Revisión de incidentes de seguridad de puentes cross-chain: Análisis de los diez principales casos de ataque

En los últimos años, con el desarrollo de la tecnología blockchain, los puentes cross-chain se han convertido en una infraestructura básica importante para conectar diferentes ecosistemas de cadenas públicas. Sin embargo, debido a que manejan un gran flujo de fondos, los puentes cross-chain también se han convertido en objetivos principales de ataques de hackers. Este artículo revisará diez incidentes de ataques a puentes cross-chain que han tenido un impacto profundo, resumirá las lecciones aprendidas y proporcionará referencias para el desarrollo seguro de la industria.

ChainSwap: doble golpe y recuperación de tokens

En julio de 2021, ChainSwap sufrió dos ataques de hackers en solo 9 días, con una pérdida total de aproximadamente 8.8 millones de dólares. El segundo ataque tuvo un impacto particularmente amplio, afectando a más de 20 proyectos que utilizaban ChainSwap para realizar puentes cross-chain.

La investigación muestra que el ataque se originó en la incapacidad del protocolo para verificar estrictamente la validez de las firmas, lo que permitió a los atacantes realizar transacciones con firmas auto-generadas. Dado que las pérdidas involucraban principalmente tokens de gobernanza, ChainSwap y varios proyectos afectados optaron por realizar un snapshot y emitir nuevos tokens para compensar las pérdidas de los poseedores y proveedores de liquidez.

Poly Network: el ataque más grande de la historia y un giro inesperado

En agosto de 2021, Poly Network sufrió el ataque más grande en la historia de los puentes cross-chain, con fondos involucrados de hasta 610 millones de dólares. El atacante aprovechó hábilmente una vulnerabilidad en la gestión de permisos del contrato, logrando modificar la dirección del validador de la cadena objetivo.

Sin embargo, este evento tuvo un giro dramático. El atacante finalmente decidió devolver todos los fondos y fue llamado "hacker de sombrero blanco" por Poly Network. Este incidente no solo muestra los enormes desafíos de seguridad que enfrentan los puentes cross-chain, sino que también destaca la importancia de fortalecer la gestión de permisos de contratos y los mecanismos de verificación.

Multichain: vulnerabilidades ocultas y compensación parcial

En enero de 2022, Multichain descubrió una vulnerabilidad importante que afectaba a varios tokens. Aunque la vulnerabilidad ha sido corregida, todavía se robaron activos por valor de aproximadamente 6 millones de dólares.

La vulnerabilidad se debe a la insuficiencia en la verificación de la legitimidad del Token ingresado por el usuario, especialmente porque no se tuvo en cuenta que no todos los tokens implementan la función permit. El equipo de Multichain está trabajando activamente para recuperar los fondos robados y ha propuesto un plan de compensación para los usuarios que han revocado autorizaciones, pero ya no se hacen responsables de las pérdidas por demora en el procesamiento.

QBridge: errores de validación de tokens y pérdidas masivas

A finales de enero de 2022, el puente cross-chain QBridge del protocolo de préstamos Qubit sufrió un ataque, con pérdidas de aproximadamente 80 millones de dólares. Los atacantes aprovecharon una vulnerabilidad clave en QBridge al procesar transferencias de tokens en la lista blanca.

En concreto, QBridge no logró realizar una segunda verificación de la dirección cero, lo que permitió a los atacantes acuñar una gran cantidad de tokens xETH en BSC sin haber depositado ningún token. Estos tokens falsos fueron utilizados posteriormente como colateral para pedir prestados otros tokens de Qubit, agotando el fondo del protocolo.

Meter.io: Suposiciones erróneas y esquema de compensación innovador

En febrero de 2022, el puente cross-chain Meter Passport fue atacado debido a una "suposición de confianza errónea", lo que causó una pérdida de 4.4 millones de dólares. El atacante aprovechó con éxito una vulnerabilidad en la función de depósito ERC20 subyacente para falsificar transferencias de BNB y ETH.

El equipo de Meter ha adoptado un innovador esquema de compensación, emitiendo nuevos tokens PASS para compensar las pérdidas de los usuarios y comprometiéndose a recomprar estos tokens con futuros ingresos. Aunque este enfoque es innovador, también ha suscitado un debate sobre la sostenibilidad a largo plazo.

Ronin: Ataques de ingeniería social y compensaciones de financiamiento masivo

En marzo de 2022, la cadena Ronin detrás de Axie Infinity sufrió un ataque de ingeniería social meticulosamente planeado, con pérdidas de hasta 620 millones de dólares. Los atacantes se infiltraron con éxito en el sistema de Sky Mavis a través de una empresa de reclutamiento falsa, controlando finalmente suficientes nodos de validadores.

