Les accidents de sécurité des ponts cross-chain se multiplient, avec des pertes de près de 2 milliards de dollars, dont plus de 1,5 milliard a été récupéré ou indemnisé.
Évaluation des incidents d'attaque de ponts cross-chain : pertes de près de 2 milliards de dollars, plus de 1,5 milliard de dollars récupérés ou indemnisés
Il existe de nombreuses blockchains publiques dans l'écosystème blockchain, mais en raison du manque d'actifs de premier plan, la plupart doivent obtenir des actifs via des bridges cross-chain à partir de blockchains publiques majeures telles qu'Ethereum. Récemment, le secteur DeFi a connu de fréquents accidents de sécurité, et les bridges cross-chain sont devenus la principale cible des attaquants en raison de leurs mouvements de fonds importants. Cet article examine les 10 attaques de bridges cross-chain les plus importantes survenues dans le passé, rappelant aux équipes de développement qu'elles doivent toujours être vigilantes face aux risques de sécurité. Il convient de noter que les projets de bridges cross-chain ayant un solide soutien et une forte capacité financière ont souvent plus de possibilités de récupérer des actifs ou d'indemniser les utilisateurs après un incident de sécurité. Par conséquent, il est plus sûr pour les utilisateurs de choisir des bridges cross-chain plus solides.
ChainSwap: 8 millions de dollars de pertes, compensation par la réémission de jetons
En juillet 2021, ChainSwap a subi deux attaques de hackers. La première a entraîné une perte d'environ 800 000 dollars, la seconde d'environ 8 millions de dollars. La deuxième attaque a eu un impact plus large, touchant plus de 20 projets utilisant ChainSwap pour des ponts cross-chain.
Une enquête montre que la cause de l'accident est que le protocole n'a pas vérifié strictement la validité des signatures, permettant à un attaquant d'utiliser une signature générée par ses soins pour signer la transaction. Étant donné que les pertes concernent principalement les jetons de gouvernance des différents projets, plusieurs projets, y compris ChainSwap, ont décidé de faire un instantané et d'émettre de nouveaux jetons pour indemniser les détenteurs de jetons et les fournisseurs de liquidités.
Poly Network: 6,1 millions de dollars entièrement récupérés
Le 10 août 2021, le protocole d'interopérabilité cross-chain Poly Network a été victime d'une attaque de hacker, perdant respectivement 250 millions, 270 millions et 85 millions de dollars d'actifs sur Ethereum, Binance Smart Chain et Polygon, pour un total d'environ 610 millions de dollars.
L'attaque a principalement exploité une vulnérabilité dans la logique de gestion des droits des contrats de Poly Network. L'attaquant a construit une opération sur la chaîne source pour modifier l'adresse du validateur de la chaîne cible en sa propre adresse ; le relais officiel a soumis et exécuté cette opération sans méfiance ; l'attaquant a ensuite signé les actifs sortants avec l'adresse du validateur remplacée ; la transaction a été validée et exécutée, et les actifs ont été transférés à l'adresse du hacker.
Les attaquants étaient déjà préparés à l'avance, les fonds initiaux provenaient de la cryptomonnaie de confidentialité XMR, qu'ils ont échangés contre des BNB, ETH et MATIC sur des échanges sans KYC avant de retirer les fonds. Mais au final, le hacker a restitué l'intégralité des fonds, Poly Network l'a également qualifié de "hacker white hat" et l'a invité à devenir le conseiller en sécurité de l'entreprise.
Multichain: 6 millions de dollars de pertes, déjà remboursés
Le 18 janvier 2022, Multichain a découvert une vulnérabilité majeure affectant six tokens : WETH, PERI, OMT, WBNB, MATIC et AVAX. Bien que la vulnérabilité ait été corrigée, les utilisateurs doivent retirer leurs autorisations rapidement pour éviter les risques d'actifs. Un mois plus tard, Multichain a publié un rapport d'enquête montrant que 7962 adresses d'utilisateurs ont été affectées, dont 4861 ont déjà retiré leurs autorisations et 3101 ne l'ont pas encore fait. Un total de 1889.6612 WETH et 833.4191 AVAX ont été volés, d'une valeur d'environ 6 millions de dollars selon le prix du 18 janvier.
