Revisión del incidente de ataque de puentes cross-chain: pérdidas cercanas a los 2000 millones de dólares, más de 1500 millones de dólares compensados
En los últimos años, con el rápido desarrollo del ecosistema blockchain, los puentes cross-chain se han convertido en una infraestructura fundamental para conectar diferentes cadenas públicas. Sin embargo, debido a que almacenan grandes cantidades de fondos y realizan operaciones cross-chain con frecuencia, los puentes cross-chain también se han convertido en un objetivo popular para los ataques de hackers. Este artículo revisará los 10 ataques importantes a puentes cross-chain que han ocurrido recientemente, resumirá sus causas e impactos, así como las medidas adoptadas por cada proyecto.
ChainSwap: dos ataques causaron pérdidas de casi 9 millones de dólares
En julio de 2021, ChainSwap sufrió dos ataques de hackers en solo 9 días. El primer ataque causó pérdidas de aproximadamente 800,000 dólares, mientras que el segundo alcanzó los 8,000,000 dólares, afectando a más de 20 proyectos que utilizaban ChainSwap para puentes cross-chain.
La investigación muestra que el ataque se debió a la incapacidad del protocolo para verificar de manera estricta la validez de las firmas, lo que permitió a los atacantes ejecutar transacciones utilizando firmas generadas por ellos mismos. Dado que la principal pérdida fueron los tokens de gobernanza, ChainSwap y varios proyectos afectados optaron por realizar un snapshot y reemitir tokens para compensar las pérdidas de los tenedores de tokens y proveedores de liquidez.
Poly Network: Devolución total tras el robo de 610 millones de dólares
El 10 de agosto de 2021, el protocolo cross-chain Poly Network sufrió el ataque DeFi más grande de la época, con una pérdida total de aproximadamente 610 millones de dólares en activos en tres redes: Ethereum, Binance Smart Chain y Polygon.
El atacante aprovechó una vulnerabilidad en la lógica de gestión de permisos del contrato de Poly Network y logró reemplazar la dirección del validador de la cadena de destino, obteniendo así el permiso para transferir activos. A pesar de la sofisticación de la técnica de ataque, el hacker finalmente decidió devolver todos los fondos, y Poly Network lo denominó "hacker de sombrero blanco" e invitó a ocupar el cargo de asesor de seguridad jefe de la empresa.
Multichain: pérdida de 6 millones de dólares, ya se ha compensado parcialmente
En enero de 2022, Multichain descubrió una vulnerabilidad significativa que afectaba a varios tokens. Aunque la vulnerabilidad fue reparada a tiempo, aún se robaron aproximadamente 6.04 millones de dólares en WETH y AVAX.
El problema radica en que Multichain no verificó correctamente la legitimidad del Token proporcionado por el usuario, lo que provocó que algunos usuarios transfirieran su WETH a direcciones maliciosas construidas por el atacante. El equipo de Multichain logró recuperar casi el 50% de los fondos robados y propuso un plan de compensación, pero solo se limita a los usuarios que revocaron su autorización antes de la fecha especificada.
QBridge: pérdida de 80 millones de dólares, solo una pequeña compensación
A finales de enero de 2022, el puente cross-chain QBridge de la plataforma de préstamos Qubit fue atacado, con pérdidas de aproximadamente 80 millones de dólares. El atacante aprovechó una vulnerabilidad en el procesamiento de transferencias de tokens en la lista blanca de QBridge para acuñar una gran cantidad de xETH en BSC de la nada y utilizó estos tokens para pedir prestados otros activos de Qubit.
Actualmente, la tasa de uso de Qubit ha disminuido drásticamente, y los datos oficiales indican que aún hay un 98% de los fondos robados que no han sido compensados.
Meter.io: Pérdida de 4.4 millones de dólares, compromiso de compensación de ingresos futuros
En febrero de 2022, el puente cross-chain Meter Passport sufrió un ataque, resultando en una pérdida de 4.4 millones de dólares. El ataque se originó en un "supuesto de confianza errónea" que surgió cuando Meter escaló el código original, permitiendo a los hackers falsificar transferencias de BNB y ETH.
El equipo de Meter inicialmente planeó compensar a los usuarios por sus pérdidas utilizando el token MTRG, pero luego decidió emitir un nuevo token PASS como compensación, y se comprometió a recomprar estos tokens con los ingresos futuros. Sin embargo, hasta la fecha no se ha realizado ninguna operación de recompra.
