Cầu nối Cross-chain tấn công sự kiện tổng hợp: gần 2 tỷ USD tổn thất, hơn 1,5 tỷ USD được bồi thường hoặc thu hồi
Trong hệ sinh thái blockchain có nhiều chuỗi công cộng, nhưng do thiếu tài sản chính thống, hầu hết đều cần thông qua cầu nối Cross-chain để lấy tài sản từ các chuỗi công cộng chính như Ethereum. Gần đây, các sự cố an ninh trong lĩnh vực DeFi xảy ra thường xuyên, cầu nối Cross-chain trở thành mục tiêu chính của kẻ tấn công do lượng tiền lớn lưu chuyển. Bài viết này tổng hợp 10 sự kiện tấn công cầu nối Cross-chain quy mô lớn đã xảy ra trong quá khứ, nhắc nhở các đội phát triển cần phải luôn cảnh giác với rủi ro an ninh. Cần lưu ý rằng, các dự án cầu nối Cross-chain có nền tảng vững chắc và sức mạnh tài chính lớn thường có khả năng thu hồi tài sản hoặc bồi thường cho người dùng nhiều hơn sau khi gặp sự cố an ninh, do đó người dùng chọn cầu nối Cross-chain có sức mạnh tương đối sẽ an toàn hơn.
ChainSwap: 800 triệu USD thiệt hại, bồi thường thông qua phát hành lại token
Vào tháng 7 năm 2021, ChainSwap đã trải qua hai cuộc tấn công hacker, lần đầu tiên thiệt hại khoảng 800.000 USD, lần thứ hai thiệt hại khoảng 8.000.000 USD. Cuộc tấn công thứ hai có phạm vi ảnh hưởng rộng hơn, hơn 20 dự án sử dụng ChainSwap để thực hiện chuỗi cross bị ảnh hưởng.
Cuộc điều tra cho thấy, nguyên nhân của vụ tai nạn là do hợp đồng không xác minh chặt chẽ tính hợp lệ của chữ ký, cho phép kẻ tấn công sử dụng chữ ký tự tạo của mình để ký các giao dịch. Do thiệt hại chủ yếu là các mã thông báo quản trị của các dự án, nhiều dự án bao gồm cả ChainSwap quyết định thực hiện chụp ảnh và phát hành mã thông báo mới, để bù đắp cho các nhà nắm giữ mã thông báo và nhà cung cấp thanh khoản.
Poly Network: 6.1 triệu đô la Mỹ đã được khôi phục hoàn toàn
Ngày 10 tháng 8 năm 2021, giao thức tương tác chuỗi cross Poly Network đã bị tấn công bởi hacker, mất khoảng 250 triệu, 270 triệu và 85 triệu đô la tài sản trên Ethereum, Binance Smart Chain và Polygon, tổng cộng khoảng 610 triệu đô la.
Cuộc tấn công chủ yếu khai thác lỗ hổng trong logic quản lý quyền của hợp đồng Poly Network. Kẻ tấn công đã xây dựng một thao tác trên chuỗi nguồn để thay đổi người xác thực của chuỗi mục tiêu thành địa chỉ của chính mình; bộ chuyển tiếp chính thức đã không phòng bị và đã gửi và thực hiện thao tác đó; kẻ tấn công sau đó đã ký các tài sản chuyển ra bằng địa chỉ người xác thực đã thay thế; giao dịch đã được xác thực và thực hiện, tài sản đã được chuyển đến địa chỉ của hacker.
Kẻ tấn công đã chuẩn bị trước, nguồn vốn ban đầu là tiền ẩn danh XMR, sau đó đổi thành BNB, ETH, MATIC tại sàn giao dịch không cần KYC để rút tiền. Nhưng cuối cùng, hacker đã hoàn lại toàn bộ số tiền, Poly Network cũng gọi họ là "hacker mũ trắng" và mời họ làm cố vấn an ninh trưởng của công ty.