L'équipe de sécurité a analysé et estimé que la raison du vol est un problème survenu lors de la vérification de la légitimité des tokens envoyés par les utilisateurs dans Multichain, n'ayant pas pris en compte que tous les tokens sous-jacents ne mettaient pas en œuvre la fonction permit, ce qui a conduit au transfert de WETH, précédemment autorisé au contrat AnyswapV4Router, vers une adresse malveillante construite par l'attaquant.
Lors de la publication du rapport d'enquête, 912,7984 WETH et 125 AVAX avaient déjà été récupérés, représentant près de 50 % des fonds volés. L'équipe a proposé de restituer les fonds récupérés aux utilisateurs ayant annulé l'autorisation de contrat, mais ne remboursera plus les pertes après le 18 février à 24h00.
QBridge: 80 millions de dollars de pertes, seulement 2% d'indemnisation
Le 28 janvier 2022, le pont cross-chain QBridge du protocole de prêt Qubit a été attaqué, entraînant une perte d'environ 80 millions de dollars.
La cause de l'accident réside dans le fait que QBridge, lors de l'ajout à la liste blanche des tokens de transfert, n'a pas vérifié à nouveau s'il s'agissait d'une adresse nulle. Dans le cas où le dépôt des tokens ERC20 et le dépôt ETH sont réalisés séparément, la fonction de dépôt utilisée pour déposer des tokens ERC20 a été exploitée par un hacker, qui a défini l'adresse ERC20 comme une adresse nulle, permettant ainsi de frapper massivement des tokens xETH sur BSC sans avoir déposé aucun token. Le hacker a ensuite utilisé ces xETH comme garantie pour emprunter d'autres tokens de Qubit, entraînant l'épuisement des garanties de Qubit.
Actuellement, Qubit est presque inutilisé, le site officiel indique que 98 % des fonds volés n'ont pas encore été remboursés.
Meter.io : 4,4 millions de dollars de pertes, indemnisés par les revenus futurs
Le 6 février 2022, le pont cross-chain Meter Passport a été exploité de manière malveillante, entraînant une perte de 4,4 millions de dollars.
Le bureau de Meter a déclaré que le problème provenait d'une "hypothèse de confiance erronée" dans le code source de l'extension Meter, permettant aux hackers de "appeler la fonction de dépôt ERC20 sous-jacente" pour falsifier les transferts de BNB et d'ETH.
Meter a d'abord annoncé qu'il compenserait les pertes des utilisateurs en BNB et WETH avec le jeton MTRG. Cependant, après un vote de gouvernance, il a été décidé de distribuer le nouveau jeton PASS aux utilisateurs, et d'utiliser les futurs revenus de Meter pour racheter les jetons PASS, mais aucun rachat n'a encore eu lieu.
Ronin: 6,2 millions de dollars de pertes, déjà indemnisé
Le 29 mars 2022 au soir, des fonds de la chaîne Ronin derrière Axie Infinity ont été volés. Cette attaque a eu lieu le 23 mars, mais n'a été découverte que le 29 mars, entraînant une perte d'environ 620 millions de dollars.
Une enquête a révélé que le vol de Ronin provenait d'une attaque d'ingénierie sociale. Un employé d'une fausse entreprise a contacté des employés d'Axie Infinity et des développeurs de Ronin, Sky Mavis, via LinkedIn, les encourageant à postuler pour un emploi. Un employé de Sky Mavis a reçu une "offre" après plusieurs tours d'entretiens. Après avoir téléchargé une lettre d'admission falsifiée "offre", le logiciel malveillant a infiltré le système de Ronin, prenant le contrôle de 4 des 9 validateurs. Par la suite, les hackers ont contrôlé l'Axie DAO via Sky Mavis, qui avait permis à Sky Mavis de signer des transactions en son nom. Une fois que les attaquants ont accédé à Sky Mavis, ils pouvaient obtenir des signatures des validateurs de l'Axie DAO.
Les fonds volés de Ronin n'ont pas pu être récupérés. Le 4 avril, Sky Mavis a annoncé avoir terminé un financement de 150 millions de dollars dirigé par Binance, destiné à indemniser les pertes des utilisateurs. Le 29 juin, Sky Mavis a relancé le pont Ronin, permettant aux utilisateurs de recevoir une compensation. Cependant, les fonds volés étaient principalement constitués de ( 73600 ETH et 25500000 USDC) ; pendant la période allant de l'attaque à l'indemnisation, le prix de l'ETH a chuté d'environ 2/3.
