Обзор и анализ инцидентов безопасности кроссчейн моста
С 2022 по 2024 год в области кроссчейн мостов произошло несколько крупных инцидентов безопасности, общие убытки составили более 2,8 миллиарда долларов. Среди них наиболее выдающимися являются:
Март 2022 года: мост Ronin был атакован, убытки составили 625 миллионов долларов.
Октябрь 2022: Binance Bridge подвергся атаке, убытки составили 570 миллионов долларов.
Февраль 2022 года: мост Wormhole был взломан хакерами, убыток составил 320 миллионов долларов.
Август 2022 года: Nomad Bridge подвергся атаке в стиле "всеобщее участие", потеряв 190 миллионов долларов.
Июнь 2022 года: Harmony Horizon Bridge был взломан, убытки составили 100 миллионов долларов
Январь 2024 года: Утечка мультиподписного приватного ключа Orbit Chain, убытки составили 81,5 миллиона долларов США
Эти события четко демонстрируют фундаментальные недостатки текущей кросс-чейн инфраструктуры в проектировании архитектуры безопасности.
Ronin Bridge: образец социальной инженерии
23 марта 2022 года кроссчейн мост Axie Infinity Ronin Bridge столкнулся с самым серьезным в истории криптовалюты нападением на кроссчейн мост. Злоумышленники с помощью социальной инженерии успешно похитили 173 600 ETH и 25,5 миллиона USDC, что в общей сложности превысило 625 миллионов долларов.
Ключевые моменты процесса атаки включают:
Продолжающаяся атака с использованием продвинутых методов фишинга, которая в конечном итоге привела к успешному взлому системы одного из сотрудников Sky Mavis.
Используя забытую временную авторизацию, получить права на подпись от узла верификации Axie DAO.
Контроль 4-х узлов валидации Sky Mavis и 1 узла Axie DAO для достижения порога многоподписей 5/9.
Атака продолжалась 6 дней, не будучи обнаруженной, что выявило серьезные недостатки системы мониторинга.
Основные проблемы, выявленные в результате этой атаки, включают:
Чрезмерная централизация контроля узлов верификации
Неправильное управление правами, временные полномочия не были своевременно отменены
Недостаток механизма мониторинга аномальных сделок в реальном времени
Недостаточное обучение сотрудников по вопросам безопасности
2 февраля 2022 года кроссчейн мост Wormhole, соединяющий Ethereum и Solana, подвергся сильному удару: злоумышленник использовал устаревшую, но не удалённую функцию в смарт-контракте, успешно обойдя механизм проверки подписей и создав 120 000 незастрахованных wETH токенов на сумму около 320 миллионов долларов.
Технические детали атаки включают:
Использовать уязвимость проверки в функции load_current_index.
Создание поддельной "Sysvar учетной записи" для обмана системы.
Создайте учетную запись вредоносного сообщения с помощью функции post_vaa.
Вызовите функцию complete_wrapped для завершения несанкционированного выпуска токенов.
Атака выявила основные проблемы:
Упущение в управлении кодом, продолжается использование устаревших функций с известными рисками
Недостаточная проверка ввода, не подтверждена подлинность ключевого адреса счета
Недостатки в процессе развертывания, патчи безопасности не были своевременно развернуты в производственной среде
Чрезмерная зависимость от централизованных сущностей для окончательной гарантии
23 июня 2022 года мост Harmony Horizon был атакован, что привело к потере 100 миллионов долларов. Злоумышленники использовали полученные 2 приватных ключа верификационных узлов и за несколько часов выполнили 14 транзакций кросс-чейн.