Multichain:600 triệu đô la Mỹ tổn thất, đã bồi thường
Ngày 18 tháng 1 năm 2022, Multichain phát hiện một lỗ hổng nghiêm trọng ảnh hưởng đến sáu loại token là WETH, PERI, OMT, WBNB, MATIC, AVAX. Mặc dù lỗ hổng đã được khắc phục, nhưng người dùng vẫn cần nhanh chóng thu hồi quyền hạn để tránh rủi ro tài sản. Một tháng sau, Multichain công bố báo cáo điều tra cho thấy có tổng cộng 7962 địa chỉ người dùng bị ảnh hưởng, trong đó 4861 địa chỉ đã thu hồi quyền hạn, 3101 địa chỉ chưa thu hồi. Tổng cộng có 1889.6612 WETH và 833.4191 AVAX đã bị đánh cắp, theo giá vào ngày 18 tháng 1 ước tính khoảng 604 triệu đô la.
Đội ngũ an ninh phân tích cho rằng, nguyên nhân bị đánh cắp là do Multichain gặp sự cố trong việc kiểm tra tính hợp pháp của Token do người dùng gửi vào, không xem xét rằng không phải tất cả các đồng tiền cơ sở đều thực hiện chức năng permit, dẫn đến WETH được ủy quyền trước đó cho hợp đồng AnyswapV4Router bị chuyển đến địa chỉ độc hại do kẻ tấn công tạo ra.
Khi phát hành báo cáo điều tra, đã có 912.7984 WETH và 125 AVAX được thu hồi, chiếm gần 50% số tiền bị đánh cắp. Nhóm đề xuất hoàn lại số tiền thu hồi cho những người dùng đã hủy quyền hợp đồng, nhưng sẽ không bồi thường cho những thiệt hại sau 24:00 ngày 18 tháng 2.
QBridge:8000 triệu đô la Mỹ thiệt hại, chỉ bồi thường 2%
Ngày 28 tháng 1 năm 2022, cầu nối Cross-chain QBridge của giao thức cho vay Qubit đã bị tấn công, thiệt hại khoảng 80 triệu USD.
Nguyên nhân của sự cố là do QBridge khi chuyển token trong danh sách trắng đã không kiểm tra lại xem có phải là địa chỉ không. Trong trường hợp việc nạp ETH và token ERC20 được thực hiện riêng biệt, hàm deposit được sử dụng để nạp token ERC20 đã bị hacker lợi dụng, thiết lập địa chỉ token ERC20 thành địa chỉ không, mà không nạp bất kỳ token nào, đã tạo ra số lượng lớn token xETH trên BSC. Hacker sau đó đã dùng những xETH này làm tài sản thế chấp để vay các token khác từ Qubit, dẫn đến việc tài sản thế chấp của Qubit cạn kiệt.
Hiện tại Qubit gần như không còn ai sử dụng, trang web cho thấy 98% số tiền bị đánh cắp vẫn chưa được bồi thường.
Meter.io: 440 triệu USD tổn thất, bồi thường bằng doanh thu tương lai
Ngày 6 tháng 2 năm 2022, cầu nối Cross-chain Meter Passport đã bị lợi dụng một cách ác ý, gây ra thiệt hại 4,4 triệu đô la.
Meter chính thức cho biết, vấn đề nằm ở "giả định tin cậy sai" trong mã nguồn mở rộng Meter, cho phép hacker "gọi chức năng gửi ERC20 cơ bản" để giả mạo chuyển khoản BNB và ETH.
Meter ban đầu cho biết sẽ sử dụng token MTRG để bồi thường cho người dùng về tổn thất BNB và WETH. Tuy nhiên, sau cuộc bỏ phiếu quản trị, quyết định phát hành token PASS mới để bồi thường cho người dùng, và sẽ sử dụng doanh thu trong tương lai của Meter để mua lại token PASS, nhưng hiện tại vẫn chưa tiến hành bất kỳ việc mua lại nào.
Ronin: 6,2 triệu đô la Mỹ thiệt hại, đã bồi thường
Tối ngày 29 tháng 3 năm 2022, quỹ của chuỗi Ronin đứng sau Axie Infinity đã bị đánh cắp. Cuộc tấn công xảy ra vào ngày 23 tháng 3, nhưng mãi đến ngày 29 tháng 3 mới được phát hiện, gây thiệt hại khoảng 620 triệu USD.