Wormhole : 326 millions de dollars de pertes, déjà indemnisées
Le 3 février 2022, le protocole d'interopérabilité cross-chain Wormhole a été attaqué par des hackers, entraînant une perte d'environ 120 000 ETH, d'une valeur d'environ 326 millions de dollars.
Des hackers ont massivement émis du whETH sur le côté Solana de Wormhole et ont retiré tous les ETH d'Ethereum. Le 5 février, Wormhole a rapporté que la faille provenait d'une erreur dans le code de vérification de signature du contrat principal de Wormhole sur le côté Solana, permettant aux attaquants de falsifier des messages "gardiens" pour frapper du whETH.
Le 4 février, Jump Crypto(, qui avait précédemment acquis l'entreprise de développement Wormhole Certus One), a annoncé avoir investi 120 000 ETH dans Wormhole pour compenser les pertes dues au vol. Wormhole a ensuite repris son fonctionnement.
EvoDeFi : des pertes estimées à plusieurs millions de dollars, non traitées
Le 7 juin 2022, l'USDT a fortement décollé sur le DEX ValleySwap de l'écosystème Oasis. ValleySwap était autrefois le plus grand DEX de la chaîne Oasis, avec un TVL atteignant 220 millions de dollars. En raison des rendements élevés de l'exploitation minière de liquidité pour le pair de trading USDC-USDT, certains utilisateurs ont utilisé ces deux stablecoins pour miner sur ValleySwap. Les données montrent que les fonds de ValleySwap ont commencé à sortir massivement à partir du 4 juin, et le TVL était de 88,78 millions de dollars le 7 juin, le montant exact des pertes étant inconnu, mais estimé à plusieurs millions de dollars.
La raison du décrochage des actifs de ValleySwap est le manque de liquidité sur la chaîne source du pont cross-chain EVODeFi. EVODeFi affirme que cela est dû à la panique FUD, mais cette raison est manifestement infondée. L'équipe officielle d'Oasis a répondu qu'elle avait déjà averti des risques liés à EVODeFi, qu'Oasis n'a aucun lien avec ValleySwap et EvoDeFi, et qu'EvoDeFi est à haut risque, non audité, non open source et centralisé. Cet incident pourrait être le résultat d'un vol d'actifs des utilisateurs par EVODeFi via une porte dérobée.
Les utilisateurs ont subi des pertes sans solution, Oasis est pressé de se dissocier, ValleySwap et les comptes Twitter officiels d'EVODeFi ont cessé de mettre à jour après le 8 juin et ont en réalité disparu.
Horizon : pertes de près de 100 millions de dollars, un plan d'indemnisation est en cours d'élaboration
Le 24 juin 2022, le pont cross-chain Horizon de Harmony a été attaqué, entraînant une perte de fonds d'environ 100 millions de dollars.
Le 26 juin, le fondateur de Harmony, Stephen Tse, a admis que l'attaque pourrait être due à une "fuite de clé privée". Des fonds ont été volés sur les chaînes Ethereum et BNB, y compris BUSD, USDC, ETH, WBTC, etc. Auparavant, il suffisait de 2 des 5 signatures pour transférer des fonds entre Ethereum et Horizon, mais le nombre de signatures nécessaires a été modifié pour passer à 4 sur 5.
Harmony espérait initialement compenser les utilisateurs pour une partie de leurs pertes ( en émettant de nouveaux jetons ONE sur une période de 3 ans, mais n'a pas réussi à parvenir à un accord avec la communauté. Après que la communauté ait lancé une proposition de compensation le 27 juillet, Stephen Tse a exprimé sa compréhension des préoccupations de la communauté et a déclaré qu'il allait redéfinir le plan de compensation.
Nomad : 1,9 milliard de dollars de pertes, en cours de traitement
Le 2 août 2022, la liquidité de Nomad s'est rapidement épuisée, avec une liquidité de 190 millions de dollars avant l'accident de sécurité. L'accident a également entraîné une perte d'environ 3,34 millions de dollars pour le protocole d'interopérabilité Layer2 Connext, qui détenait à l'époque environ 3,34 millions de dollars en madAssets sur la chaîne affectée.
