Cầu nối Cross-chain sự kiện an ninh hồi tưởng: Mười cuộc tấn công liên quan hơn 1,9 tỷ USD
Cầu nối Cross-chain, như một cơ sở hạ tầng quan trọng kết nối các mạng blockchain khác nhau, đã thường xuyên trở thành mục tiêu của các cuộc tấn công của hacker trong những năm gần đây. Bài viết này sẽ điểm lại mười sự kiện an ninh lớn liên quan đến cầu nối Cross-chain, với tổng số tiền lên tới hơn 1,9 tỷ USD, trong đó khoảng 1,55 tỷ USD đã được thu hồi hoặc bồi thường. Những trường hợp này làm nổi bật rủi ro an ninh của cầu nối Cross-chain, đồng thời cũng cung cấp cho ngành những bài học quý giá.
ChainSwap: Hai cuộc tấn công đã gây thiệt hại khoảng 880 triệu USD
Vào tháng 7 năm 2021, ChainSwap đã liên tiếp phải đối mặt với hai cuộc tấn công của hacker. Lần đầu tiên thiệt hại khoảng 800.000 USD, lần thứ hai thiệt hại khoảng 8 triệu USD, ảnh hưởng đến hơn 20 dự án sử dụng cầu nối Cross-chain này. Cuộc điều tra cho thấy, nguồn tấn công xuất phát từ việc giao thức không kiểm tra chặt chẽ tính hợp lệ của chữ ký. Cuối cùng, nhiều dự án bị ảnh hưởng đã chọn thực hiện chụp nhanh và phát hành lại token để bù đắp thiệt hại cho người dùng.
Poly Network: Toàn bộ 6.1 triệu đô la bị đánh cắp đã được khôi phục
Vào tháng 8 năm 2021, Poly Network đã gặp phải cuộc tấn công cầu nối Cross-chain lớn nhất vào thời điểm đó, với số tiền lên tới 610 triệu đô la. Kẻ tấn công đã lợi dụng lỗ hổng quản lý quyền hợp đồng, thành công thay thế địa chỉ xác thực của chuỗi mục tiêu. Tuy nhiên, sự kiện này cuối cùng đã kết thúc một cách tốt đẹp, kẻ tấn công đã hoàn trả toàn bộ số tiền và được dự án gọi là "hacker mũ trắng".
Multichain:600万美元损失 đã được bồi thường một phần
Vào tháng 1 năm 2022, Multichain phát hiện một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều loại token. Mặc dù lỗ hổng đã được khắc phục, nhưng vẫn có khoảng 6 triệu đô la tài sản bị đánh cắp. Nguyên nhân là do hợp đồng có thiếu sót trong việc xác minh tính hợp pháp của token do người dùng nhập vào. Sau đó, nhóm đã thu hồi gần 50% số tiền bị đánh cắp và bồi thường cho những người dùng đã kịp thời thu hồi quyền truy cập.
QBridge: Mất 80 triệu USD chỉ bồi thường 2%
Cuối tháng 1 năm 2022, cầu nối Cross-chain QBridge của nền tảng cho vay Qubit đã bị tấn công, thiệt hại khoảng 80 triệu USD. Kẻ tấn công đã lợi dụng lỗ hổng trong hợp đồng khi xử lý token trong danh sách trắng, thành công trong việc mint một lượng lớn token giả trên BSC. Đến thời điểm hiện tại, phần lớn số tiền bị đánh cắp vẫn chưa được bồi thường, và tỷ lệ sử dụng của Qubit cũng đã giảm đáng kể.
Meter.io: Mất 4,4 triệu USD để bù đắp cho lợi nhuận trong tương lai
Vào tháng 2 năm 2022, cầu nối Cross-chain Meter Passport đã bị tấn công do "giả định tin cậy sai" trong mã, gây thiệt hại 4,4 triệu USD. Nhóm dự án cuối cùng đã quyết định phát hành token mới PASS để bồi thường và cam kết sẽ dùng lợi nhuận trong tương lai để mua lại những token này.