Ronin: 620 millones de dólares robados, ya se ha compensado en su totalidad
En marzo de 2022, la cadena Ronin detrás de Axie Infinity sufrió un ataque importante, con pérdidas de hasta 620 millones de dólares. Este ataque involucró técnicas complejas de ingeniería social, donde los atacantes, disfrazados como una empresa de reclutamiento, lograron infiltrarse en la red Ronin y controlar múltiples nodos de validación.
Aunque los fondos robados no pudieron ser recuperados, la empresa Sky Mavis detrás de Ronin recaudó rápidamente 150 millones de dólares para compensar las pérdidas de los usuarios. Es importante señalar que, debido a la fuerte caída del precio de ETH durante el ataque hasta el período de compensación, el valor de la compensación que los usuarios recibieron fue inferior al valor de los activos en el momento del robo.
Wormhole: 3.26 millones de dólares en pérdidas, recibirá una compensación total
A principios de febrero de 2022, el protocolo cross-chain Wormhole sufrió un ataque, perdiendo alrededor de 120,000 ETH, valorados en 326 millones de dólares. El atacante aprovechó una vulnerabilidad en la verificación de firmas del contrato central de Wormhole en Solana, logrando falsificar mensajes de "guardianes" para acuñar una gran cantidad de whETH.
Afortunadamente, Jump Crypto, detrás de Wormhole, inyectó rápidamente 120,000 ETH, compensando completamente las pérdidas y permitiendo que Wormhole pudiera reanudar sus operaciones rápidamente.
EvoDeFi: se estima que las pérdidas superan los diez millones de dólares, sin resolver
En junio de 2022, el DEX ValleySwap en el ecosistema Oasis experimentó una grave desanclaje de USDT, lo que llevó a la pérdida de una gran cantidad de usuarios. El problema se originó en la falta de liquidez en la cadena de origen del puente cross-chain EVODeFi utilizado por ValleySwap.
Aunque se desconoce la cantidad exacta de la pérdida, se estima que está en el rango de decenas de millones de dólares. Desafortunadamente, las partes involucradas han intentado eludir la responsabilidad, y los usuarios no han recibido ninguna compensación o solución hasta la fecha.
Horizon: pérdidas cercanas a los 100 millones de dólares, el plan de compensación aún se está elaborando.
En junio de 2022, el puente cross-chain oficial de la cadena de bloques Harmony, Horizon, fue atacado, resultando en pérdidas de aproximadamente 100 millones de dólares. La investigación mostró que el ataque podría haber sido causado por la filtración de claves privadas.
El equipo de Harmony propuso compensar gradualmente las pérdidas de los usuarios mediante la emisión adicional de tokens ONE durante un período de 3 años, pero la propuesta no recibió el apoyo de la comunidad. Actualmente, se está elaborando un nuevo plan de compensación.
Nomad: 190 millones de dólares robados, parte de los fondos podría recuperarse
En agosto de 2022, el protocolo cross-chain Nomad sufrió un grave incidente de seguridad, lo que resultó en la pérdida de 190 millones de dólares en fondos. El ataque se originó en un error crítico durante una actualización del contrato, que permitió a cualquier persona retirar fondos del puente.
Este evento involucra a una gran cantidad de direcciones, incluyendo usuarios de dominios ENS. Aunque las autoridades aún no han proporcionado un plan de compensación claro, algunos hackers éticos ya han expresado su disposición a devolver los fondos, lo que trae esperanza para una solución final.
Resumen
Al revisar estos importantes eventos de ataques a puentes cross-chain, podemos ver:
Los puentes cross-chain siguen siendo un área de alto riesgo en el ecosistema DeFi, incluso los proyectos conocidos no pueden evitar ser atacados.
Las razones de los ataques son diversas, incluyendo vulnerabilidades en los contratos, problemas de gestión de permisos, ataques de ingeniería social, etc., por lo que el equipo del proyecto necesita fortalecer la protección de seguridad en todos los aspectos.
El contexto del proyecto y la solidez financiera son cruciales para el manejo posterior. Los proyectos con fuertes recursos a menudo pueden reunir rápidamente fondos para compensaciones, mientras que los proyectos pequeños pueden tener dificultades para sobrevivir.
La monitorización en tiempo real y la respuesta rápida pueden reducir efectivamente las pérdidas. Algunos proyectos han evitado ataques a gran escala al detectar y tratar actividades sospechosas a tiempo.
Los usuarios deben ser cautelosos al elegir puentes cross-chain, priorizando proyectos con solidez y respaldo, y también deben estar atentos a las advertencias de seguridad y actualizaciones del equipo del proyecto.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Las pérdidas por ataques a puentes cross-chain ascienden a casi 2 mil millones de dólares, de los cuales se han compensado 1.5 mil millones.
