Los accidentes de seguridad de los puentes cross-chain son frecuentes, con pérdidas cercanas a los 2000 millones de dólares, de los cuales más de 1500 millones ya han sido recuperados o compensados.
Informe sobre ataques a puentes cross-chain: pérdidas de casi 2000 millones de dólares, más de 1500 millones de dólares compensados o recuperados
En el ecosistema de blockchain existen numerosas cadenas públicas, pero debido a la falta de activos mainstream, la mayoría necesita obtener activos a través de puentes cross-chain desde cadenas públicas mainstream como Ethereum. Recientemente, han ocurrido frecuentes accidentes de seguridad en el ámbito DeFi, y los puentes cross-chain se han convertido en el principal objetivo de los atacantes debido a su gran flujo de fondos. Este artículo revisa los 10 incidentes de ataque a puentes cross-chain de mayor escala que han ocurrido en el pasado, advirtiendo a los equipos de desarrollo que deben estar siempre alerta ante los riesgos de seguridad. Es importante señalar que los proyectos de puentes cross-chain con un sólido respaldo y gran capacidad financiera, tras sufrir un accidente de seguridad, a menudo tienen más capacidad para recuperar activos o compensar a los usuarios; por lo tanto, elegir puentes cross-chain con mayor solidez será más seguro para los usuarios.
ChainSwap: 8 millones de dólares en pérdidas, compensación a través de la reemisión de tokens
En julio de 2021, ChainSwap sufrió dos ataques de hackers. La primera pérdida fue de aproximadamente 800,000 dólares, y la segunda pérdida fue de aproximadamente 8,000,000 dólares. La segunda ataque tuvo un alcance más amplio, afectando a más de 20 proyectos que utilizaban ChainSwap para puentes cross-chain.
La investigación muestra que la causa del accidente fue que el protocolo no verificó estrictamente la validez de las firmas, lo que permitió a los atacantes utilizar firmas generadas por ellos mismos para firmar las transacciones. Dado que las pérdidas se centraron principalmente en los tokens de gobernanza de varios proyectos, varios de ellos, incluido ChainSwap, decidieron hacer un snapshot y emitir nuevos tokens para compensar a los poseedores de tokens y a los proveedores de liquidez.
Poly Network: 6.1 millones de dólares todos recuperados
El 10 de agosto de 2021, el protocolo de interoperabilidad cross-chain Poly Network fue atacado por hackers, perdiendo activos por un total de 250 millones, 270 millones y 85 millones de dólares en Ethereum, Binance Smart Chain y Polygon, respectivamente, sumando un total de aproximadamente 610 millones de dólares.
El ataque se aprovechó principalmente de una vulnerabilidad en la lógica de gestión de permisos del contrato de Poly Network. El atacante construyó en la cadena de origen una operación que modificaba el validador de la cadena objetivo a su propia dirección; el retransmisor oficial, sin estar preparado, sometió y ejecutó dicha operación; el atacante luego firmó los activos transferidos utilizando la dirección del validador reemplazado; la transacción fue validada y ejecutada, y los activos fueron transferidos a la dirección del hacker.
Los atacantes se habían preparado de antemano, con un capital inicial proveniente de la moneda privada XMR, que intercambiaron por BNB, ETH y MATIC en un intercambio sin KYC antes de retirar los fondos. Pero al final, el hacker devolvió todos los fondos, y Poly Network lo denominó "hacker de sombrero blanco" e invitó a convertirse en el asesor de seguridad principal de la empresa.
Multichain: 6 millones de dólares en pérdidas, ya compensadas
El 18 de enero de 2022, Multichain descubrió una vulnerabilidad importante que afecta a seis tokens: WETH, PERI, OMT, WBNB, MATIC y AVAX. Aunque la vulnerabilidad ha sido corregida, los usuarios aún deben revocar la autorización lo antes posible para evitar riesgos de activos. Un mes después, Multichain publicó un informe de investigación que muestra que un total de 7962 direcciones de usuarios se vieron afectadas, de las cuales 4861 han revocado la autorización y 3101 aún no lo han hecho. Se robaron un total de 1889.6612 WETH y 833.4191 AVAX, que, según el precio del 18 de enero, valen aproximadamente 6.04 millones de dólares.