A pesar de que los fondos robados no pudieron ser recuperados, Sky Mavis completó rápidamente una financiación de 150 millones de dólares para compensar las pérdidas de los usuarios. Este evento resalta la importancia de los factores humanos en la seguridad de la blockchain, además de las vulnerabilidades técnicas.

Wormhole: vulnerabilidad del contrato principal y solución rápida

En febrero de 2022, el protocolo cross-chain Wormhole sufrió un ataque de 326 millones de dólares debido a un error en la verificación de firmas del contrato principal en la red Solana. El atacante logró falsificar el mensaje de "guardianes" y acuñó en gran cantidad whETH.

Es importante destacar que Jump Crypto inyectó rápidamente una cantidad equivalente de ETH en Wormhole, lo que permitió que el protocolo reanudara sus operaciones rápidamente. Esta acción demuestra la importancia de un respaldo sólido para la seguridad de proyectos cross-chain.

EvoDeFi: Crisis de liquidez y desaparición de proyectos

En junio de 2022, el USDT en el DEX ValleySwap del ecosistema Oasis se desancló gravemente, lo que se estima que causó pérdidas de más de diez millones de dólares. El problema se originó en la falta de liquidez en la cadena de origen del puente cross-chain EVODeFi que utilizaba.

El proceso de manejo de este evento es decepcionante, las partes relacionadas rápidamente se desmarcaron, y el equipo del proyecto en realidad eligió evadir la responsabilidad. Esto resalta la importancia de considerar el trasfondo del proyecto y la capacidad de asumir responsabilidades al elegir puentes cross-chain.

Horizon: Controversia sobre la filtración de claves privadas y la compensación a la comunidad

En junio de 2022, el puente cross-chain Horizon de Harmony fue atacado, resultando en pérdidas de casi 100 millones de dólares. La investigación muestra que el ataque probablemente fue causado por una filtración de claves privadas.

El equipo de Harmony propuso un plan para compensar a los usuarios mediante la emisión adicional de tokens en un plazo de 3 años, pero no logró obtener el apoyo unánime de la comunidad. Este evento subraya la importancia de la gestión de claves privadas y también refleja la dificultad de equilibrar los intereses de todas las partes al abordar las consecuencias de un ataque a gran escala.

Nomad: Error de actualización y devolución espontánea de la comunidad

En agosto de 2022, Nomad sufrió el robo de aproximadamente 190 millones de dólares debido a un error de inicialización durante una actualización del contrato. Este error aparentemente simple permitió que cualquier persona pudiera extraer fondos del puentes cross-chain.

Cabe mencionar que algunos hackers de sombrero blanco han expresado su disposición a devolver los fondos, lo que demuestra la capacidad de autorregulación de la comunidad. Sin embargo, este incidente también nos recuerda que incluso un pequeño error en una actualización puede tener consecuencias catastróficas.

Resumen e implicaciones

Al revisar estos importantes eventos de ataque, podemos llegar a las siguientes conclusiones:

1. La auditoría técnica es crucial: la mayoría de los ataques provienen de vulnerabilidades en los contratos o errores de actualización, lo que subraya la necesidad de una auditoría de código completa.

2. Mecanismos de verificación múltiple: La falla de un solo punto puede tener consecuencias catastróficas, por lo que es muy necesario establecer un mecanismo de verificación de seguridad en múltiples niveles.

3. Capacidad de respuesta rápida: Detectar y manejar problemas de seguridad de manera oportuna puede reducir significativamente las pérdidas. Es importante establecer mecanismos de monitoreo y respuesta ante emergencias efectivos.

4. Confianza y comunicación en la comunidad: Durante el proceso de gestión de crisis, mantener una comunicación transparente con la comunidad y proponer un plan de compensación razonable es crucial para el desarrollo a largo plazo del proyecto.

5. No se deben ignorar los factores humanos: además del aspecto técnico, también se deben tener en cuenta los riesgos de seguridad derivados de factores humanos como la ingeniería social.

6. Reserva de fondos y seguros: Tener reservas de fondos suficientes o mecanismos de seguros puede proteger mejor los intereses de los usuarios en caso de que ocurra un incidente de seguridad.

Los puentes cross-chain, como infraestructura clave que conecta diferentes ecosistemas de blockchain, su seguridad afecta directamente la estabilidad del mercado de criptomonedas en su conjunto. Desarrolladores, inversores y usuarios deben aprender de estos eventos y trabajar juntos para mejorar los estándares de seguridad de toda la industria.