Les chercheurs analysent que l'accident vient d'une mise à jour du contrat de Nomad qui a initialisé la racine de confiance à 0x00, permettant à quiconque de remplacer l'adresse de l'autre par sa propre adresse avec une transaction valide, puis de diffuser la transaction pour extraire des fonds du bridges cross-chain.
L'analyse montre que l'attaque implique 1251 adresses ETH, pour un montant d'environ 190 millions de dollars, dont 12 adresses ENS représentent environ 38 % du total. L'équipe du projet n'a pas fourni de plan de remboursement précis, et certains hackers éthiques ont déclaré qu'ils étaient prêts à restituer les fonds.
Résumé
Les accidents de sécurité des ponts cross-chain se produisent fréquemment et méritent d'être surveillés. Les trois premiers en termes de liquidité, Multichain, Portal), Wormhole( et Poly Network, ont tous connu des incidents de sécurité, ce qui indique que les ponts cross-chain sont un domaine à haut risque. Tout pont cross-chain pourrait à nouveau rencontrer des problèmes de sécurité.
En comparaison, les ponts cross-chain avec une bonne réputation d'équipe de développement et une solide capacité financière ont plus de chances de récupérer des actifs ou d'indemniser après un incident de sécurité, comme Poly Network, Ronin Network et Wormhole qui ont pu récupérer des fonds volés ou fournir des compensations complètes.
Il est important que l'équipe surveille en temps réel et traite activement. Hop Protocol et StarGate ont rapidement traité les rapports d'activités suspectes, empêchant ainsi des attaques de hackers.
Voir l'original
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
14 J'aime
Récompense
14
5
Reposter
Partager
Commentaire
0/400
NewDAOdreamer
· 08-16 16:39
Pourquoi les risques de sécurité de ces ponts sont-ils si élevés... j'ai peur de perdre de l'argent.
Voir l'originalRépondre0
TideReceder
· 08-15 15:14
Les ponts cross-chain des riches donnent de l'argent, c'est un bull. Les pauvres rendent de l'argent, c'est vraiment difficile.
Voir l'originalRépondre0
ponzi_poet
· 08-15 14:54
bridges cross-chain打钱奥 Sécurité technique repose sur la participation
Voir l'originalRépondre0
HalfPositionRunner
· 08-15 14:47
Attendre que le gm fasse du dumping pour récupérer.
Les accidents de sécurité des ponts cross-chain se multiplient, avec des pertes de près de 2 milliards de dollars, dont plus de 1,5 milliard a été récupéré ou indemnisé.
Évaluation des incidents d'attaque de ponts cross-chain : pertes de près de 2 milliards de dollars, plus de 1,5 milliard de dollars récupérés ou indemnisés
Il existe de nombreuses blockchains publiques dans l'écosystème blockchain, mais en raison du manque d'actifs de premier plan, la plupart doivent obtenir des actifs via des bridges cross-chain à partir de blockchains publiques majeures telles qu'Ethereum. Récemment, le secteur DeFi a connu de fréquents accidents de sécurité, et les bridges cross-chain sont devenus la principale cible des attaquants en raison de leurs mouvements de fonds importants. Cet article examine les 10 attaques de bridges cross-chain les plus importantes survenues dans le passé, rappelant aux équipes de développement qu'elles doivent toujours être vigilantes face aux risques de sécurité. Il convient de noter que les projets de bridges cross-chain ayant un solide soutien et une forte capacité financière ont souvent plus de possibilités de récupérer des actifs ou d'indemniser les utilisateurs après un incident de sécurité. Par conséquent, il est plus sûr pour les utilisateurs de choisir des bridges cross-chain plus solides.
ChainSwap: 8 millions de dollars de pertes, compensation par la réémission de jetons
En juillet 2021, ChainSwap a subi deux attaques de hackers. La première a entraîné une perte d'environ 800 000 dollars, la seconde d'environ 8 millions de dollars. La deuxième attaque a eu un impact plus large, touchant plus de 20 projets utilisant ChainSwap pour des ponts cross-chain.