El equipo de seguridad analizó y consideró que la razón del robo fue un problema en Multichain al verificar la legitimidad de los tokens enviados por el usuario, ya que no tuvo en cuenta que no todos los tokens subyacentes implementan la función permit, lo que llevó a que el WETH previamente autorizado al contrato AnyswapV4Router fuera transferido a una dirección maliciosa construida por el atacante.
Al publicar el informe de investigación, se habían recuperado 912.7984 WETH y 125 AVAX, lo que representa cerca del 50% de los fondos robados. El equipo propuso devolver los fondos recuperados a los usuarios que habían revocado la autorización del contrato, pero no compensará las pérdidas posteriores al 18 de febrero a las 24:00.
QBridge: pérdida de 80 millones de dólares, solo se reembolsará el 2%
El 28 de enero de 2022, el puente cross-chain QBridge del protocolo de préstamos Qubit fue atacado, con pérdidas de aproximadamente 80 millones de dólares.
La causa del accidente radica en que QBridge no verificó nuevamente si la dirección era cero al transferir tokens de la lista blanca. En el caso de que los depósitos de tokens ERC20 y ETH se implementen por separado, la función de depósito utilizada para depositar tokens ERC20 fue explotada por un hacker, estableciendo la dirección del token ERC20 como una dirección cero, y sin depositar ningún token, acuñó una gran cantidad de tokens xETH en BSC de la nada. Posteriormente, el hacker utilizó estos xETH como colateral para pedir prestados otros tokens de Qubit, lo que provocó el agotamiento de las garantías de Qubit.
Actualmente, Qubit casi no es utilizado, el sitio web muestra que el 98% de los fondos robados aún no han sido compensados.
Meter.io: pérdidas de 4,4 millones de dólares, compensación con ingresos futuros
El 6 de febrero de 2022, el puente cross-chain Meter Passport fue explotado maliciosamente, causando una pérdida de 4.4 millones de dólares.
Meter oficial declaró que el problema se encuentra en una "suposición de confianza errónea" en el código fuente de extensión de Meter, lo que permitió a los hackers "invocar la función de depósito ERC20 subyacente" para falsificar transferencias de BNB y ETH.
Meter inicialmente indicó que compensaría a los usuarios por las pérdidas de BNB y WETH con el token MTRG. Sin embargo, tras la votación de gobernanza, se decidió emitir un nuevo token PASS para compensar a los usuarios, y utilizar los futuros ingresos de Meter para recomprar el token PASS, aunque actualmente no se ha realizado ninguna recompra.
Ronin: 6.2 millones de dólares en pérdidas, ya compensados
En la noche del 29 de marzo de 2022, se robaron fondos de la cadena Ronin detrás de Axie Infinity. El ataque ocurrió el 23 de marzo, pero no se descubrió hasta el 29 de marzo, causando pérdidas de aproximadamente 620 millones de dólares.
La investigación muestra que el robo de Ronin se originó en un ataque de ingeniería social. Un empleado de una empresa falsa contactó a empleados de Axie Infinity y del desarrollador de Ronin, Sky Mavis, a través de LinkedIn, animándolos a solicitar empleo. Un empleado de Sky Mavis recibió una "Oferta" después de varias rondas de entrevistas. Tras descargar una carta de aceptación falsa de la "Oferta", el software del hacker infiltró el sistema de Ronin y tomó el control de 4 de los 9 validadores. Posteriormente, el hacker controló Axie DAO a través de Sky Mavis, que previamente había permitido que Sky Mavis firmara transacciones en su nombre; una vez que los atacantes accedieron a Sky Mavis, pudieron obtener firmas de los validadores de Axie DAO.
Los fondos robados de Ronin no pudieron ser recuperados. El 4 de abril, Sky Mavis anunció la finalización de una ronda de financiamiento de 150 millones de dólares liderada por Binance, destinada a compensar las pérdidas de los usuarios. El 29 de junio, Sky Mavis volvió a poner en línea el puente Ronin, donde los usuarios pueden recibir compensación. Sin embargo, los fondos robados consisten principalmente en ETH(173600 ETH y 25,5 millones de USDC), durante el período del ataque hasta la compensación, el precio de ETH disminuyó aproximadamente 2/3.