Ronin: Huy động vốn bồi thường sau khi bị đánh cắp 620 triệu USD
Vào tháng 3 năm 2022, chuỗi Ronin của trò chơi Axie Infinity đã bị tấn công lớn với số tiền 620 triệu đô la. Đây là một vụ tấn công điển hình bằng kỹ thuật xã hội, trong đó kẻ tấn công đã giả mạo cơ hội việc làm để có được quyền truy cập vào hệ thống. Mặc dù số tiền bị đánh cắp không thể thu hồi, nhưng đội phát triển Sky Mavis đã huy động được 150 triệu đô la để bồi thường cho tổn thất của người dùng.
Wormhole: 3.26 triệu đô la Mỹ thiệt hại được bồi thường tức thì
Vào tháng 2 năm 2022, Wormhole đã bị tấn công với số tiền 326 triệu đô la do lỗ hổng xác thực hợp đồng trên Solana. Đáng chú ý, Jump Crypto, tổ chức đứng sau dự án, đã nhanh chóng bơm vào một khoản tiền tương đương để giúp nền tảng phục hồi hoạt động bình thường.
EvoDeFi: Chưa xác định số tiền thua lỗ, hoặc có thể đã bỏ trốn
Vào tháng 6 năm 2022, DEX ValleySwap trong hệ sinh thái Oasis đã gặp phải vấn đề nghiêm trọng về việc mất giá tài sản do sử dụng cầu nối Cross-chain EvoDeFi. Số tiền thiệt hại cụ thể chưa được công bố, nhưng ước tính ở mức hàng triệu đô la. Thật đáng tiếc, các bên liên quan dường như đã ngừng hoạt động, và thiệt hại của người dùng vẫn chưa được giải quyết cho đến nay.
Horizon: Thiệt hại gần 100 triệu USD, kế hoạch bồi thường đang chờ xác định
Vào tháng 6 năm 2022, cầu nối Cross-chain chính thức Horizon của Harmony đã bị tấn công, với tổn thất gần 100 triệu đô la. Cuộc điều tra cho thấy, điều này có thể do rò rỉ khóa riêng. Bên dự án đã đề xuất bồi thường cho người dùng thông qua việc phát hành thêm token, nhưng kế hoạch vẫn chưa được xác định cuối cùng.
Nomad: 1,9 triệu USD bị đánh cắp, một phần tiền có thể sẽ được thu hồi
Vào tháng 8 năm 2022, cầu nối Cross-chain Nomad đã phải chịu một cuộc tấn công trị giá 190 triệu USD do một lỗi khởi tạo hợp đồng. Lỗi này cho phép bất kỳ ai cũng có thể rút tiền từ cầu nối. Mặc dù hiện tại chưa có kế hoạch bồi thường rõ ràng, nhưng một số hacker mũ trắng đã bày tỏ sẵn sàng trả lại tiền.
Tóm tắt
Các trường hợp này cho thấy ngay cả những dự án cầu nối Cross-chain hàng đầu cũng phải đối mặt với rủi ro an ninh nghiêm trọng. Đáng lưu ý là, những dự án có nguồn vốn mạnh và nền tảng vững chắc thường có khả năng xử lý khủng hoảng hiệu quả hơn sau khi bị tấn công, hoặc có thể bồi thường thông qua nguồn lực của chính họ. Điều này nhắc nhở người dùng rằng khi chọn cầu nối Cross-chain, không chỉ nên cân nhắc các yếu tố kỹ thuật mà còn phải đánh giá sức mạnh và uy tín của dự án. Đồng thời, các bên dự án cần tăng cường giám sát thời gian thực và cơ chế phản ứng nhanh để giảm thiểu tổn thất tiềm tàng.
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
9 thích
Phần thưởng
9
7
Chia sẻ
Bình luận
0/400
GateUser-2fce706c
· 23giờ trước
Đã dự đoán từ lâu! Đường đua này không an toàn, trước tình hình lớn phải nắm bắt cơ hội bố trí!
Xem bản gốcTrả lời0
BlockchainWorker
· 23giờ trước
Cây cầu này có đáng tin cậy không... lại mất tiền rồi.
Xem bản gốcTrả lời0
BearMarketBuyer
· 23giờ trước
Lại thấy cầu bị đen, không trách tôi luôn không dùng.
Xem bản gốcTrả lời0
ruggedNotShrugged
· 23giờ trước
Những anh em chuỗi cross này thật không đáng tin cậy.