Une enquête montre que la cause de l'accident est que le protocole n'a pas vérifié strictement la validité des signatures, permettant à un attaquant d'utiliser une signature générée par ses soins pour signer la transaction. Étant donné que les pertes concernent principalement les jetons de gouvernance des différents projets, plusieurs projets, y compris ChainSwap, ont décidé de faire un instantané et d'émettre de nouveaux jetons pour indemniser les détenteurs de jetons et les fournisseurs de liquidités.
Poly Network: 6,1 millions de dollars entièrement récupérés
Le 10 août 2021, le protocole d'interopérabilité cross-chain Poly Network a été victime d'une attaque de hacker, perdant respectivement 250 millions, 270 millions et 85 millions de dollars d'actifs sur Ethereum, Binance Smart Chain et Polygon, pour un total d'environ 610 millions de dollars.
L'attaque a principalement exploité une vulnérabilité dans la logique de gestion des droits des contrats de Poly Network. L'attaquant a construit une opération sur la chaîne source pour modifier l'adresse du validateur de la chaîne cible en sa propre adresse ; le relais officiel a soumis et exécuté cette opération sans méfiance ; l'attaquant a ensuite signé les actifs sortants avec l'adresse du validateur remplacée ; la transaction a été validée et exécutée, et les actifs ont été transférés à l'adresse du hacker.
Les attaquants étaient déjà préparés à l'avance, les fonds initiaux provenaient de la cryptomonnaie de confidentialité XMR, qu'ils ont échangés contre des BNB, ETH et MATIC sur des échanges sans KYC avant de retirer les fonds. Mais au final, le hacker a restitué l'intégralité des fonds, Poly Network l'a également qualifié de "hacker white hat" et l'a invité à devenir le conseiller en sécurité de l'entreprise.
Multichain: 6 millions de dollars de pertes, déjà remboursés
Le 18 janvier 2022, Multichain a découvert une vulnérabilité majeure affectant six tokens : WETH, PERI, OMT, WBNB, MATIC et AVAX. Bien que la vulnérabilité ait été corrigée, les utilisateurs doivent retirer leurs autorisations rapidement pour éviter les risques d'actifs. Un mois plus tard, Multichain a publié un rapport d'enquête montrant que 7962 adresses d'utilisateurs ont été affectées, dont 4861 ont déjà retiré leurs autorisations et 3101 ne l'ont pas encore fait. Un total de 1889.6612 WETH et 833.4191 AVAX ont été volés, d'une valeur d'environ 6 millions de dollars selon le prix du 18 janvier.
L'équipe de sécurité a analysé et estimé que la raison du vol est un problème survenu lors de la vérification de la légitimité des tokens envoyés par les utilisateurs dans Multichain, n'ayant pas pris en compte que tous les tokens sous-jacents ne mettaient pas en œuvre la fonction permit, ce qui a conduit au transfert de WETH, précédemment autorisé au contrat AnyswapV4Router, vers une adresse malveillante construite par l'attaquant.
Lors de la publication du rapport d'enquête, 912,7984 WETH et 125 AVAX avaient déjà été récupérés, représentant près de 50 % des fonds volés. L'équipe a proposé de restituer les fonds récupérés aux utilisateurs ayant annulé l'autorisation de contrat, mais ne remboursera plus les pertes après le 18 février à 24h00.
QBridge: 80 millions de dollars de pertes, seulement 2% d'indemnisation
Le 28 janvier 2022, le pont cross-chain QBridge du protocole de prêt Qubit a été attaqué, entraînant une perte d'environ 80 millions de dollars.
La cause de l'accident réside dans le fait que QBridge, lors de l'ajout à la liste blanche des tokens de transfert, n'a pas vérifié à nouveau s'il s'agissait d'une adresse nulle. Dans le cas où le dépôt des tokens ERC20 et le dépôt ETH sont réalisés séparément, la fonction de dépôt utilisée pour déposer des tokens ERC20 a été exploitée par un hacker, qui a défini l'adresse ERC20 comme une adresse nulle, permettant ainsi de frapper massivement des tokens xETH sur BSC sans avoir déposé aucun token. Le hacker a ensuite utilisé ces xETH comme garantie pour emprunter d'autres tokens de Qubit, entraînant l'épuisement des garanties de Qubit.