Wormhole: Pérdida de 326 millones de dólares, ya compensada
El 3 de febrero de 2022, el protocolo de interoperabilidad cross-chain Wormhole fue atacado por hackers, perdiendo aproximadamente 120,000 ETH, con un valor de aproximadamente 326 millones de dólares.
Los hackers emitieron una gran cantidad de whETH en el extremo de Solana de Wormhole y retiraron todos los ETH de Ethereum. El 5 de febrero, Wormhole informó que esta vulnerabilidad se debía a un error en el código de verificación de firma del contrato principal de Wormhole en el extremo de Solana, lo que permitió a los atacantes falsificar mensajes de "guardianes" para acuñar whETH.
El 4 de febrero, Jump Crypto(, que anteriormente adquirió la empresa desarrolladora de Wormhole, Certus One), anunció que invertiría 120,000 ETH en Wormhole para compensar las pérdidas por robo, y Wormhole reanudó su funcionamiento.
EvoDeFi: se espera una pérdida de decenas de millones de dólares, no resuelta
El 7 de junio de 2022, USDT se despegó gravemente en el DEX ValleySwap del ecosistema Oasis. ValleySwap fue el DEX más grande de la cadena Oasis, con un TVL máximo de 220 millones de dólares. Debido a que las recompensas de minería de liquidez para el par comercial USDC-USDT eran altas, algunos usuarios utilizaron estas dos stablecoins para minar en ValleySwap. Los datos muestran que los fondos de ValleySwap comenzaron a salir en gran medida desde el 4 de junio, y el 7 de junio el TVL era de 88,78 millones de dólares, la cantidad específica de pérdidas es desconocida, pero se espera que esté en el rango de decenas de millones de dólares.
La razón por la cual los activos de ValleySwap se desacoplaron es la falta de liquidez en la cadena de origen del puente cross-chain EVODeFi. EVODeFi afirma que se debe al pánico FUD, pero esta razón claramente no se sostiene. La respuesta oficial de Oasis indica que ya se había advertido sobre los riesgos de EVODeFi, y que Oasis no tiene relación con ValleySwap ni con EvoDeFi, que es de alto riesgo, no auditado, no de código abierto y centralizado. Este incidente podría ser que EVODeFi robó activos de los usuarios a través de una puerta trasera.
Los usuarios no tienen una solución para sus pérdidas, Oasis está ansioso por despegarse de la situación, ValleySwap y la cuenta oficial de EVODeFi en Twitter dejaron de actualizarse después del 8 de junio, y en realidad han huido.
Horizon: pérdidas cercanas a 100 millones de dólares, se está elaborando un plan de compensación
El 24 de junio de 2022, el puente cross-chain Horizon de Harmony fue atacado, causando una pérdida de aproximadamente 100 millones de dólares.
El 26 de junio, el fundador de Harmony, Stephen Tse, admitió que la "filtración de claves privadas" podría haber causado el ataque. Los fondos fueron robados en Ethereum y la cadena BNB, incluyendo BUSD, USDC, ETH, WBTC, entre otros. Anteriormente, se requerían solo 2 de 5 firmas para transferir fondos entre Ethereum y Horizon, pero después del incidente, el número de firmas requeridas se cambió a 4 de 5.
Harmony alguna vez esperó compensar a los usuarios por parte de las pérdidas de ( en un plazo de 3 años mediante la emisión adicional de tokens ONE, pero no llegó a un acuerdo con la comunidad. Después de que la comunidad iniciara una propuesta de compensación el 27 de julio, Stephen Tse expresó su comprensión por las preocupaciones de la comunidad y volverá a elaborar un plan de compensación.
Nomad: pérdida de 1.9 millones de dólares, en proceso
El 2 de agosto de 2022, la liquidez de Nomad se agotó rápidamente, habiendo un total de 190 millones de dólares en liquidez antes del incidente de seguridad. El incidente también causó pérdidas de aproximadamente 3.34 millones de dólares a Connext, un protocolo de interoperabilidad de Layer2, que en ese momento tenía aproximadamente 3.34 millones de dólares en madAssets en la cadena afectada.
