Cầu nối Cross-chain an toàn thường xuyên xảy ra sự cố: Ôn lại 10 vụ tấn công lớn, liên quan số tiền vượt quá 19 tỷ USD
Trong những năm gần đây, với sự phát triển của công nghệ blockchain, cầu nối Cross-chain được coi là cơ sở hạ tầng quan trọng kết nối các chuỗi công khai khác nhau, và tính an toàn của nó đã thu hút nhiều sự chú ý. Tuy nhiên, do quản lý một lượng lớn tiền và hoạt động thường xuyên, cầu nối Cross-chain đã trở thành mục tiêu hấp dẫn cho các cuộc tấn công của hacker. Bài viết này sẽ điểm lại 10 sự kiện tấn công cầu nối Cross-chain nghiêm trọng gần đây, tổng kết kinh nghiệm và bài học, nhằm cung cấp cảnh báo cho ngành.
1. ChainSwap: Lỗ 8 triệu USD
Vào tháng 7 năm 2021, ChainSwap đã遭遇 hai lần tấn công, tổng thiệt hại khoảng 8 triệu USD. Cuộc tấn công thứ hai ảnh hưởng đến hơn 20 dự án sử dụng ChainSwap. Nguyên nhân của cuộc tấn công là do giao thức không xác thực chặt chẽ tính hợp lệ của chữ ký. Sau đó, nhiều dự án đã bồi thường tổn thất cho người dùng thông qua cách chụp nhanh và phát hành lại token.
2. Poly Network:6.1 triệu đô la Mỹ bị đánh cắp đã được khôi phục hoàn toàn
Vào tháng 8 năm 2021, Poly Network đã bị tấn công, tổng thiệt hại lên tới khoảng 610 triệu USD trên nhiều chuỗi. Kẻ tấn công đã lợi dụng lỗ hổng quản lý quyền hợp đồng để sửa đổi địa chỉ xác thực của chuỗi mục tiêu. Cuối cùng, toàn bộ số tiền bị đánh cắp đã được hoàn trả.
3. Multichain:600 triệu đô la Mỹ đã được bồi thường
Vào tháng 1 năm 2022, Multichain đã phát hiện ra một lỗ hổng quan trọng ảnh hưởng đến nhiều loại token. Khoảng 7962 địa chỉ người dùng bị ảnh hưởng, thiệt hại lên tới 6 triệu đô la. Lỗ hổng xuất phát từ việc hợp đồng không kiểm tra đúng tính hợp pháp của token. Đội ngũ đã thu hồi gần 50% số tiền và tiến hành bồi thường.
4. QBridge: 80 triệu USD thiệt hại, chỉ 2% được bồi thường
Vào tháng 1 năm 2022, cầu nối QBridge của giao thức cho vay Qubit đã bị tấn công, gây thiệt hại khoảng 80 triệu USD. Kẻ tấn công đã lợi dụng lỗ hổng của hợp đồng để tạo ra xETH token trên BSC. Hiện tại 98% số tiền bị đánh cắp vẫn chưa được bồi thường.
5. Meter.io: Thiệt hại 4,4 triệu USD, cam kết bồi thường lợi nhuận trong tương lai
Vào tháng 2 năm 2022, cầu nối Cross-chain Meter Passport đã bị tấn công, gây thiệt hại 4,4 triệu đô la. Nguyên nhân là do có "giả định tin cậy sai" trong hợp đồng. Đội ngũ dự án cam kết sẽ bồi thường thiệt hại cho người dùng bằng lợi nhuận trong tương lai.
6. Ronin:6.2 triệu USD tổn thất đã được bồi thường
Vào tháng 3 năm 2022, chuỗi Ronin đứng sau Axie Infinity đã bị tấn công kỹ thuật xã hội, gây thiệt hại 6,2 triệu USD. Kẻ tấn công đã xâm nhập vào hệ thống thông qua việc tuyển dụng giả mạo, kiểm soát nhiều nút xác thực. Nhà phát triển Sky Mavis đã huy động 150 triệu USD để bồi thường cho người dùng.
7. Wormhole:3.26 triệu USD thiệt hại đã được bồi thường
Vào tháng 2 năm 2022, Wormhole bị tấn công, thiệt hại khoảng 326 triệu đô la. Kẻ tấn công đã lợi dụng lỗ hổng xác minh chữ ký ở đầu Solana để đúc một lượng lớn whETH. Jump Crypto đã đầu tư 120.000 ETH vào Wormhole để bù đắp thiệt hại.
8. EvoDeFi: Ước tính thiệt hại chưa xử lý ở mức hàng triệu đô la
Tháng 6 năm 2022, USDT trên DEX ValleySwap thuộc hệ sinh thái Oasis đã bị mất giá nghiêm trọng do cầu nối Cross-chain EVODeFi thiếu tính thanh khoản từ chuỗi nguồn. Số tiền thiệt hại cụ thể chưa được xác định, nhưng dự kiến lên tới hàng triệu đô la. Người dùng vẫn chưa được bồi thường cho những thiệt hại này.