Actuellement, Qubit est presque inutilisé, le site officiel indique que 98 % des fonds volés n'ont pas encore été remboursés.
Meter.io : 4,4 millions de dollars de pertes, indemnisés par les revenus futurs
Le 6 février 2022, le pont cross-chain Meter Passport a été exploité de manière malveillante, entraînant une perte de 4,4 millions de dollars.
Le bureau de Meter a déclaré que le problème provenait d'une "hypothèse de confiance erronée" dans le code source de l'extension Meter, permettant aux hackers de "appeler la fonction de dépôt ERC20 sous-jacente" pour falsifier les transferts de BNB et d'ETH.
Meter a d'abord annoncé qu'il compenserait les pertes des utilisateurs en BNB et WETH avec le jeton MTRG. Cependant, après un vote de gouvernance, il a été décidé de distribuer le nouveau jeton PASS aux utilisateurs, et d'utiliser les futurs revenus de Meter pour racheter les jetons PASS, mais aucun rachat n'a encore eu lieu.
Ronin: 6,2 millions de dollars de pertes, déjà indemnisé
Le 29 mars 2022 au soir, des fonds de la chaîne Ronin derrière Axie Infinity ont été volés. Cette attaque a eu lieu le 23 mars, mais n'a été découverte que le 29 mars, entraînant une perte d'environ 620 millions de dollars.
Une enquête a révélé que le vol de Ronin provenait d'une attaque d'ingénierie sociale. Un employé d'une fausse entreprise a contacté des employés d'Axie Infinity et des développeurs de Ronin, Sky Mavis, via LinkedIn, les encourageant à postuler pour un emploi. Un employé de Sky Mavis a reçu une "offre" après plusieurs tours d'entretiens. Après avoir téléchargé une lettre d'admission falsifiée "offre", le logiciel malveillant a infiltré le système de Ronin, prenant le contrôle de 4 des 9 validateurs. Par la suite, les hackers ont contrôlé l'Axie DAO via Sky Mavis, qui avait permis à Sky Mavis de signer des transactions en son nom. Une fois que les attaquants ont accédé à Sky Mavis, ils pouvaient obtenir des signatures des validateurs de l'Axie DAO.
Les fonds volés de Ronin n'ont pas pu être récupérés. Le 4 avril, Sky Mavis a annoncé avoir terminé un financement de 150 millions de dollars dirigé par Binance, destiné à indemniser les pertes des utilisateurs. Le 29 juin, Sky Mavis a relancé le pont Ronin, permettant aux utilisateurs de recevoir une compensation. Cependant, les fonds volés étaient principalement constitués de ( 73600 ETH et 25500000 USDC) ; pendant la période allant de l'attaque à l'indemnisation, le prix de l'ETH a chuté d'environ 2/3.
Wormhole : 326 millions de dollars de pertes, déjà indemnisées
Le 3 février 2022, le protocole d'interopérabilité cross-chain Wormhole a été attaqué par des hackers, entraînant une perte d'environ 120 000 ETH, d'une valeur d'environ 326 millions de dollars.
Des hackers ont massivement émis du whETH sur le côté Solana de Wormhole et ont retiré tous les ETH d'Ethereum. Le 5 février, Wormhole a rapporté que la faille provenait d'une erreur dans le code de vérification de signature du contrat principal de Wormhole sur le côté Solana, permettant aux attaquants de falsifier des messages "gardiens" pour frapper du whETH.
Le 4 février, Jump Crypto(, qui avait précédemment acquis l'entreprise de développement Wormhole Certus One), a annoncé avoir investi 120 000 ETH dans Wormhole pour compenser les pertes dues au vol. Wormhole a ensuite repris son fonctionnement.
EvoDeFi : des pertes estimées à plusieurs millions de dollars, non traitées
Le 7 juin 2022, l'USDT a fortement décollé sur le DEX ValleySwap de l'écosystème Oasis. ValleySwap était autrefois le plus grand DEX de la chaîne Oasis, avec un TVL atteignant 220 millions de dollars. En raison des rendements élevés de l'exploitation minière de liquidité pour le pair de trading USDC-USDT, certains utilisateurs ont utilisé ces deux stablecoins pour miner sur ValleySwap. Les données montrent que les fonds de ValleySwap ont commencé à sortir massivement à partir du 4 juin, et le TVL était de 88,78 millions de dollars le 7 juin, le montant exact des pertes étant inconnu, mais estimé à plusieurs millions de dollars.