Los investigadores analizan que el accidente se debió a que una actualización del contrato de Nomad inicializó la raíz de confianza en 0x00, lo que permitió a cualquier persona reemplazar la dirección de otra por la propia utilizando una transacción válida y luego difundir la transacción para retirar fondos del puentes cross-chain.
El análisis muestra que el ataque involucró 1251 direcciones ETH, con un monto de aproximadamente 190 millones de dólares, de las cuales 12 direcciones ENS representan aproximadamente el 38% del total. El equipo del proyecto no ha proporcionado un plan de compensación concreto, y algunos hackers éticos han expresado su disposición a devolver los fondos.
Resumen
Los accidentes de seguridad de los puentes cross-chain son frecuentes y merecen atención. Multichain, Portal), Wormhole( y Poly Network, que se encuentran entre los tres primeros en términos de liquidez, han tenido accidentes de seguridad, lo que indica que los puentes cross-chain son un área de alto riesgo, y cualquier puente cross-chain podría experimentar problemas de seguridad nuevamente.
En comparación, los puentes cross-chain con un buen trasfondo del equipo de desarrollo y una fuerte capacidad financiera son más propensos a recuperar activos o realizar compensaciones después de un incidente de seguridad, como Poly Network, Ronin Network y Wormhole, que lograron recuperar o compensar la totalidad de los fondos robados.
Es importante que el equipo monitoree en tiempo real y actúe de manera proactiva. Hop Protocol y StarGate respondieron rápidamente a los informes de actividades sospechosas, lo que les permitió detener a los hackers a tiempo.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
14 me gusta
Recompensa
14
5
Republicar
Compartir
Comentar
0/400
NewDAOdreamer
· 08-16 16:39
¿Por qué hay tanto riesgo de seguridad en estos puentes...? Tengo miedo de perder mi dinero.
Ver originalesResponder0
TideReceder
· 08-15 15:14
El puente cross-chain de los ricos da dinero, es alcista. Devolver dinero a los pobres es un gran esfuerzo.
Ver originalesResponder0
ponzi_poet
· 08-15 14:54
puentes cross-chain打钱奥 Seguridad técnica se centra en la participación
Los accidentes de seguridad de los puentes cross-chain son frecuentes, con pérdidas cercanas a los 2000 millones de dólares, de los cuales más de 1500 millones ya han sido recuperados o compensados.
Informe sobre ataques a puentes cross-chain: pérdidas de casi 2000 millones de dólares, más de 1500 millones de dólares compensados o recuperados
En el ecosistema de blockchain existen numerosas cadenas públicas, pero debido a la falta de activos mainstream, la mayoría necesita obtener activos a través de puentes cross-chain desde cadenas públicas mainstream como Ethereum. Recientemente, han ocurrido frecuentes accidentes de seguridad en el ámbito DeFi, y los puentes cross-chain se han convertido en el principal objetivo de los atacantes debido a su gran flujo de fondos. Este artículo revisa los 10 incidentes de ataque a puentes cross-chain de mayor escala que han ocurrido en el pasado, advirtiendo a los equipos de desarrollo que deben estar siempre alerta ante los riesgos de seguridad. Es importante señalar que los proyectos de puentes cross-chain con un sólido respaldo y gran capacidad financiera, tras sufrir un accidente de seguridad, a menudo tienen más capacidad para recuperar activos o compensar a los usuarios; por lo tanto, elegir puentes cross-chain con mayor solidez será más seguro para los usuarios.
ChainSwap: 8 millones de dólares en pérdidas, compensación a través de la reemisión de tokens
En julio de 2021, ChainSwap sufrió dos ataques de hackers. La primera pérdida fue de aproximadamente 800,000 dólares, y la segunda pérdida fue de aproximadamente 8,000,000 dólares. La segunda ataque tuvo un alcance más amplio, afectando a más de 20 proyectos que utilizaban ChainSwap para puentes cross-chain.