Revisión del incidente de ataque de puentes cross-chain: pérdidas cercanas a los 2000 millones de dólares, más de 1500 millones de dólares compensados
En los últimos años, con el rápido desarrollo del ecosistema blockchain, los puentes cross-chain se han convertido en una infraestructura fundamental para conectar diferentes cadenas públicas. Sin embargo, debido a que almacenan grandes cantidades de fondos y realizan operaciones cross-chain con frecuencia, los puentes cross-chain también se han convertido en un objetivo popular para los ataques de hackers. Este artículo revisará los 10 ataques importantes a puentes cross-chain que han ocurrido recientemente, resumirá sus causas e impactos, así como las medidas adoptadas por cada proyecto.
ChainSwap: dos ataques causaron pérdidas de casi 9 millones de dólares
En julio de 2021, ChainSwap sufrió dos ataques de hackers en solo 9 días. El primer ataque causó pérdidas de aproximadamente 800,000 dólares, mientras que el segundo alcanzó los 8,000,000 dólares, afectando a más de 20 proyectos que utilizaban ChainSwap para puentes cross-chain.
La investigación muestra que el ataque se debió a la incapacidad del protocolo para verificar de manera estricta la validez de las firmas, lo que permitió a los atacantes ejecutar transacciones utilizando firmas generadas por ellos mismos. Dado que la principal pérdida fueron los tokens de gobernanza, ChainSwap y varios proyectos afectados optaron por realizar un snapshot y reemitir tokens para compensar las pérdidas de los tenedores de tokens y proveedores de liquidez.
Poly Network: Devolución total tras el robo de 610 millones de dólares
El 10 de agosto de 2021, el protocolo cross-chain Poly Network sufrió el ataque DeFi más grande de la época, con una pérdida total de aproximadamente 610 millones de dólares en activos en tres redes: Ethereum, Binance Smart Chain y Polygon.
El atacante aprovechó una vulnerabilidad en la lógica de gestión de permisos del contrato de Poly Network y logró reemplazar la dirección del validador de la cadena de destino, obteniendo así el permiso para transferir activos. A pesar de la sofisticación de la técnica de ataque, el hacker finalmente decidió devolver todos los fondos, y Poly Network lo denominó "hacker de sombrero blanco" e invitó a ocupar el cargo de asesor de seguridad jefe de la empresa.
Multichain: pérdida de 6 millones de dólares, ya se ha compensado parcialmente
En enero de 2022, Multichain descubrió una vulnerabilidad significativa que afectaba a varios tokens. Aunque la vulnerabilidad fue reparada a tiempo, aún se robaron aproximadamente 6.04 millones de dólares en WETH y AVAX.
El problema radica en que Multichain no verificó correctamente la legitimidad del Token proporcionado por el usuario, lo que provocó que algunos usuarios transfirieran su WETH a direcciones maliciosas construidas por el atacante. El equipo de Multichain logró recuperar casi el 50% de los fondos robados y propuso un plan de compensación, pero solo se limita a los usuarios que revocaron su autorización antes de la fecha especificada.
QBridge: pérdida de 80 millones de dólares, solo una pequeña compensación
A finales de enero de 2022, el puente cross-chain QBridge de la plataforma de préstamos Qubit fue atacado, con pérdidas de aproximadamente 80 millones de dólares. El atacante aprovechó una vulnerabilidad en el procesamiento de transferencias de tokens en la lista blanca de QBridge para acuñar una gran cantidad de xETH en BSC de la nada y utilizó estos tokens para pedir prestados otros activos de Qubit.
Actualmente, la tasa de uso de Qubit ha disminuido drásticamente, y los datos oficiales indican que aún hay un 98% de los fondos robados que no han sido compensados.
Meter.io: Pérdida de 4.4 millones de dólares, compromiso de compensación de ingresos futuros
En febrero de 2022, el puente cross-chain Meter Passport sufrió un ataque, resultando en una pérdida de 4.4 millones de dólares. El ataque se originó en un "supuesto de confianza errónea" que surgió cuando Meter escaló el código original, permitiendo a los hackers falsificar transferencias de BNB y ETH.
El equipo de Meter inicialmente planeó compensar a los usuarios por sus pérdidas utilizando el token MTRG, pero luego decidió emitir un nuevo token PASS como compensación, y se comprometió a recomprar estos tokens con los ingresos futuros. Sin embargo, hasta la fecha no se ha realizado ninguna operación de recompra.