Ключевые точки атаки:
Дизайн мультиподписей 2 из 5 снижает порог атаки
Злоумышленник получил приватные ключи двух узлов-валидаторов неизвестным способом
14 аномальных транзакций не вызвали никаких автоматических предупреждений
Основные проблемы, связанные с раскрытием:
Пороговое значение для мультиподписей установлено слишком низко
Механизм защиты приватных ключей имеет фундаментальные недостатки
6 октября 2022 года BSC Token Hub от Binance был атакован, в результате чего было потеряно около 570 миллионов долларов. Нападавший использовал тонкую уязвимость в обработке Merkle доказательств в библиотеке IAVL, чтобы успешно подделать доказательства блока.
Технические детали атаки:
Атакующий регистрируется как реле, ставя 100 BNB в качестве залога.
Использование IAVL-дерева для реализации крайних случаев двойных атрибутов узлов.
Подделка Merkle-доказательства блока 110217401.
Дважды вывести по 1 миллион BNB.
Обнаженные проблемы:
Реализация IAVL-дерева не учитывает крайние случаи двойных свойств узлов
Доказать дефекты логики проверки
Чрезмерная зависимость от внешних криптографических библиотек
Полагаться на централизованное решение для приостановки всей сети
Nomad Bridge: Бабочка эффекта доверия
1 августа 2022 года кроссчейн мост Nomad Bridge стал причиной "всеобъемлющего участия" в результате конфигурационной ошибки, что привело к потере 190 миллионов долларов.
Ключевые моменты атаки:
Установите значение "доверенной основы" неверно на 0x00, что совпадает со значением по умолчанию "недоверенной основы".
Система не может различить действительные и недействительные сообщения, все сообщения автоматически помечаются как "проверенные"
От обнаружения одного пользователя до массового участия, это эволюционировало в "пиршество атак"
Обнаруженные проблемы:
Конфликт значений конфигурации приводит к тому, что доверенный корень и недоверенный корень используют одни и те же значения по умолчанию
Недостаточное покрытие тестами перед обновлением
Оптимистичный механизм верификации слишком сильно зависит от единственного корня доверия
Безлицензионные характеристики блокчейна увеличивают потери в случае сбоя системы
1 января 2024 года Orbit Chain подвергся атаке, в результате которой были потеряны 81,5 миллиона долларов. Злоумышленники получили приватные ключи 7 из 10 валидационных узлов, что точно соответствует минимальному порогу, необходимому для выполнения произвольных транзакций.
Характеристики атаки:
Дизайн мультиподписей 7 из 10 был взломан
Атакующий одновременно получает 7 приватных ключей валидаторов.
Быстро распределяйте средства и очищайте их с помощью услуги смешивания монет.
Обнаженные проблемы:
Управление приватными ключами имеет системные недостатки
Архитектура мультиподписей все еще подвержена риску централизованной единой точки отказа.
Отсутствие мониторинга аномальных транзакций в реальном времени и механизма автоматической приостановки
Глубинная причина уязвимости кроссчейн моста
Анализируя, мы можем свести проблемы безопасности кроссчейн моста к нескольким основным уровням системных недостатков:
Дефекты управления приватными ключами (около 55%):
Мультиподпись слишком сильно зависит от человеческого вмешательства и централизованного управления ключами
Концентрация хранения частных ключей узлов проверки или управление ими одной и той же командой
Пороговые значения для многофакторной аутентификации обычно слишком низкие
Отсутствие эффективного механизма ротации ключей
Недостаточная защита от атак социальной инженерии
Уязвимости в проверке смарт-контрактов (примерно 30%):
Существует возможность обхода логики проверки подписи
Ввод данных недостаточно проверен
Использование устаревших или имеющих известные риски функций
Риски интеграции сторонних библиотек
Сложность кросс-чейн протоколов затрудняет полное обеспечение безопасности аудита
Ошибка в управлении конфигурацией (около 10%):
Ошибка конфигурации в процессе обновления протокола
Неправильная настройка прав или временные права не были вовремя отозваны
Конфликт настройки ключевых параметров
Тестовое покрытие недостаточно
Дефекты систем криптографических доказательств (около 5%):
В системе доказательств существуют тонкие недостатки
Атакующий должен глубоко понимать основные принципы криптографии
!