La investigación muestra que la causa del accidente fue que el protocolo no verificó estrictamente la validez de las firmas, lo que permitió a los atacantes utilizar firmas generadas por ellos mismos para firmar las transacciones. Dado que las pérdidas se centraron principalmente en los tokens de gobernanza de varios proyectos, varios de ellos, incluido ChainSwap, decidieron hacer un snapshot y emitir nuevos tokens para compensar a los poseedores de tokens y a los proveedores de liquidez.
Poly Network: 6.1 millones de dólares todos recuperados
El 10 de agosto de 2021, el protocolo de interoperabilidad cross-chain Poly Network fue atacado por hackers, perdiendo activos por un total de 250 millones, 270 millones y 85 millones de dólares en Ethereum, Binance Smart Chain y Polygon, respectivamente, sumando un total de aproximadamente 610 millones de dólares.
El ataque se aprovechó principalmente de una vulnerabilidad en la lógica de gestión de permisos del contrato de Poly Network. El atacante construyó en la cadena de origen una operación que modificaba el validador de la cadena objetivo a su propia dirección; el retransmisor oficial, sin estar preparado, sometió y ejecutó dicha operación; el atacante luego firmó los activos transferidos utilizando la dirección del validador reemplazado; la transacción fue validada y ejecutada, y los activos fueron transferidos a la dirección del hacker.
Los atacantes se habían preparado de antemano, con un capital inicial proveniente de la moneda privada XMR, que intercambiaron por BNB, ETH y MATIC en un intercambio sin KYC antes de retirar los fondos. Pero al final, el hacker devolvió todos los fondos, y Poly Network lo denominó "hacker de sombrero blanco" e invitó a convertirse en el asesor de seguridad principal de la empresa.
Multichain: 6 millones de dólares en pérdidas, ya compensadas
El 18 de enero de 2022, Multichain descubrió una vulnerabilidad importante que afecta a seis tokens: WETH, PERI, OMT, WBNB, MATIC y AVAX. Aunque la vulnerabilidad ha sido corregida, los usuarios aún deben revocar la autorización lo antes posible para evitar riesgos de activos. Un mes después, Multichain publicó un informe de investigación que muestra que un total de 7962 direcciones de usuarios se vieron afectadas, de las cuales 4861 han revocado la autorización y 3101 aún no lo han hecho. Se robaron un total de 1889.6612 WETH y 833.4191 AVAX, que, según el precio del 18 de enero, valen aproximadamente 6.04 millones de dólares.
El equipo de seguridad analizó y consideró que la razón del robo fue un problema en Multichain al verificar la legitimidad de los tokens enviados por el usuario, ya que no tuvo en cuenta que no todos los tokens subyacentes implementan la función permit, lo que llevó a que el WETH previamente autorizado al contrato AnyswapV4Router fuera transferido a una dirección maliciosa construida por el atacante.
Al publicar el informe de investigación, se habían recuperado 912.7984 WETH y 125 AVAX, lo que representa cerca del 50% de los fondos robados. El equipo propuso devolver los fondos recuperados a los usuarios que habían revocado la autorización del contrato, pero no compensará las pérdidas posteriores al 18 de febrero a las 24:00.
QBridge: pérdida de 80 millones de dólares, solo se reembolsará el 2%
El 28 de enero de 2022, el puente cross-chain QBridge del protocolo de préstamos Qubit fue atacado, con pérdidas de aproximadamente 80 millones de dólares.
La causa del accidente radica en que QBridge no verificó nuevamente si la dirección era cero al transferir tokens de la lista blanca. En el caso de que los depósitos de tokens ERC20 y ETH se implementen por separado, la función de depósito utilizada para depositar tokens ERC20 fue explotada por un hacker, estableciendo la dirección del token ERC20 como una dirección cero, y sin depositar ningún token, acuñó una gran cantidad de tokens xETH en BSC de la nada. Posteriormente, el hacker utilizó estos xETH como colateral para pedir prestados otros tokens de Qubit, lo que provocó el agotamiento de las garantías de Qubit.
Actualmente, Qubit casi no es utilizado, el sitio web muestra que el 98% de los fondos robados aún no han sido compensados.