Xem bản gốcTrả lời0
BearMarketSurvivor
· 23giờ trước
Dòng tiếp tế lại phát nổ, cựu binh không còn thấy lạ nữa.
Xem bản gốcTrả lời0
MidnightGenesis
· 23giờ trước
Giám sát on-chain cho thấy lại là lỗi xác thực chữ ký, vẫn là bệnh cũ.
Xem bản gốcTrả lời0
LongTermDreamer
· 23giờ trước
Ba năm sau không lỗ thì chính là thắng, ba mươi năm sau không cần nói nữa, người hiểu thì sẽ hiểu~
Điểm lại 10 sự kiện tấn công cầu nối Cross-chain: Thiệt hại vượt quá 1,9 tỷ USD, bài học an toàn sâu sắc.
Cầu nối Cross-chain sự kiện an ninh hồi tưởng: Mười cuộc tấn công liên quan hơn 1,9 tỷ USD
Cầu nối Cross-chain, như một cơ sở hạ tầng quan trọng kết nối các mạng blockchain khác nhau, đã thường xuyên trở thành mục tiêu của các cuộc tấn công của hacker trong những năm gần đây. Bài viết này sẽ điểm lại mười sự kiện an ninh lớn liên quan đến cầu nối Cross-chain, với tổng số tiền lên tới hơn 1,9 tỷ USD, trong đó khoảng 1,55 tỷ USD đã được thu hồi hoặc bồi thường. Những trường hợp này làm nổi bật rủi ro an ninh của cầu nối Cross-chain, đồng thời cũng cung cấp cho ngành những bài học quý giá.
ChainSwap: Hai cuộc tấn công đã gây thiệt hại khoảng 880 triệu USD
Vào tháng 7 năm 2021, ChainSwap đã liên tiếp phải đối mặt với hai cuộc tấn công của hacker. Lần đầu tiên thiệt hại khoảng 800.000 USD, lần thứ hai thiệt hại khoảng 8 triệu USD, ảnh hưởng đến hơn 20 dự án sử dụng cầu nối Cross-chain này. Cuộc điều tra cho thấy, nguồn tấn công xuất phát từ việc giao thức không kiểm tra chặt chẽ tính hợp lệ của chữ ký. Cuối cùng, nhiều dự án bị ảnh hưởng đã chọn thực hiện chụp nhanh và phát hành lại token để bù đắp thiệt hại cho người dùng.
Poly Network: Toàn bộ 6.1 triệu đô la bị đánh cắp đã được khôi phục
Vào tháng 8 năm 2021, Poly Network đã gặp phải cuộc tấn công cầu nối Cross-chain lớn nhất vào thời điểm đó, với số tiền lên tới 610 triệu đô la. Kẻ tấn công đã lợi dụng lỗ hổng quản lý quyền hợp đồng, thành công thay thế địa chỉ xác thực của chuỗi mục tiêu. Tuy nhiên, sự kiện này cuối cùng đã kết thúc một cách tốt đẹp, kẻ tấn công đã hoàn trả toàn bộ số tiền và được dự án gọi là "hacker mũ trắng".
Multichain:600万美元损失 đã được bồi thường một phần
Vào tháng 1 năm 2022, Multichain phát hiện một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều loại token. Mặc dù lỗ hổng đã được khắc phục, nhưng vẫn có khoảng 6 triệu đô la tài sản bị đánh cắp. Nguyên nhân là do hợp đồng có thiếu sót trong việc xác minh tính hợp pháp của token do người dùng nhập vào. Sau đó, nhóm đã thu hồi gần 50% số tiền bị đánh cắp và bồi thường cho những người dùng đã kịp thời thu hồi quyền truy cập.
QBridge: Mất 80 triệu USD chỉ bồi thường 2%
Cuối tháng 1 năm 2022, cầu nối Cross-chain QBridge của nền tảng cho vay Qubit đã bị tấn công, thiệt hại khoảng 80 triệu USD. Kẻ tấn công đã lợi dụng lỗ hổng trong hợp đồng khi xử lý token trong danh sách trắng, thành công trong việc mint một lượng lớn token giả trên BSC. Đến thời điểm hiện tại, phần lớn số tiền bị đánh cắp vẫn chưa được bồi thường, và tỷ lệ sử dụng của Qubit cũng đã giảm đáng kể.