Текущая ситуация в отрасли и технологическая эволюция
кроссчейн мост безопасность демонстрирует явную эволюционную тенденцию:
2022 год: общие убытки составили около 18,5 миллиарда долларов, масштабная атака с высоким уровнем потерь в одной точке
2023 год: общие убытки составили около 680 миллионов долларов, методы атак стали разнообразнее, увеличилось количество атак с использованием социальной инженерии.
2024 год: общие убытки составят около 240 миллионов долларов, более скрытные и точные целевые атаки
Отрасль исследует различные технологические решения:
Мост с нулевым знанием: использование технологий ZK-SNARKs/STARKs для реализации доверительной проверки
Архитектура многопартии вычислений (MPC): повышение безопасности за счет хранения фрагментов приватных ключей и распределенной подписи
Формальная верификация: использование математических методов для доказательства корректности логики смарт-контракта
Система мониторинга в реальном времени и автоматической приостановки: обнаружение аномальных сделок с помощью ИИ и автоматизированный ответ на чрезвычайные ситуации
Вывод: Переопределение будущего безопасности кросс-чейн
Основная проблема, с которой сталкиваются кроссчейн мосты, заключается в недостатках модели доверия. Большинство кроссчейн мостов основываются на предположении "доверять меньшинству валидаторов, которые не будут злоупотреблять", что делает их крайне уязвимыми к организованным атакам. Противоречие между сложностью и безопасностью становится все более заметным, в то время как потенциальная прибыль злоумышленников значительно превышает стоимость мер безопасности.
Настоящее решение требует одновременного подхода с трех уровней: технологии, управления и экономики:
Технический уровень:
Использование криптографических методов для устранения зависимости от человеческого доверия
Обеспечение математической корректности логики кода через формальную проверку
Создание многоуровневой системы защиты
Уровень управления:
Установить единые стандарты безопасности и лучшие практики для отрасли
Способствовать разработке целевых нормативных рамок регулирующими органами
Укрепить безопасность обмена информацией и сотрудничества между проектами
Экономический аспект:
Разработка более разумных экономических стимулов
Создание отраслевого страхования безопасности и фонда компенсации
Повысить стоимость атаки и снизить доход от атаки
Будущее кроссчейн мостов должно основываться на криптографических гарантиях, которые обеспечивают, что "даже если все участники попытаются злоумышленничать, они не смогут добиться успеха". Только полностью переработав архитектуру безопасности кроссчейн, освободившись от зависимости от централизованного доверия, можно действительно достичь безопасной и надежной многосетевой совместимости. Те, кто сможет предложить по-настоящему децентрализованные решения кроссчейн с математически доказанной безопасностью, станут маяками, ведущими отрасль к выходу из тени безопасности.
!
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
12 Лайков
Награда
12
5
Репост
Поделиться
комментарий
0/400
SelfMadeRuggee
· 16ч назад
Что еще играть в кросс-чейн? Я вышел из игры.
Посмотреть ОригиналОтветить0
rugdoc.eth
· 18ч назад
Неудивительно, что все говорят, что кросс-чейн самый небезопасный.
28 миллиардов долларов убытков: Глубина анализа событий безопасности кроссчейн моста и перспективы на будущее
Обзор и анализ инцидентов безопасности кроссчейн моста
С 2022 по 2024 год в области кроссчейн мостов произошло несколько крупных инцидентов безопасности, общие убытки составили более 2,8 миллиарда долларов. Среди них наиболее выдающимися являются:
Эти события четко демонстрируют фундаментальные недостатки текущей кросс-чейн инфраструктуры в проектировании архитектуры безопасности.
Ronin Bridge: образец социальной инженерии
23 марта 2022 года кроссчейн мост Axie Infinity Ronin Bridge столкнулся с самым серьезным в истории криптовалюты нападением на кроссчейн мост. Злоумышленники с помощью социальной инженерии успешно похитили 173 600 ETH и 25,5 миллиона USDC, что в общей сложности превысило 625 миллионов долларов.