Meter.io: pérdidas de 4,4 millones de dólares, compensación con ingresos futuros
El 6 de febrero de 2022, el puente cross-chain Meter Passport fue explotado maliciosamente, causando una pérdida de 4.4 millones de dólares.
Meter oficial declaró que el problema se encuentra en una "suposición de confianza errónea" en el código fuente de extensión de Meter, lo que permitió a los hackers "invocar la función de depósito ERC20 subyacente" para falsificar transferencias de BNB y ETH.
Meter inicialmente indicó que compensaría a los usuarios por las pérdidas de BNB y WETH con el token MTRG. Sin embargo, tras la votación de gobernanza, se decidió emitir un nuevo token PASS para compensar a los usuarios, y utilizar los futuros ingresos de Meter para recomprar el token PASS, aunque actualmente no se ha realizado ninguna recompra.
Ronin: 6.2 millones de dólares en pérdidas, ya compensados
En la noche del 29 de marzo de 2022, se robaron fondos de la cadena Ronin detrás de Axie Infinity. El ataque ocurrió el 23 de marzo, pero no se descubrió hasta el 29 de marzo, causando pérdidas de aproximadamente 620 millones de dólares.
La investigación muestra que el robo de Ronin se originó en un ataque de ingeniería social. Un empleado de una empresa falsa contactó a empleados de Axie Infinity y del desarrollador de Ronin, Sky Mavis, a través de LinkedIn, animándolos a solicitar empleo. Un empleado de Sky Mavis recibió una "Oferta" después de varias rondas de entrevistas. Tras descargar una carta de aceptación falsa de la "Oferta", el software del hacker infiltró el sistema de Ronin y tomó el control de 4 de los 9 validadores. Posteriormente, el hacker controló Axie DAO a través de Sky Mavis, que previamente había permitido que Sky Mavis firmara transacciones en su nombre; una vez que los atacantes accedieron a Sky Mavis, pudieron obtener firmas de los validadores de Axie DAO.
Los fondos robados de Ronin no pudieron ser recuperados. El 4 de abril, Sky Mavis anunció la finalización de una ronda de financiamiento de 150 millones de dólares liderada por Binance, destinada a compensar las pérdidas de los usuarios. El 29 de junio, Sky Mavis volvió a poner en línea el puente Ronin, donde los usuarios pueden recibir compensación. Sin embargo, los fondos robados consisten principalmente en ETH(173600 ETH y 25,5 millones de USDC), durante el período del ataque hasta la compensación, el precio de ETH disminuyó aproximadamente 2/3.
Wormhole: Pérdida de 326 millones de dólares, ya compensada
El 3 de febrero de 2022, el protocolo de interoperabilidad cross-chain Wormhole fue atacado por hackers, perdiendo aproximadamente 120,000 ETH, con un valor de aproximadamente 326 millones de dólares.
Los hackers emitieron una gran cantidad de whETH en el extremo de Solana de Wormhole y retiraron todos los ETH de Ethereum. El 5 de febrero, Wormhole informó que esta vulnerabilidad se debía a un error en el código de verificación de firma del contrato principal de Wormhole en el extremo de Solana, lo que permitió a los atacantes falsificar mensajes de "guardianes" para acuñar whETH.
El 4 de febrero, Jump Crypto(, que anteriormente adquirió la empresa desarrolladora de Wormhole, Certus One), anunció que invertiría 120,000 ETH en Wormhole para compensar las pérdidas por robo, y Wormhole reanudó su funcionamiento.
EvoDeFi: se espera una pérdida de decenas de millones de dólares, no resuelta
El 7 de junio de 2022, USDT se despegó gravemente en el DEX ValleySwap del ecosistema Oasis. ValleySwap fue el DEX más grande de la cadena Oasis, con un TVL máximo de 220 millones de dólares. Debido a que las recompensas de minería de liquidez para el par comercial USDC-USDT eran altas, algunos usuarios utilizaron estas dos stablecoins para minar en ValleySwap. Los datos muestran que los fondos de ValleySwap comenzaron a salir en gran medida desde el 4 de junio, y el 7 de junio el TVL era de 88,78 millones de dólares, la cantidad específica de pérdidas es desconocida, pero se espera que esté en el rango de decenas de millones de dólares.