Meter.io: Mất 4,4 triệu USD để bù đắp cho lợi nhuận trong tương lai
Vào tháng 2 năm 2022, cầu nối Cross-chain Meter Passport đã bị tấn công do "giả định tin cậy sai" trong mã, gây thiệt hại 4,4 triệu USD. Nhóm dự án cuối cùng đã quyết định phát hành token mới PASS để bồi thường và cam kết sẽ dùng lợi nhuận trong tương lai để mua lại những token này.
Ronin: Huy động vốn bồi thường sau khi bị đánh cắp 620 triệu USD
Vào tháng 3 năm 2022, chuỗi Ronin của trò chơi Axie Infinity đã bị tấn công lớn với số tiền 620 triệu đô la. Đây là một vụ tấn công điển hình bằng kỹ thuật xã hội, trong đó kẻ tấn công đã giả mạo cơ hội việc làm để có được quyền truy cập vào hệ thống. Mặc dù số tiền bị đánh cắp không thể thu hồi, nhưng đội phát triển Sky Mavis đã huy động được 150 triệu đô la để bồi thường cho tổn thất của người dùng.
Wormhole: 3.26 triệu đô la Mỹ thiệt hại được bồi thường tức thì
Vào tháng 2 năm 2022, Wormhole đã bị tấn công với số tiền 326 triệu đô la do lỗ hổng xác thực hợp đồng trên Solana. Đáng chú ý, Jump Crypto, tổ chức đứng sau dự án, đã nhanh chóng bơm vào một khoản tiền tương đương để giúp nền tảng phục hồi hoạt động bình thường.
EvoDeFi: Chưa xác định số tiền thua lỗ, hoặc có thể đã bỏ trốn
Vào tháng 6 năm 2022, DEX ValleySwap trong hệ sinh thái Oasis đã gặp phải vấn đề nghiêm trọng về việc mất giá tài sản do sử dụng cầu nối Cross-chain EvoDeFi. Số tiền thiệt hại cụ thể chưa được công bố, nhưng ước tính ở mức hàng triệu đô la. Thật đáng tiếc, các bên liên quan dường như đã ngừng hoạt động, và thiệt hại của người dùng vẫn chưa được giải quyết cho đến nay.
Horizon: Thiệt hại gần 100 triệu USD, kế hoạch bồi thường đang chờ xác định
Vào tháng 6 năm 2022, cầu nối Cross-chain chính thức Horizon của Harmony đã bị tấn công, với tổn thất gần 100 triệu đô la. Cuộc điều tra cho thấy, điều này có thể do rò rỉ khóa riêng. Bên dự án đã đề xuất bồi thường cho người dùng thông qua việc phát hành thêm token, nhưng kế hoạch vẫn chưa được xác định cuối cùng.
Nomad: 1,9 triệu USD bị đánh cắp, một phần tiền có thể sẽ được thu hồi
Vào tháng 8 năm 2022, cầu nối Cross-chain Nomad đã phải chịu một cuộc tấn công trị giá 190 triệu USD do một lỗi khởi tạo hợp đồng. Lỗi này cho phép bất kỳ ai cũng có thể rút tiền từ cầu nối. Mặc dù hiện tại chưa có kế hoạch bồi thường rõ ràng, nhưng một số hacker mũ trắng đã bày tỏ sẵn sàng trả lại tiền.
Tóm tắt
Các trường hợp này cho thấy ngay cả những dự án cầu nối Cross-chain hàng đầu cũng phải đối mặt với rủi ro an ninh nghiêm trọng. Đáng lưu ý là, những dự án có nguồn vốn mạnh và nền tảng vững chắc thường có khả năng xử lý khủng hoảng hiệu quả hơn sau khi bị tấn công, hoặc có thể bồi thường thông qua nguồn lực của chính họ. Điều này nhắc nhở người dùng rằng khi chọn cầu nối Cross-chain, không chỉ nên cân nhắc các yếu tố kỹ thuật mà còn phải đánh giá sức mạnh và uy tín của dự án. Đồng thời, các bên dự án cần tăng cường giám sát thời gian thực và cơ chế phản ứng nhanh để giảm thiểu tổn thất tiềm tàng.