeniden açtı, kullanıcılar tazminat alabilecek. Ancak çalınan fonlar esasen ETH(173600 ETH ve 2550 milyon USDC)'dir, saldırı ile tazminat süresi arasında ETH fiyatı yaklaşık 2/3 oranında düştü.
Wormhole: 3.26 milyar dolarlık kayıp, tazminat ödendi
3 Şubat 2022'de, cross-chain互操作协议 Wormhole bir siber saldırıya uğradı, yaklaşık 120.000 ETH kaybedildi, bu da yaklaşık 326 milyon dolar değerindeydi.
Hackerlar, Wormhole'un Solana tarafında çok sayıda whETH üretip, Ethereum'dan tüm ETH'leri çekti. 5 Şubat'ta, Wormhole, bu açığın Solana tarafındaki Wormhole ana sözleşmesinin imza doğrulama kodundaki hatadan kaynaklandığını bildirdi; saldırganlar "gözlemci" mesajını taklit ederek whETH basabiliyordu.
4 Şubat'ta, Jump Crypto( daha önce Wormhole geliştiricisi Certus One)'ı satın aldı ve Wormhole'a 120,000 ETH yatırdığını duyurdu, çalınan kayıpları telafi etmek için, Wormhole daha sonra çalışmaya başladı.
EvoDeFi: Beklenen on milyonlarca dolar kayıp, işlenmedi
7 Haziran 2022'de, Oasis ekosistemi DEX ValleySwap'ta USDT ciddi şekilde devalüe oldu. ValleySwap, Oasis zincirindeki en büyük DEX'ti ve TVL'si en yüksek 220 milyon dolardı. USDC-USDT işlem çiftinin likidite madenciliği getirileri yüksek olduğu için, bazı kullanıcılar bu iki stabilcoin ile ValleySwap'ta madencilik yaptı. Veriler, ValleySwap'taki fonların 4 Haziran'dan itibaren büyük ölçüde çıkış yaptığını gösteriyor, 7 Haziran'da TVL 88.78 milyon dolardı, kesin kayıp miktarı bilinmiyor, ancak on milyonlarca dolarlık seviyelerde olduğu tahmin ediliyor.
ValleySwap varlıklarının devalüe olmasının nedeni, kullanılan Cross chain köprüleri EVODeFi'nin kaynak zincirinde yeterli likiditenin olmamasıdır. EVODeFi, bunun FUD panikinden kaynaklandığını belirtmektedir, ancak bu neden açıkça geçerli değildir. Oasis'in resmi yanıtı, EVODeFi'nin risk taşıdığını bildirdiklerini, Oasis'in ValleySwap ve EvoDeFi ile ilgisinin olmadığını, EvoDeFi'nin yüksek riskli, denetlenmemiş, açık kaynak olmayan ve merkeziyetçi bir platform olduğunu belirtmiştir. Bu olay, EVODeFi'nin bir arka kapı aracılığıyla kullanıcı varlıklarını çalmasından kaynaklanabilir.
Kullanıcı kayıpları için bir çözüm yok, Oasis ilişkilerini koparma konusunda acele ediyor, ValleySwap ve EVODeFi'nin resmi Twitter hesapları 8 Haziran'dan sonra güncellemeleri durdurdu, aslında kaçtılar.
Horizon: Yaklaşık 100 milyon dolar zarar, tazminat planı hazırlanıyor
2022年6月24日,Harmony resmi cross-chain köprüleri Horizon saldırıya uğradı ve yaklaşık 1 milyar dolar para kaybına neden oldu.
26 Haziran'da, Harmony'nin kurucusu Stephen Tse, saldırının muhtemelen "özel anahtar sızıntısı" nedeniyle olduğunu kabul etti. Fonlar Ethereum ve BNB zincirinde çalındı, bunlar arasında BUSD, USDC, ETH, WBTC gibi varlıklar bulunuyor. Daha önce, Ethereum ile Horizon arasındaki çoklu imza işleminde fonları transfer etmek için 5'ten 2'sinin imzası yeterliydi, sonrasında gerekli imza sayısı 5'ten 4'e çıkarıldı.
Harmony, 3 yıl içinde kullanıcıların ( kayıplarının bir kısmını telafi etmek amacıyla ONE token'larını artırmayı umuyordu, ancak toplulukla uzlaşma sağlanamadı. 27 Temmuz'da topluluk tazminat önerisi başlattıktan sonra, Stephen Tse topluluğun endişelerini anladığını belirtti ve tazminat planını yeniden düzenleyeceğini söyledi.
Nomad: 1.9 milyar dolar kayıp, işlemde
2 Ağustos 2022'de, Nomad likiditesi hızla tükendi ve güvenlik kazasından önce 190 milyon dolar likidite vardı. Kaza ayrıca Layer2 etkileşim protokolü Connext'in yaklaşık 3.34 milyon dolar kaybetmesine neden oldu; o sırada Connext, etkilenen zincirde yaklaşık 3.34 milyon dolar değerinde madAssets tutuyordu.
Araştırmacılar, kazanın Nomad'ın bir akıllı sözleşme güncellemesi sırasında güvenilir kökün 0x00 olarak başlatılmasından kaynaklandığını, bu durumun herhangi bir kişinin geçerli bir işlemle karşı tarafın adresini kendi adresiyle değiştirmesine ve ardından işlemi yayınlayarak Cross chain köprüleri üzerinden fonları çekmesine neden olduğunu düşünüyor.
Analizler, saldırının 1251 ETH adresini kapsadığını ve yaklaşık 190 milyon dolar tutarında bir miktarı etkilediğini gösteriyor. Bu miktarın %38'ini oluşturan 12 ENS adresi var. Proje ekibi kesin bir tazminat planı sunmadı, bazı beyaz şapkalı hackerlar ise fonları geri vermeye istekli olduklarını belirtti.
Özet
Cross chain köprüleri güvenlik kazaları sıkça meydana geliyor, dikkat edilmesi gerekiyor. Likidite sıralamasında ilk üçte yer alan Multichain, Portal)Wormhole( ve Poly Network güvenlik kazaları yaşamıştır. Bu durum, cross-chain köprülerinin yüksek riskli bir alan olduğunu göstermektedir; herhangi bir cross-chain köprüsünde tekrar güvenlik sorunları yaşanabilir.
Göreceli olarak, geliştirme ekibi arka planı iyi ve mali gücü güçlü olan cross-chain köprüleri, güvenlik kazalarından sonra, varlıkları geri almak veya tazminat ödemek için daha kolaydır; örneğin, Poly Network, Ronin Network, Wormhole gibi büyük miktarlarda çalınan fonların geri alınması veya tam tazminat ödenmesi.
Ekiplerin gerçek zamanlı izleme yapması ve aktif bir şekilde müdahale etmesi önemlidir, Hop Protocol ve StarGate, şüpheli faaliyet raporları aldıktan sonra hızlı bir şekilde müdahale ederek, hacker saldırılarını zamanında engelledi.