Cuộc điều tra cho thấy, vụ hack Ronin xuất phát từ một cuộc tấn công kỹ thuật xã hội. Nhân viên của một công ty giả mạo đã liên hệ với nhân viên của Axie Infinity và nhà phát triển Ronin Sky Mavis qua LinkedIn, khuyến khích họ nộp đơn xin việc. Một nhân viên của Sky Mavis đã nhận được "Offer" sau nhiều vòng phỏng vấn. Sau khi tải xuống thư mời nhập học giả mạo "Offer", phần mềm của hacker đã xâm nhập vào hệ thống Ronin, chiếm quyền điều khiển 4 trong số 9 xác thực viên. Sau đó, hacker đã kiểm soát Axie DAO thông qua Sky Mavis, nơi đã cho phép Sky Mavis ký hợp đồng thay mặt nó. Một khi kẻ tấn công truy cập vào Sky Mavis, họ có thể nhận được chữ ký từ xác thực viên Axie DAO.
Ronin bị đánh cắp tiền chưa thể thu hồi. Vào ngày 4 tháng 4, Sky Mavis thông báo hoàn thành vòng gọi vốn 150 triệu USD do Binance dẫn dắt, để bồi thường thiệt hại cho người dùng. Vào ngày 29 tháng 6, Sky Mavis đã tái ra mắt cầu nối Ronin, người dùng có thể nhận bồi thường. Tuy nhiên, số tiền bị đánh cắp chủ yếu là ETH(173600 ETH và 2550 triệu USDC), trong khoảng thời gian từ khi bị tấn công đến khi bồi thường, giá ETH đã giảm khoảng 2/3.
Wormhole: 3,26 triệu USD tổn thất, đã bồi thường
Ngày 3 tháng 2 năm 2022, giao thức tương tác chuỗi cross Wormhole đã bị tấn công bởi hacker, thiệt hại khoảng 120.000 ETH, trị giá khoảng 3,26 tỷ USD.
Tin tặc đã phát hành một lượng lớn whETH trên đầu Solana của Wormhole và rút toàn bộ ETH từ Ethereum. Vào ngày 5 tháng 2, Wormhole báo cáo rằng lỗ hổng này xuất phát từ lỗi trong mã xác thực chữ ký của hợp đồng cốt lõi Wormhole ở đầu Solana, kẻ tấn công có thể giả mạo thông điệp "người giám hộ" để đúc whETH.
Ngày 4 tháng 2, Jump Crypto( trước đây đã mua lại công ty phát triển Wormhole Certus One) thông báo đã đầu tư 120.000 ETH vào Wormhole để bù đắp thiệt hại do bị đánh cắp, Wormhole sau đó đã khôi phục hoạt động.
EvoDeFi: Dự kiến lỗ hàng triệu đô la, chưa xử lý
Vào ngày 7 tháng 6 năm 2022, USDT đã bị mất giá nghiêm trọng trên DEX ValleySwap của hệ sinh thái Oasis. ValleySwap từng là DEX lớn nhất trên chuỗi Oasis, với TVL cao nhất là 220 triệu USD. Do lợi tức khai thác thanh khoản cao của cặp giao dịch USDC-USDT, một số người dùng đã sử dụng hai loại stablecoin này để khai thác trên ValleySwap. Dữ liệu cho thấy, dòng vốn của ValleySwap đã bắt đầu rút ra mạnh mẽ từ ngày 4 tháng 6, TVL vào ngày 7 tháng 6 là 88,78 triệu USD, số tiền thiệt hại cụ thể chưa được biết, dự kiến ở mức hàng chục triệu USD.
Nguyên nhân ValleySwap bị mất giá tài sản là do cầu nối Cross-chain EVODeFi trên chuỗi nguồn thiếu thanh khoản. EVODeFi cho rằng đây là do sự hoảng loạn FUD, nhưng lý do này rõ ràng không có cơ sở. Oasis đã phản hồi chính thức rằng họ đã cảnh báo về rủi ro của EVODeFi, Oasis không liên quan đến ValleySwap và EvoDeFi, EvoDeFi là một dự án rủi ro cao, chưa được kiểm toán, không mã nguồn mở và tập trung. Sự cố lần này có thể là do EVODeFi đánh cắp tài sản của người dùng thông qua lỗ hổng.
Người dùng chưa có giải pháp cho tổn thất, Oasis gấp rút cắt đứt quan hệ, ValleySwap và Twitter chính thức của EVODeFi đã ngừng cập nhật sau ngày 8 tháng 6, thực tế đã bỏ trốn.