La raison du décrochage des actifs de ValleySwap est le manque de liquidité sur la chaîne source du pont cross-chain EVODeFi. EVODeFi affirme que cela est dû à la panique FUD, mais cette raison est manifestement infondée. L'équipe officielle d'Oasis a répondu qu'elle avait déjà averti des risques liés à EVODeFi, qu'Oasis n'a aucun lien avec ValleySwap et EvoDeFi, et qu'EvoDeFi est à haut risque, non audité, non open source et centralisé. Cet incident pourrait être le résultat d'un vol d'actifs des utilisateurs par EVODeFi via une porte dérobée.
Les utilisateurs ont subi des pertes sans solution, Oasis est pressé de se dissocier, ValleySwap et les comptes Twitter officiels d'EVODeFi ont cessé de mettre à jour après le 8 juin et ont en réalité disparu.
Horizon : pertes de près de 100 millions de dollars, un plan d'indemnisation est en cours d'élaboration
Le 24 juin 2022, le pont cross-chain Horizon de Harmony a été attaqué, entraînant une perte de fonds d'environ 100 millions de dollars.
Le 26 juin, le fondateur de Harmony, Stephen Tse, a admis que l'attaque pourrait être due à une "fuite de clé privée". Des fonds ont été volés sur les chaînes Ethereum et BNB, y compris BUSD, USDC, ETH, WBTC, etc. Auparavant, il suffisait de 2 des 5 signatures pour transférer des fonds entre Ethereum et Horizon, mais le nombre de signatures nécessaires a été modifié pour passer à 4 sur 5.
Harmony espérait initialement compenser les utilisateurs pour une partie de leurs pertes ( en émettant de nouveaux jetons ONE sur une période de 3 ans, mais n'a pas réussi à parvenir à un accord avec la communauté. Après que la communauté ait lancé une proposition de compensation le 27 juillet, Stephen Tse a exprimé sa compréhension des préoccupations de la communauté et a déclaré qu'il allait redéfinir le plan de compensation.
Nomad : 1,9 milliard de dollars de pertes, en cours de traitement
Le 2 août 2022, la liquidité de Nomad s'est rapidement épuisée, avec une liquidité de 190 millions de dollars avant l'accident de sécurité. L'accident a également entraîné une perte d'environ 3,34 millions de dollars pour le protocole d'interopérabilité Layer2 Connext, qui détenait à l'époque environ 3,34 millions de dollars en madAssets sur la chaîne affectée.
Les chercheurs analysent que l'accident vient d'une mise à jour du contrat de Nomad qui a initialisé la racine de confiance à 0x00, permettant à quiconque de remplacer l'adresse de l'autre par sa propre adresse avec une transaction valide, puis de diffuser la transaction pour extraire des fonds du bridges cross-chain.
L'analyse montre que l'attaque implique 1251 adresses ETH, pour un montant d'environ 190 millions de dollars, dont 12 adresses ENS représentent environ 38 % du total. L'équipe du projet n'a pas fourni de plan de remboursement précis, et certains hackers éthiques ont déclaré qu'ils étaient prêts à restituer les fonds.
Résumé
Les accidents de sécurité des ponts cross-chain se produisent fréquemment et méritent d'être surveillés. Les trois premiers en termes de liquidité, Multichain, Portal), Wormhole( et Poly Network, ont tous connu des incidents de sécurité, ce qui indique que les ponts cross-chain sont un domaine à haut risque. Tout pont cross-chain pourrait à nouveau rencontrer des problèmes de sécurité.
En comparaison, les ponts cross-chain avec une bonne réputation d'équipe de développement et une solide capacité financière ont plus de chances de récupérer des actifs ou d'indemniser après un incident de sécurité, comme Poly Network, Ronin Network et Wormhole qui ont pu récupérer des fonds volés ou fournir des compensations complètes.
Il est important que l'équipe surveille en temps réel et traite activement. Hop Protocol et StarGate ont rapidement traité les rapports d'activités suspectes, empêchant ainsi des attaques de hackers.