La razón por la cual los activos de ValleySwap se desacoplaron es la falta de liquidez en la cadena de origen del puente cross-chain EVODeFi. EVODeFi afirma que se debe al pánico FUD, pero esta razón claramente no se sostiene. La respuesta oficial de Oasis indica que ya se había advertido sobre los riesgos de EVODeFi, y que Oasis no tiene relación con ValleySwap ni con EvoDeFi, que es de alto riesgo, no auditado, no de código abierto y centralizado. Este incidente podría ser que EVODeFi robó activos de los usuarios a través de una puerta trasera.
Los usuarios no tienen una solución para sus pérdidas, Oasis está ansioso por despegarse de la situación, ValleySwap y la cuenta oficial de EVODeFi en Twitter dejaron de actualizarse después del 8 de junio, y en realidad han huido.
Horizon: pérdidas cercanas a 100 millones de dólares, se está elaborando un plan de compensación
El 24 de junio de 2022, el puente cross-chain Horizon de Harmony fue atacado, causando una pérdida de aproximadamente 100 millones de dólares.
El 26 de junio, el fundador de Harmony, Stephen Tse, admitió que la "filtración de claves privadas" podría haber causado el ataque. Los fondos fueron robados en Ethereum y la cadena BNB, incluyendo BUSD, USDC, ETH, WBTC, entre otros. Anteriormente, se requerían solo 2 de 5 firmas para transferir fondos entre Ethereum y Horizon, pero después del incidente, el número de firmas requeridas se cambió a 4 de 5.
Harmony alguna vez esperó compensar a los usuarios por parte de las pérdidas de ( en un plazo de 3 años mediante la emisión adicional de tokens ONE, pero no llegó a un acuerdo con la comunidad. Después de que la comunidad iniciara una propuesta de compensación el 27 de julio, Stephen Tse expresó su comprensión por las preocupaciones de la comunidad y volverá a elaborar un plan de compensación.
Nomad: pérdida de 1.9 millones de dólares, en proceso
El 2 de agosto de 2022, la liquidez de Nomad se agotó rápidamente, habiendo un total de 190 millones de dólares en liquidez antes del incidente de seguridad. El incidente también causó pérdidas de aproximadamente 3.34 millones de dólares a Connext, un protocolo de interoperabilidad de Layer2, que en ese momento tenía aproximadamente 3.34 millones de dólares en madAssets en la cadena afectada.
Los investigadores analizan que el accidente se debió a que una actualización del contrato de Nomad inicializó la raíz de confianza en 0x00, lo que permitió a cualquier persona reemplazar la dirección de otra por la propia utilizando una transacción válida y luego difundir la transacción para retirar fondos del puentes cross-chain.
El análisis muestra que el ataque involucró 1251 direcciones ETH, con un monto de aproximadamente 190 millones de dólares, de las cuales 12 direcciones ENS representan aproximadamente el 38% del total. El equipo del proyecto no ha proporcionado un plan de compensación concreto, y algunos hackers éticos han expresado su disposición a devolver los fondos.
Resumen
Los accidentes de seguridad de los puentes cross-chain son frecuentes y merecen atención. Multichain, Portal), Wormhole( y Poly Network, que se encuentran entre los tres primeros en términos de liquidez, han tenido accidentes de seguridad, lo que indica que los puentes cross-chain son un área de alto riesgo, y cualquier puente cross-chain podría experimentar problemas de seguridad nuevamente.
En comparación, los puentes cross-chain con un buen trasfondo del equipo de desarrollo y una fuerte capacidad financiera son más propensos a recuperar activos o realizar compensaciones después de un incidente de seguridad, como Poly Network, Ronin Network y Wormhole, que lograron recuperar o compensar la totalidad de los fondos robados.
Es importante que el equipo monitoree en tiempo real y actúe de manera proactiva. Hop Protocol y StarGate respondieron rápidamente a los informes de actividades sospechosas, lo que les permitió detener a los hackers a tiempo.