Horizon: Gần 100 triệu USD thiệt hại, đang xây dựng kế hoạch bồi thường
Ngày 24 tháng 6 năm 2022, cầu nối Cross-chain Horizon chính thức của Harmony đã bị tấn công, gây thiệt hại khoảng 100 triệu đô la.
Vào ngày 26 tháng 6, người sáng lập Harmony, Stephen Tse, thừa nhận rằng có thể "rò rỉ khóa riêng" đã dẫn đến cuộc tấn công. Quỹ đã bị đánh cắp trên Ethereum và chuỗi BNB, bao gồm BUSD, USDC, ETH, WBTC, v.v. Trước đây, số chữ ký yêu cầu để chuyển tiền giữa Ethereum và Horizon chỉ cần 2 trong số 5, nhưng sau đó số lượng chữ ký cần thiết đã được thay đổi thành 4 trong số 5.
Harmony từng hy vọng thông qua việc phát hành thêm token ONE, trong 3 năm sẽ bồi thường cho người dùng ( một phần tổn thất ), nhưng chưa đạt được sự đồng thuận với cộng đồng. Sau khi cộng đồng khởi xướng đề xuất bồi thường vào ngày 27 tháng 7, Stephen Tse đã bày tỏ sự hiểu biết về lo ngại của cộng đồng và sẽ xây dựng lại kế hoạch bồi thường.
Nomad: 1,9 triệu USD thiệt hại, đang xử lý
Vào ngày 2 tháng 8 năm 2022, tính thanh khoản của Nomad đã cạn kiệt nhanh chóng, trước sự cố có tổng cộng 190 triệu USD thanh khoản. Sự cố cũng đã dẫn đến việc giao thức tương tác Layer2 Connext mất khoảng 3,34 triệu USD, khi đó Connext nắm giữ khoảng 3,34 triệu USD madAssets trên chuỗi bị ảnh hưởng.
Các nhà nghiên cứu phân tích cho rằng, sự cố xuất phát từ việc nâng cấp hợp đồng của Nomad đã khởi tạo gốc tin cậy thành 0x00, dẫn đến việc bất kỳ ai cũng có thể sử dụng giao dịch hợp lệ để thay thế địa chỉ của người khác bằng địa chỉ của mình, sau đó phát sóng giao dịch để rút tiền từ cầu nối Cross-chain.
Phân tích cho thấy, cuộc tấn công liên quan đến 1251 địa chỉ ETH, với số tiền khoảng 190 triệu USD, trong đó 12 địa chỉ ENS chiếm khoảng 38% tổng số. Nhóm dự án chưa đưa ra kế hoạch bồi thường cụ thể, một số hacker mũ trắng cho biết sẵn sàng hoàn trả tiền.
Tóm tắt
Các sự cố an toàn cầu nối Cross-chain xảy ra thường xuyên đáng được cảnh giác, Multichain, Portal(Wormhole), Poly Network - ba nền tảng có thanh khoản đứng đầu - đều đã xảy ra sự cố an toàn, cho thấy cầu nối Cross-chain là lĩnh vực có nguy cơ cao, bất kỳ cầu nối Cross-chain nào cũng có thể gặp lại vấn đề an toàn.
So với những cầu nối Cross-chain có nền tảng đội ngũ phát triển tốt, năng lực tài chính mạnh, thì sau sự cố an ninh, họ dễ dàng lấy lại tài sản hoặc bồi thường hơn, như Poly Network, Ronin Network, Wormhole đã tìm lại hoặc bồi thường đầy đủ số tiền lớn bị đánh cắp.
Việc theo dõi và xử lý kịp thời của đội ngũ là rất quan trọng, Hop Protocol và StarGate đã nhanh chóng xử lý khi nhận được báo cáo về hoạt động đáng ngờ, kịp thời ngăn chặn cuộc tấn công của hacker.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
10 thích
Phần thưởng
10
4
Đăng lại
Chia sẻ
Bình luận
0/400
NewDAOdreamer
· 22giờ trước
Tại sao rủi ro an toàn của những cây cầu này lại lớn như vậy... sợ mất tiền
Xem bản gốcTrả lời0
TideReceder
· 08-15 15:14
Đại gia cầu nối Cross-chain cho tiền thì là bull, nghèo khó hoàn tiền thì cực kỳ khó khăn.