Ronin: 620 millones de dólares robados, ya se ha compensado en su totalidad
En marzo de 2022, la cadena Ronin detrás de Axie Infinity sufrió un ataque importante, con pérdidas de hasta 620 millones de dólares. Este ataque involucró técnicas complejas de ingeniería social, donde los atacantes, disfrazados como una empresa de reclutamiento, lograron infiltrarse en la red Ronin y controlar múltiples nodos de validación.
Aunque los fondos robados no pudieron ser recuperados, la empresa Sky Mavis detrás de Ronin recaudó rápidamente 150 millones de dólares para compensar las pérdidas de los usuarios. Es importante señalar que, debido a la fuerte caída del precio de ETH durante el ataque hasta el período de compensación, el valor de la compensación que los usuarios recibieron fue inferior al valor de los activos en el momento del robo.
Wormhole: 3.26 millones de dólares en pérdidas, recibirá una compensación total
A principios de febrero de 2022, el protocolo cross-chain Wormhole sufrió un ataque, perdiendo alrededor de 120,000 ETH, valorados en 326 millones de dólares. El atacante aprovechó una vulnerabilidad en la verificación de firmas del contrato central de Wormhole en Solana, logrando falsificar mensajes de "guardianes" para acuñar una gran cantidad de whETH.
Afortunadamente, Jump Crypto, detrás de Wormhole, inyectó rápidamente 120,000 ETH, compensando completamente las pérdidas y permitiendo que Wormhole pudiera reanudar sus operaciones rápidamente.
EvoDeFi: se estima que las pérdidas superan los diez millones de dólares, sin resolver
En junio de 2022, el DEX ValleySwap en el ecosistema Oasis experimentó una grave desanclaje de USDT, lo que llevó a la pérdida de una gran cantidad de usuarios. El problema se originó en la falta de liquidez en la cadena de origen del puente cross-chain EVODeFi utilizado por ValleySwap.
Aunque se desconoce la cantidad exacta de la pérdida, se estima que está en el rango de decenas de millones de dólares. Desafortunadamente, las partes involucradas han intentado eludir la responsabilidad, y los usuarios no han recibido ninguna compensación o solución hasta la fecha.
Horizon: pérdidas cercanas a los 100 millones de dólares, el plan de compensación aún se está elaborando.
En junio de 2022, el puente cross-chain oficial de la cadena de bloques Harmony, Horizon, fue atacado, resultando en pérdidas de aproximadamente 100 millones de dólares. La investigación mostró que el ataque podría haber sido causado por la filtración de claves privadas.
El equipo de Harmony propuso compensar gradualmente las pérdidas de los usuarios mediante la emisión adicional de tokens ONE durante un período de 3 años, pero la propuesta no recibió el apoyo de la comunidad. Actualmente, se está elaborando un nuevo plan de compensación.
Nomad: 190 millones de dólares robados, parte de los fondos podría recuperarse
En agosto de 2022, el protocolo cross-chain Nomad sufrió un grave incidente de seguridad, lo que resultó en la pérdida de 190 millones de dólares en fondos. El ataque se originó en un error crítico durante una actualización del contrato, que permitió a cualquier persona retirar fondos del puente.
Este evento involucra a una gran cantidad de direcciones, incluyendo usuarios de dominios ENS. Aunque las autoridades aún no han proporcionado un plan de compensación claro, algunos hackers éticos ya han expresado su disposición a devolver los fondos, lo que trae esperanza para una solución final.
Resumen
Al revisar estos importantes eventos de ataques a puentes cross-chain, podemos ver:
Los puentes cross-chain siguen siendo un área de alto riesgo en el ecosistema DeFi, incluso los proyectos conocidos no pueden evitar ser atacados.
Las razones de los ataques son diversas, incluyendo vulnerabilidades en los contratos, problemas de gestión de permisos, ataques de ingeniería social, etc., por lo que el equipo del proyecto necesita fortalecer la protección de seguridad en todos los aspectos.
El contexto del proyecto y la solidez financiera son cruciales para el manejo posterior. Los proyectos con fuertes recursos a menudo pueden reunir rápidamente fondos para compensaciones, mientras que los proyectos pequeños pueden tener dificultades para sobrevivir.
La monitorización en tiempo real y la respuesta rápida pueden reducir efectivamente las pérdidas. Algunos proyectos han evitado ataques a gran escala al detectar y tratar actividades sospechosas a tiempo.
Los usuarios deben ser cautelosos al elegir puentes cross-chain, priorizando proyectos con solidez y respaldo, y también deben estar atentos a las advertencias de seguridad y actualizaciones del equipo del proyecto.