Огляд та аналіз інцидентів безпеки кросчейн мостів
З 2022 по 2024 рік у сфері кросчейн мостів сталося кілька значних інцидентів безпеки, загальні збитки перевищили 2,8 мільярда доларів. Ці інциденти не лише призвели до величезних економічних втрат, але й виявили фундаментальні недоліки існуючої крос-ланцюгової інфраструктури в архітектурі безпеки.
Огляд основних безпекових подій
Ronin Bridge: атака соціальної інженерії
У березні 2022 року Ronin Bridge зазнав атаки, в результаті чого було втрачено 625 мільйонів доларів. Зловмисники за допомогою соціальної інженерії отримали приватний ключ валідаційного вузла та використали забутий тимчасовий дозвіл для виконання несанкціонованого виведення коштів. Ця атака виявила вразливість механізму мультипідпису перед ретельно спланованими атаками соціальної інженерії.
Кросчейн міст: вразливість смарт-контракту
У лютому 2022 року міст Wormhole був атакований через вразливість у смарт-контракті, внаслідок чого було втрачено 320 мільйонів доларів. Зловмисник використав функцію, яка була вже застаріла, але не видалена, успішно обійшовши механізм перевірки підпису. Ця подія підкреслила важливість управління кодом та безпеки аудиту.
Harmony Horizon Bridge:витік приватного ключа
У червні 2022 року міст Horizon Bridge від Harmony зазнав нападу, в результаті якого було втрачено 100 мільйонів доларів. Зловмисник отримав приватні ключі двох валідаційних вузлів, що задовольняло мінімальні вимоги 2 з 5 багатопідписів. Цей напад продемонстрував ризики, пов'язані з надто низьким порогом налаштування багатопідпису.
Binance Bridge: Уразливість Merkle-доказів
У жовтні 2022 року Binance Bridge був атакований через дефект системи верифікації Merkle, в результаті чого було втрачено 570 мільйонів доларів. Зловмисники скористалися тонким дефектом у реалізації IAVL-дерева, успішно підробивши доказ блоку. Ця подія продемонструвала важливість деталей реалізації криптографії.
Nomad Bridge: помилка конфігурації
У серпні 2022 року Nomad Bridge зазнав повного краху через конфігураційну помилку, внаслідок чого було втрачено 190 мільйонів доларів. На перший погляд, незначна конфігураційна помилка призвела до того, що всі крос-ланцюгові повідомлення автоматично позначалися як "підтверджені". Цей випадок демонструє величезні наслідки, які можуть бути спричинені незначними помилками.
Orbit Chain:системне витікання приватних ключів
У січні 2024 року Orbit Chain зазнав атаки, внаслідок чого було втрачено 81,5 мільйона доларів. Зловмисники отримали приватні ключі 7 верифікаційних вузлів, що якраз відповідає мінімальній вимозі 7 з 10 для мультипідпису. Ця подія знову продемонструвала вразливість традиційного механізму мультипідпису.
Глибокий аналіз причин
Недоліки управління приватними ключами: складають 55% факторів успіху атак, включаючи централізоване зберігання, занадто низькі пороги налаштування, відсутність механізму ротації тощо.
Вразливості верифікації смарт-контрактів: складають 30%, включають недоліки в логіці верифікації підпису, недостатню верифікацію вхідних даних тощо.
Помилки в управлінні конфігурацією: 10%, включаючи помилки конфігурації під час оновлення, неналежні налаштування прав доступу тощо.
Недоліки системи доказів на основі криптографії: займає 5%, пов'язано з глибоким використанням основних криптографічних принципів.
!
Стан галузі та еволюція технологій
2022 рік був найгіршим роком за збитками, загальні збитки склали приблизно 18,5 мільярдів доларів.
Методи атаки еволюціонували від великих одиничних атак до більш прихованих і точних спрямованих атак.
Новітні технологічні рішення включають нульове знання, багатосторонні обчислення, формальну верифікацію тощо.
Майбутні напрямки розвитку
Технічний рівень: використання криптографічних методів для усунення залежності від людської довіри та посилення формальної верифікації.
Управлінський аспект: встановлення єдиних стандартів безпеки в галузі, просування цільових нормативно-правових рамок.
Економічний аспект: розробка більш раціональних економічних механізмів стимулювання, створення галузевого рівня страхування безпеки.
Майбутня безпечна архітектура кросчейн мостів повинна базуватися на криптографічних гарантіях "навіть якщо всі учасники намагаються завдати шкоди, вони не зможуть досягти успіху", а не покладатися на припущення про добросовісність валідаторів. Тільки радикальне перепроектування архітектури безпеки крос-ланцюгів може дійсно забезпечити безпечну та надійну мульти-ланцюгову взаємодію.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
5 лайків
Нагородити
5
3
Репост
Поділіться
Прокоментувати
0/400
BTCBeliefStation
· 08-14 03:51
28 мільярдів, сміюся до сліз, невдахи великий урожай
Переглянути оригіналвідповісти на0
ChainDoctor
· 08-14 03:50
Велика втрата
Переглянути оригіналвідповісти на0
GateUser-75ee51e7
· 08-14 03:36
Раніше говорили, що містки небезпечні, хто ще наважиться їх використовувати?