Xem bản gốcTrả lời0
ponzi_poet
· 08-15 14:54
cầu nối Cross-chain打钱奥 An toàn kỹ thuật trọng tại tham gia
cầu nối Cross-chain an toàn sự cố thường xuyên xảy ra Gần 20 tỷ USD tổn thất Hơn 15 tỷ đã được thu hồi hoặc bồi thường
Cầu nối Cross-chain tấn công sự kiện tổng hợp: gần 2 tỷ USD tổn thất, hơn 1,5 tỷ USD được bồi thường hoặc thu hồi
Trong hệ sinh thái blockchain có nhiều chuỗi công cộng, nhưng do thiếu tài sản chính thống, hầu hết đều cần thông qua cầu nối Cross-chain để lấy tài sản từ các chuỗi công cộng chính như Ethereum. Gần đây, các sự cố an ninh trong lĩnh vực DeFi xảy ra thường xuyên, cầu nối Cross-chain trở thành mục tiêu chính của kẻ tấn công do lượng tiền lớn lưu chuyển. Bài viết này tổng hợp 10 sự kiện tấn công cầu nối Cross-chain quy mô lớn đã xảy ra trong quá khứ, nhắc nhở các đội phát triển cần phải luôn cảnh giác với rủi ro an ninh. Cần lưu ý rằng, các dự án cầu nối Cross-chain có nền tảng vững chắc và sức mạnh tài chính lớn thường có khả năng thu hồi tài sản hoặc bồi thường cho người dùng nhiều hơn sau khi gặp sự cố an ninh, do đó người dùng chọn cầu nối Cross-chain có sức mạnh tương đối sẽ an toàn hơn.
ChainSwap: 800 triệu USD thiệt hại, bồi thường thông qua phát hành lại token
Vào tháng 7 năm 2021, ChainSwap đã trải qua hai cuộc tấn công hacker, lần đầu tiên thiệt hại khoảng 800.000 USD, lần thứ hai thiệt hại khoảng 8.000.000 USD. Cuộc tấn công thứ hai có phạm vi ảnh hưởng rộng hơn, hơn 20 dự án sử dụng ChainSwap để thực hiện chuỗi cross bị ảnh hưởng.
Cuộc điều tra cho thấy, nguyên nhân của vụ tai nạn là do hợp đồng không xác minh chặt chẽ tính hợp lệ của chữ ký, cho phép kẻ tấn công sử dụng chữ ký tự tạo của mình để ký các giao dịch. Do thiệt hại chủ yếu là các mã thông báo quản trị của các dự án, nhiều dự án bao gồm cả ChainSwap quyết định thực hiện chụp ảnh và phát hành mã thông báo mới, để bù đắp cho các nhà nắm giữ mã thông báo và nhà cung cấp thanh khoản.
Poly Network: 6.1 triệu đô la Mỹ đã được khôi phục hoàn toàn
Ngày 10 tháng 8 năm 2021, giao thức tương tác chuỗi cross Poly Network đã bị tấn công bởi hacker, mất khoảng 250 triệu, 270 triệu và 85 triệu đô la tài sản trên Ethereum, Binance Smart Chain và Polygon, tổng cộng khoảng 610 triệu đô la.
Cuộc tấn công chủ yếu khai thác lỗ hổng trong logic quản lý quyền của hợp đồng Poly Network. Kẻ tấn công đã xây dựng một thao tác trên chuỗi nguồn để thay đổi người xác thực của chuỗi mục tiêu thành địa chỉ của chính mình; bộ chuyển tiếp chính thức đã không phòng bị và đã gửi và thực hiện thao tác đó; kẻ tấn công sau đó đã ký các tài sản chuyển ra bằng địa chỉ người xác thực đã thay thế; giao dịch đã được xác thực và thực hiện, tài sản đã được chuyển đến địa chỉ của hacker.
Kẻ tấn công đã chuẩn bị trước, nguồn vốn ban đầu là tiền ẩn danh XMR, sau đó đổi thành BNB, ETH, MATIC tại sàn giao dịch không cần KYC để rút tiền. Nhưng cuối cùng, hacker đã hoàn lại toàn bộ số tiền, Poly Network cũng gọi họ là "hacker mũ trắng" và mời họ làm cố vấn an ninh trưởng của công ty.