Ключевые моменты процесса атаки включают:
Основные проблемы, выявленные в результате этой атаки, включают:
Wormhole Bridge:смертельные последствия устаревшего кода
2 февраля 2022 года кроссчейн мост Wormhole, соединяющий Ethereum и Solana, подвергся сильному удару: злоумышленник использовал устаревшую, но не удалённую функцию в смарт-контракте, успешно обойдя механизм проверки подписей и создав 120 000 незастрахованных wETH токенов на сумму около 320 миллионов долларов.
Технические детали атаки включают:
Атака выявила основные проблемы:
Harmony Horizon Bridge:полный крах мультиподписных ключей
23 июня 2022 года мост Harmony Horizon был атакован, что привело к потере 100 миллионов долларов. Злоумышленники использовали полученные 2 приватных ключа верификационных узлов и за несколько часов выполнили 14 транзакций кросс-чейн.
Ключевые точки атаки:
Основные проблемы, связанные с раскрытием:
Binance Bridge: Смертельный недостаток Merkle-доказательства
6 октября 2022 года BSC Token Hub от Binance был атакован, в результате чего было потеряно около 570 миллионов долларов. Нападавший использовал тонкую уязвимость в обработке Merkle доказательств в библиотеке IAVL, чтобы успешно подделать доказательства блока.
Технические детали атаки:
Обнаженные проблемы:
Nomad Bridge: Бабочка эффекта доверия
1 августа 2022 года кроссчейн мост Nomad Bridge стал причиной "всеобъемлющего участия" в результате конфигурационной ошибки, что привело к потере 190 миллионов долларов.
Ключевые моменты атаки:
Обнаруженные проблемы:
Orbit Chain:Систематическое падение многофункциональных приватных ключей
1 января 2024 года Orbit Chain подвергся атаке, в результате которой были потеряны 81,5 миллиона долларов. Злоумышленники получили приватные ключи 7 из 10 валидационных узлов, что точно соответствует минимальному порогу, необходимому для выполнения произвольных транзакций.
Характеристики атаки:
Обнаженные проблемы:
Глубинная причина уязвимости кроссчейн моста
Анализируя, мы можем свести проблемы безопасности кроссчейн моста к нескольким основным уровням системных недостатков:
Дефекты управления приватными ключами (около 55%):
Уязвимости в проверке смарт-контрактов (примерно 30%):
Ошибка в управлении конфигурацией (около 10%):
Дефекты систем криптографических доказательств (около 5%):
!
Текущая ситуация в отрасли и технологическая эволюция
кроссчейн мост безопасность демонстрирует явную эволюционную тенденцию:
Отрасль исследует различные технологические решения:
Вывод: Переопределение будущего безопасности кросс-чейн
Основная проблема, с которой сталкиваются кроссчейн мосты, заключается в недостатках модели доверия. Большинство кроссчейн мостов основываются на предположении "доверять меньшинству валидаторов, которые не будут злоупотреблять", что делает их крайне уязвимыми к организованным атакам. Противоречие между сложностью и безопасностью становится все более заметным, в то время как потенциальная прибыль злоумышленников значительно превышает стоимость мер безопасности.
Настоящее решение требует одновременного подхода с трех уровней: технологии, управления и экономики:
Технический уровень:
Уровень управления:
Экономический аспект:
Будущее кроссчейн мостов должно основываться на криптографических гарантиях, которые обеспечивают, что "даже если все участники попытаются злоумышленничать, они не смогут добиться успеха". Только полностью переработав архитектуру безопасности кроссчейн, освободившись от зависимости от централизованного доверия, можно действительно достичь безопасной и надежной многосетевой совместимости. Те, кто сможет предложить по-настоящему децентрализованные решения кроссчейн с математически доказанной безопасностью, станут маяками, ведущими отрасль к выходу из тени безопасности.
!