9. Horizon: Thiệt hại gần 100 triệu USD, kế hoạch bồi thường đang được xây dựng
Vào tháng 6 năm 2022, cầu nối Cross-chain Horizon của Harmony đã bị tấn công, gây thiệt hại khoảng 100 triệu USD. Nguyên nhân có thể là do rò rỉ khóa riêng. Đội ngũ dự án đang thảo luận với cộng đồng để xây dựng phương án bồi thường.
10. Nomad: 190 triệu USD thiệt hại, một phần vốn có khả năng thu hồi
Vào tháng 8 năm 2022, cầu nối Cross-chain của Nomad đã bị tấn công, gây thiệt hại 190 triệu USD. Cuộc tấn công xuất phát từ một lỗi sơ đẳng trong quá trình nâng cấp hợp đồng. Một số hacker mũ trắng đã bày tỏ sự sẵn lòng trả lại tiền, nhưng kế hoạch bồi thường cụ thể vẫn chưa được xác định.
Tóm tắt
Cầu nối Cross-chain là một lĩnh vực có rủi ro cao, ngay cả những dự án hàng đầu cũng không tránh khỏi bị tấn công. Tuy nhiên, những dự án có nguồn lực tài chính mạnh mẽ và đội ngũ nền tảng vững chắc thường có khả năng xử lý vấn đề bồi thường tốt hơn sau các sự cố an ninh. Đối với người dùng, việc lựa chọn các dự án cầu nối Cross-chain có sức mạnh tốt có thể an toàn hơn. Đồng thời, các nhà phát triển nên tăng cường giám sát thời gian thực và cơ chế phản ứng nhanh để giảm thiểu tổn thất tiềm ẩn ở mức tối đa.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
7 thích
Phần thưởng
7
6
Chia sẻ
Bình luận
0/400
LightningLady
· 13giờ trước
Đều đã nghỉ ngơi rồi phải không?
Xem bản gốcTrả lời0
MetaverseHobo
· 13giờ trước
Nhiều chuyện như vậy quá đi.
Xem bản gốcTrả lời0
OldLeekMaster
· 13giờ trước
Chúng ta đồ ngốc thật khổ sở!
Xem bản gốcTrả lời0
InscriptionGriller
· 13giờ trước
Tôi khuyên các đồ ngốc nên cẩn thận, ngay cả lỗ hổng cấp thấp như ký tên cũng có thể bị va chạm.
Cầu nối Cross-chain an toàn gặp rủi ro thường xuyên: 10 trường hợp tấn công gây thiệt hại hơn 1,9 tỷ USD
Cầu nối Cross-chain an toàn thường xuyên xảy ra sự cố: Ôn lại 10 vụ tấn công lớn, liên quan số tiền vượt quá 19 tỷ USD
Trong những năm gần đây, với sự phát triển của công nghệ blockchain, cầu nối Cross-chain được coi là cơ sở hạ tầng quan trọng kết nối các chuỗi công khai khác nhau, và tính an toàn của nó đã thu hút nhiều sự chú ý. Tuy nhiên, do quản lý một lượng lớn tiền và hoạt động thường xuyên, cầu nối Cross-chain đã trở thành mục tiêu hấp dẫn cho các cuộc tấn công của hacker. Bài viết này sẽ điểm lại 10 sự kiện tấn công cầu nối Cross-chain nghiêm trọng gần đây, tổng kết kinh nghiệm và bài học, nhằm cung cấp cảnh báo cho ngành.
1. ChainSwap: Lỗ 8 triệu USD
Vào tháng 7 năm 2021, ChainSwap đã遭遇 hai lần tấn công, tổng thiệt hại khoảng 8 triệu USD. Cuộc tấn công thứ hai ảnh hưởng đến hơn 20 dự án sử dụng ChainSwap. Nguyên nhân của cuộc tấn công là do giao thức không xác thực chặt chẽ tính hợp lệ của chữ ký. Sau đó, nhiều dự án đã bồi thường tổn thất cho người dùng thông qua cách chụp nhanh và phát hành lại token.
2. Poly Network:6.1 triệu đô la Mỹ bị đánh cắp đã được khôi phục hoàn toàn
Vào tháng 8 năm 2021, Poly Network đã bị tấn công, tổng thiệt hại lên tới khoảng 610 triệu USD trên nhiều chuỗi. Kẻ tấn công đã lợi dụng lỗ hổng quản lý quyền hợp đồng để sửa đổi địa chỉ xác thực của chuỗi mục tiêu. Cuối cùng, toàn bộ số tiền bị đánh cắp đã được hoàn trả.