Multichain:600 triệu đô la Mỹ tổn thất, đã bồi thường
Ngày 18 tháng 1 năm 2022, Multichain phát hiện một lỗ hổng nghiêm trọng ảnh hưởng đến sáu loại token là WETH, PERI, OMT, WBNB, MATIC, AVAX. Mặc dù lỗ hổng đã được khắc phục, nhưng người dùng vẫn cần nhanh chóng thu hồi quyền hạn để tránh rủi ro tài sản. Một tháng sau, Multichain công bố báo cáo điều tra cho thấy có tổng cộng 7962 địa chỉ người dùng bị ảnh hưởng, trong đó 4861 địa chỉ đã thu hồi quyền hạn, 3101 địa chỉ chưa thu hồi. Tổng cộng có 1889.6612 WETH và 833.4191 AVAX đã bị đánh cắp, theo giá vào ngày 18 tháng 1 ước tính khoảng 604 triệu đô la.
Đội ngũ an ninh phân tích cho rằng, nguyên nhân bị đánh cắp là do Multichain gặp sự cố trong việc kiểm tra tính hợp pháp của Token do người dùng gửi vào, không xem xét rằng không phải tất cả các đồng tiền cơ sở đều thực hiện chức năng permit, dẫn đến WETH được ủy quyền trước đó cho hợp đồng AnyswapV4Router bị chuyển đến địa chỉ độc hại do kẻ tấn công tạo ra.
Khi phát hành báo cáo điều tra, đã có 912.7984 WETH và 125 AVAX được thu hồi, chiếm gần 50% số tiền bị đánh cắp. Nhóm đề xuất hoàn lại số tiền thu hồi cho những người dùng đã hủy quyền hợp đồng, nhưng sẽ không bồi thường cho những thiệt hại sau 24:00 ngày 18 tháng 2.
QBridge:8000 triệu đô la Mỹ thiệt hại, chỉ bồi thường 2%
Ngày 28 tháng 1 năm 2022, cầu nối Cross-chain QBridge của giao thức cho vay Qubit đã bị tấn công, thiệt hại khoảng 80 triệu USD.
Nguyên nhân của sự cố là do QBridge khi chuyển token trong danh sách trắng đã không kiểm tra lại xem có phải là địa chỉ không. Trong trường hợp việc nạp ETH và token ERC20 được thực hiện riêng biệt, hàm deposit được sử dụng để nạp token ERC20 đã bị hacker lợi dụng, thiết lập địa chỉ token ERC20 thành địa chỉ không, mà không nạp bất kỳ token nào, đã tạo ra số lượng lớn token xETH trên BSC. Hacker sau đó đã dùng những xETH này làm tài sản thế chấp để vay các token khác từ Qubit, dẫn đến việc tài sản thế chấp của Qubit cạn kiệt.
Hiện tại Qubit gần như không còn ai sử dụng, trang web cho thấy 98% số tiền bị đánh cắp vẫn chưa được bồi thường.
Meter.io: 440 triệu USD tổn thất, bồi thường bằng doanh thu tương lai
Ngày 6 tháng 2 năm 2022, cầu nối Cross-chain Meter Passport đã bị lợi dụng một cách ác ý, gây ra thiệt hại 4,4 triệu đô la.
Meter chính thức cho biết, vấn đề nằm ở "giả định tin cậy sai" trong mã nguồn mở rộng Meter, cho phép hacker "gọi chức năng gửi ERC20 cơ bản" để giả mạo chuyển khoản BNB và ETH.
Meter ban đầu cho biết sẽ sử dụng token MTRG để bồi thường cho người dùng về tổn thất BNB và WETH. Tuy nhiên, sau cuộc bỏ phiếu quản trị, quyết định phát hành token PASS mới để bồi thường cho người dùng, và sẽ sử dụng doanh thu trong tương lai của Meter để mua lại token PASS, nhưng hiện tại vẫn chưa tiến hành bất kỳ việc mua lại nào.
Ronin: 6,2 triệu đô la Mỹ thiệt hại, đã bồi thường
Tối ngày 29 tháng 3 năm 2022, quỹ của chuỗi Ronin đứng sau Axie Infinity đã bị đánh cắp. Cuộc tấn công xảy ra vào ngày 23 tháng 3, nhưng mãi đến ngày 29 tháng 3 mới được phát hiện, gây thiệt hại khoảng 620 triệu USD.