Збитки від інциденту безпеки кросчейн мосту перевищили 28 мільярдів доларів США. Глибокий аналіз причин та майбутнього розвитку.
Огляд та аналіз інцидентів безпеки кросчейн мостів
З 2022 по 2024 рік у сфері кросчейн мостів сталося кілька значних інцидентів безпеки, загальні збитки перевищили 2,8 мільярда доларів. Ці інциденти не лише призвели до величезних економічних втрат, але й виявили фундаментальні недоліки існуючої крос-ланцюгової інфраструктури в архітектурі безпеки.
Огляд основних безпекових подій
Ronin Bridge: атака соціальної інженерії
У березні 2022 року Ronin Bridge зазнав атаки, в результаті чого було втрачено 625 мільйонів доларів. Зловмисники за допомогою соціальної інженерії отримали приватний ключ валідаційного вузла та використали забутий тимчасовий дозвіл для виконання несанкціонованого виведення коштів. Ця атака виявила вразливість механізму мультипідпису перед ретельно спланованими атаками соціальної інженерії.
Кросчейн міст: вразливість смарт-контракту
У лютому 2022 року міст Wormhole був атакований через вразливість у смарт-контракті, внаслідок чого було втрачено 320 мільйонів доларів. Зловмисник використав функцію, яка була вже застаріла, але не видалена, успішно обійшовши механізм перевірки підпису. Ця подія підкреслила важливість управління кодом та безпеки аудиту.
Harmony Horizon Bridge:витік приватного ключа
У червні 2022 року міст Horizon Bridge від Harmony зазнав нападу, в результаті якого було втрачено 100 мільйонів доларів. Зловмисник отримав приватні ключі двох валідаційних вузлів, що задовольняло мінімальні вимоги 2 з 5 багатопідписів. Цей напад продемонстрував ризики, пов'язані з надто низьким порогом налаштування багатопідпису.
Binance Bridge: Уразливість Merkle-доказів
У жовтні 2022 року Binance Bridge був атакований через дефект системи верифікації Merkle, в результаті чого було втрачено 570 мільйонів доларів. Зловмисники скористалися тонким дефектом у реалізації IAVL-дерева, успішно підробивши доказ блоку. Ця подія продемонструвала важливість деталей реалізації криптографії.
Nomad Bridge: помилка конфігурації
У серпні 2022 року Nomad Bridge зазнав повного краху через конфігураційну помилку, внаслідок чого було втрачено 190 мільйонів доларів. На перший погляд, незначна конфігураційна помилка призвела до того, що всі крос-ланцюгові повідомлення автоматично позначалися як "підтверджені". Цей випадок демонструє величезні наслідки, які можуть бути спричинені незначними помилками.
Orbit Chain:системне витікання приватних ключів
У січні 2024 року Orbit Chain зазнав атаки, внаслідок чого було втрачено 81,5 мільйона доларів. Зловмисники отримали приватні ключі 7 верифікаційних вузлів, що якраз відповідає мінімальній вимозі 7 з 10 для мультипідпису. Ця подія знову продемонструвала вразливість традиційного механізму мультипідпису.
Глибокий аналіз причин
Недоліки управління приватними ключами: складають 55% факторів успіху атак, включаючи централізоване зберігання, занадто низькі пороги налаштування, відсутність механізму ротації тощо.
Вразливості верифікації смарт-контрактів: складають 30%, включають недоліки в логіці верифікації підпису, недостатню верифікацію вхідних даних тощо.
Помилки в управлінні конфігурацією: 10%, включаючи помилки конфігурації під час оновлення, неналежні налаштування прав доступу тощо.
Недоліки системи доказів на основі криптографії: займає 5%, пов'язано з глибоким використанням основних криптографічних принципів.
!
Стан галузі та еволюція технологій
Майбутні напрямки розвитку
Технічний рівень: використання криптографічних методів для усунення залежності від людської довіри та посилення формальної верифікації.
Управлінський аспект: встановлення єдиних стандартів безпеки в галузі, просування цільових нормативно-правових рамок.
Економічний аспект: розробка більш раціональних економічних механізмів стимулювання, створення галузевого рівня страхування безпеки.
Майбутня безпечна архітектура кросчейн мостів повинна базуватися на криптографічних гарантіях "навіть якщо всі учасники намагаються завдати шкоди, вони не зможуть досягти успіху", а не покладатися на припущення про добросовісність валідаторів. Тільки радикальне перепроектування архітектури безпеки крос-ланцюгів може дійсно забезпечити безпечну та надійну мульти-ланцюгову взаємодію.
!