3. Multichain:600 triệu đô la Mỹ đã được bồi thường
Vào tháng 1 năm 2022, Multichain đã phát hiện ra một lỗ hổng quan trọng ảnh hưởng đến nhiều loại token. Khoảng 7962 địa chỉ người dùng bị ảnh hưởng, thiệt hại lên tới 6 triệu đô la. Lỗ hổng xuất phát từ việc hợp đồng không kiểm tra đúng tính hợp pháp của token. Đội ngũ đã thu hồi gần 50% số tiền và tiến hành bồi thường.
4. QBridge: 80 triệu USD thiệt hại, chỉ 2% được bồi thường
Vào tháng 1 năm 2022, cầu nối QBridge của giao thức cho vay Qubit đã bị tấn công, gây thiệt hại khoảng 80 triệu USD. Kẻ tấn công đã lợi dụng lỗ hổng của hợp đồng để tạo ra xETH token trên BSC. Hiện tại 98% số tiền bị đánh cắp vẫn chưa được bồi thường.
5. Meter.io: Thiệt hại 4,4 triệu USD, cam kết bồi thường lợi nhuận trong tương lai
Vào tháng 2 năm 2022, cầu nối Cross-chain Meter Passport đã bị tấn công, gây thiệt hại 4,4 triệu đô la. Nguyên nhân là do có "giả định tin cậy sai" trong hợp đồng. Đội ngũ dự án cam kết sẽ bồi thường thiệt hại cho người dùng bằng lợi nhuận trong tương lai.
6. Ronin:6.2 triệu USD tổn thất đã được bồi thường
Vào tháng 3 năm 2022, chuỗi Ronin đứng sau Axie Infinity đã bị tấn công kỹ thuật xã hội, gây thiệt hại 6,2 triệu USD. Kẻ tấn công đã xâm nhập vào hệ thống thông qua việc tuyển dụng giả mạo, kiểm soát nhiều nút xác thực. Nhà phát triển Sky Mavis đã huy động 150 triệu USD để bồi thường cho người dùng.
7. Wormhole:3.26 triệu USD thiệt hại đã được bồi thường
Vào tháng 2 năm 2022, Wormhole bị tấn công, thiệt hại khoảng 326 triệu đô la. Kẻ tấn công đã lợi dụng lỗ hổng xác minh chữ ký ở đầu Solana để đúc một lượng lớn whETH. Jump Crypto đã đầu tư 120.000 ETH vào Wormhole để bù đắp thiệt hại.
8. EvoDeFi: Ước tính thiệt hại chưa xử lý ở mức hàng triệu đô la
Tháng 6 năm 2022, USDT trên DEX ValleySwap thuộc hệ sinh thái Oasis đã bị mất giá nghiêm trọng do cầu nối Cross-chain EVODeFi thiếu tính thanh khoản từ chuỗi nguồn. Số tiền thiệt hại cụ thể chưa được xác định, nhưng dự kiến lên tới hàng triệu đô la. Người dùng vẫn chưa được bồi thường cho những thiệt hại này.
9. Horizon: Thiệt hại gần 100 triệu USD, kế hoạch bồi thường đang được xây dựng
Vào tháng 6 năm 2022, cầu nối Cross-chain Horizon của Harmony đã bị tấn công, gây thiệt hại khoảng 100 triệu USD. Nguyên nhân có thể là do rò rỉ khóa riêng. Đội ngũ dự án đang thảo luận với cộng đồng để xây dựng phương án bồi thường.
10. Nomad: 190 triệu USD thiệt hại, một phần vốn có khả năng thu hồi
Vào tháng 8 năm 2022, cầu nối Cross-chain của Nomad đã bị tấn công, gây thiệt hại 190 triệu USD. Cuộc tấn công xuất phát từ một lỗi sơ đẳng trong quá trình nâng cấp hợp đồng. Một số hacker mũ trắng đã bày tỏ sự sẵn lòng trả lại tiền, nhưng kế hoạch bồi thường cụ thể vẫn chưa được xác định.
Tóm tắt
Cầu nối Cross-chain là một lĩnh vực có rủi ro cao, ngay cả những dự án hàng đầu cũng không tránh khỏi bị tấn công. Tuy nhiên, những dự án có nguồn lực tài chính mạnh mẽ và đội ngũ nền tảng vững chắc thường có khả năng xử lý vấn đề bồi thường tốt hơn sau các sự cố an ninh. Đối với người dùng, việc lựa chọn các dự án cầu nối Cross-chain có sức mạnh tốt có thể an toàn hơn. Đồng thời, các nhà phát triển nên tăng cường giám sát thời gian thực và cơ chế phản ứng nhanh để giảm thiểu tổn thất tiềm ẩn ở mức tối đa.