Cuộc điều tra cho thấy, vụ hack Ronin xuất phát từ một cuộc tấn công kỹ thuật xã hội. Nhân viên của một công ty giả mạo đã liên hệ với nhân viên của Axie Infinity và nhà phát triển Ronin Sky Mavis qua LinkedIn, khuyến khích họ nộp đơn xin việc. Một nhân viên của Sky Mavis đã nhận được "Offer" sau nhiều vòng phỏng vấn. Sau khi tải xuống thư mời nhập học giả mạo "Offer", phần mềm của hacker đã xâm nhập vào hệ thống Ronin, chiếm quyền điều khiển 4 trong số 9 xác thực viên. Sau đó, hacker đã kiểm soát Axie DAO thông qua Sky Mavis, nơi đã cho phép Sky Mavis ký hợp đồng thay mặt nó. Một khi kẻ tấn công truy cập vào Sky Mavis, họ có thể nhận được chữ ký từ xác thực viên Axie DAO.
Ronin bị đánh cắp tiền chưa thể thu hồi. Vào ngày 4 tháng 4, Sky Mavis thông báo hoàn thành vòng gọi vốn 150 triệu USD do Binance dẫn dắt, để bồi thường thiệt hại cho người dùng. Vào ngày 29 tháng 6, Sky Mavis đã tái ra mắt cầu nối Ronin, người dùng có thể nhận bồi thường. Tuy nhiên, số tiền bị đánh cắp chủ yếu là ETH(173600 ETH và 2550 triệu USDC), trong khoảng thời gian từ khi bị tấn công đến khi bồi thường, giá ETH đã giảm khoảng 2/3.
Wormhole: 3,26 triệu USD tổn thất, đã bồi thường
Ngày 3 tháng 2 năm 2022, giao thức tương tác chuỗi cross Wormhole đã bị tấn công bởi hacker, thiệt hại khoảng 120.000 ETH, trị giá khoảng 3,26 tỷ USD.
Tin tặc đã phát hành một lượng lớn whETH trên đầu Solana của Wormhole và rút toàn bộ ETH từ Ethereum. Vào ngày 5 tháng 2, Wormhole báo cáo rằng lỗ hổng này xuất phát từ lỗi trong mã xác thực chữ ký của hợp đồng cốt lõi Wormhole ở đầu Solana, kẻ tấn công có thể giả mạo thông điệp "người giám hộ" để đúc whETH.
Ngày 4 tháng 2, Jump Crypto( trước đây đã mua lại công ty phát triển Wormhole Certus One) thông báo đã đầu tư 120.000 ETH vào Wormhole để bù đắp thiệt hại do bị đánh cắp, Wormhole sau đó đã khôi phục hoạt động.
EvoDeFi: Dự kiến lỗ hàng triệu đô la, chưa xử lý
Vào ngày 7 tháng 6 năm 2022, USDT đã bị mất giá nghiêm trọng trên DEX ValleySwap của hệ sinh thái Oasis. ValleySwap từng là DEX lớn nhất trên chuỗi Oasis, với TVL cao nhất là 220 triệu USD. Do lợi tức khai thác thanh khoản cao của cặp giao dịch USDC-USDT, một số người dùng đã sử dụng hai loại stablecoin này để khai thác trên ValleySwap. Dữ liệu cho thấy, dòng vốn của ValleySwap đã bắt đầu rút ra mạnh mẽ từ ngày 4 tháng 6, TVL vào ngày 7 tháng 6 là 88,78 triệu USD, số tiền thiệt hại cụ thể chưa được biết, dự kiến ở mức hàng chục triệu USD.
Nguyên nhân ValleySwap bị mất giá tài sản là do cầu nối Cross-chain EVODeFi trên chuỗi nguồn thiếu thanh khoản. EVODeFi cho rằng đây là do sự hoảng loạn FUD, nhưng lý do này rõ ràng không có cơ sở. Oasis đã phản hồi chính thức rằng họ đã cảnh báo về rủi ro của EVODeFi, Oasis không liên quan đến ValleySwap và EvoDeFi, EvoDeFi là một dự án rủi ro cao, chưa được kiểm toán, không mã nguồn mở và tập trung. Sự cố lần này có thể là do EVODeFi đánh cắp tài sản của người dùng thông qua lỗ hổng.
Người dùng chưa có giải pháp cho tổn thất, Oasis gấp rút cắt đứt quan hệ, ValleySwap và Twitter chính thức của EVODeFi đã ngừng cập nhật sau ngày 8 tháng 6, thực tế đã bỏ trốn.
Horizon: Gần 100 triệu USD thiệt hại, đang xây dựng kế hoạch bồi thường
Ngày 24 tháng 6 năm 2022, cầu nối Cross-chain Horizon chính thức của Harmony đã bị tấn công, gây thiệt hại khoảng 100 triệu đô la.
Vào ngày 26 tháng 6, người sáng lập Harmony, Stephen Tse, thừa nhận rằng có thể "rò rỉ khóa riêng" đã dẫn đến cuộc tấn công. Quỹ đã bị đánh cắp trên Ethereum và chuỗi BNB, bao gồm BUSD, USDC, ETH, WBTC, v.v. Trước đây, số chữ ký yêu cầu để chuyển tiền giữa Ethereum và Horizon chỉ cần 2 trong số 5, nhưng sau đó số lượng chữ ký cần thiết đã được thay đổi thành 4 trong số 5.
Harmony từng hy vọng thông qua việc phát hành thêm token ONE, trong 3 năm sẽ bồi thường cho người dùng ( một phần tổn thất ), nhưng chưa đạt được sự đồng thuận với cộng đồng. Sau khi cộng đồng khởi xướng đề xuất bồi thường vào ngày 27 tháng 7, Stephen Tse đã bày tỏ sự hiểu biết về lo ngại của cộng đồng và sẽ xây dựng lại kế hoạch bồi thường.
Nomad: 1,9 triệu USD thiệt hại, đang xử lý
Vào ngày 2 tháng 8 năm 2022, tính thanh khoản của Nomad đã cạn kiệt nhanh chóng, trước sự cố có tổng cộng 190 triệu USD thanh khoản. Sự cố cũng đã dẫn đến việc giao thức tương tác Layer2 Connext mất khoảng 3,34 triệu USD, khi đó Connext nắm giữ khoảng 3,34 triệu USD madAssets trên chuỗi bị ảnh hưởng.
Các nhà nghiên cứu phân tích cho rằng, sự cố xuất phát từ việc nâng cấp hợp đồng của Nomad đã khởi tạo gốc tin cậy thành 0x00, dẫn đến việc bất kỳ ai cũng có thể sử dụng giao dịch hợp lệ để thay thế địa chỉ của người khác bằng địa chỉ của mình, sau đó phát sóng giao dịch để rút tiền từ cầu nối Cross-chain.
Phân tích cho thấy, cuộc tấn công liên quan đến 1251 địa chỉ ETH, với số tiền khoảng 190 triệu USD, trong đó 12 địa chỉ ENS chiếm khoảng 38% tổng số. Nhóm dự án chưa đưa ra kế hoạch bồi thường cụ thể, một số hacker mũ trắng cho biết sẵn sàng hoàn trả tiền.
Tóm tắt
Các sự cố an toàn cầu nối Cross-chain xảy ra thường xuyên đáng được cảnh giác, Multichain, Portal(Wormhole), Poly Network - ba nền tảng có thanh khoản đứng đầu - đều đã xảy ra sự cố an toàn, cho thấy cầu nối Cross-chain là lĩnh vực có nguy cơ cao, bất kỳ cầu nối Cross-chain nào cũng có thể gặp lại vấn đề an toàn.
So với những cầu nối Cross-chain có nền tảng đội ngũ phát triển tốt, năng lực tài chính mạnh, thì sau sự cố an ninh, họ dễ dàng lấy lại tài sản hoặc bồi thường hơn, như Poly Network, Ronin Network, Wormhole đã tìm lại hoặc bồi thường đầy đủ số tiền lớn bị đánh cắp.
Việc theo dõi và xử lý kịp thời của đội ngũ là rất quan trọng, Hop Protocol và StarGate đã nhanh chóng xử lý khi nhận được báo cáo về hoạt động đáng ngờ, kịp thời ngăn chặn cuộc tấn công của hacker.