Revisión de incidentes de seguridad de puentes cross-chain: 10 grandes casos de ataque involucrando más de 1.9 mil millones de dólares
En los últimos años, los puentes cross-chain se han convertido en un objetivo popular para los ataques de hackers. Debido a que muchas nuevas cadenas de bloques carecen de activos principales, necesitan obtener activos a través de puentes cross-chain desde cadenas de bloques maduras como Ethereum, lo que convierte a los puentes cross-chain en un importante centro de flujo de fondos. Sin embargo, los frecuentes incidentes de seguridad también han expuesto la vulnerabilidad de los puentes cross-chain. Este artículo revisará 10 incidentes significativos de ataques a puentes cross-chain, resumirá las lecciones aprendidas y proporcionará referencias para la seguridad futura.
ChainSwap: pérdidas de aproximadamente 8.8 millones de dólares tras dos ataques
En julio de 2021, ChainSwap sufrió dos ataques de hackers en solo 9 días. El primer ataque causó pérdidas de alrededor de 800,000 dólares, mientras que el segundo ataque fue aún más grave, con pérdidas de hasta 8,000,000 dólares, afectando a más de 20 proyectos que utilizaban ChainSwap para realizar puentes cross-chain.
Las investigaciones muestran que los atacantes explotaron una vulnerabilidad en el protocolo al verificar la validez de las firmas. Para compensar las pérdidas, ChainSwap y varios proyectos afectados optaron por hacer un snapshot y volver a emitir tokens.
Poly Network: 610 millones de dólares en activos robados fueron recuperados en su totalidad
En agosto de 2021, el protocolo cross-chain Poly Network sufrió un ataque a gran escala, con fondos involucrados que alcanzaron los 610 millones de dólares. El atacante aprovechó una vulnerabilidad en la lógica de gestión de permisos del contrato, logrando reemplazar la dirección del validador de la cadena objetivo, lo que permitió la transferencia de una gran cantidad de activos.
A pesar de la sofisticación de las técnicas de ataque, los hackers decidieron devolver todos los fondos robados. Poly Network los llamó "hackers de sombrero blanco" e incluso los invitó a ser asesores de seguridad. Aunque este incidente terminó en un acuerdo, también expuso las importantes vulnerabilidades en la gestión de permisos de los puentes cross-chain.
Multichain: Se ha compensado la pérdida de 6 millones de dólares por vulnerabilidad
En enero de 2022, Multichain descubrió una vulnerabilidad importante que afectaba a varios tokens. Aunque la vulnerabilidad fue reparada a tiempo, aún se robaron aproximadamente 6.04 millones de dólares en activos.
La vulnerabilidad se originó por la negligencia de Multichain al validar la legitimidad de los tokens ingresados por los usuarios, sin considerar que no todos los tokens implementan funciones específicas. El equipo actuó rápidamente, recuperando casi el 50% de los fondos robados y compensando a los usuarios a los que se les había revocado la autorización mediante una propuesta.
QBridge: pérdida de 80 millones de dólares solo indemniza el 2%
A finales de enero de 2022, el puente cross-chain QBridge de Qubit fue atacado, con pérdidas de aproximadamente 80 millones de dólares. El atacante aprovechó una vulnerabilidad en el manejo de transferencias de tokens en la lista blanca de QBridge, logrando acuñar una gran cantidad de tokens falsos en BSC.
Este incidente llevó a que la plataforma Qubit casi dejara de operar, y actualmente aún hay un 98% de los fondos robados que no han sido compensados, lo que resalta la vulnerabilidad de ciertos proyectos ante incidentes de seguridad significativos.
Meter.io: pérdida de 4.4 millones de dólares, promete compensar con ingresos futuros
En febrero de 2022, el puente cross-chain Meter Passport fue atacado, resultando en una pérdida de 4.4 millones de dólares. El problema radicaba en la "suposición de confianza errónea" del código subyacente, que permitía a los atacantes falsificar transferencias de tokens.
El equipo de Meter inicialmente propuso utilizar tokens MTRG como compensación, pero luego decidió emitir nuevos tokens PASS. El plan es utilizar las ganancias futuras para recomprar estos tokens, aunque aún no se han realizado recompras. Este enfoque destaca los desafíos en la compensación a los usuarios después de una violación de seguridad.
Ronin: El caso de robo de 620 millones de dólares ha sido reembolsado en su totalidad
En marzo de 2022, la cadena Ronin detrás de Axie Infinity sufrió un grave incidente de seguridad, con pérdidas de hasta 620 millones de dólares. Este ataque utilizó técnicas de ingeniería social, infiltrándose en el sistema de Sky Mavis a través de un reclutamiento falso de la empresa.
A pesar de que los fondos robados no pudieron ser recuperados, Sky Mavis recaudó rápidamente 150 millones de dólares para compensar a los usuarios. Este caso muestra la importancia del fuerte apoyo de la comunidad y la capacidad de respuesta rápida en la gestión de crisis.
Wormhole: Se obtiene una compensación inmediata por una pérdida de 326 millones de dólares
En febrero de 2022, el protocolo cross-chain Wormhole fue atacado, con pérdidas de aproximadamente 326 millones de dólares. Los atacantes aprovecharon una vulnerabilidad en la verificación de firmas del contrato en la red Solana, logrando acuñar una gran cantidad de tokens falsos.
Jump Crypto ha invertido rápidamente 120,000 ETH, compensando completamente las pérdidas de Wormhole. Este caso demuestra la importancia de un fuerte respaldo financiero para mantener la confianza de los usuarios.
EvoDeFi: se estima una pérdida de millones de dólares, aún no resuelta
En junio de 2022, el DEX ValleySwap en el ecosistema Oasis experimentó una grave desanclaje del USDT, lo que causó grandes pérdidas a los usuarios. El problema se originó en el uso del puente cross-chain EVODeFi, que tenía una liquidez insuficiente en la cadena de origen.
Este evento destacó la importancia de la gestión de la liquidez de los puentes cross-chain, así como la necesidad de realizar una debida diligencia adecuada al seleccionar socios.
Horizon: pérdidas de casi 100 millones de dólares, el plan de compensación aún se está elaborando.
En junio de 2022, el puente cross-chain oficial de Harmony, Horizon, fue atacado, con pérdidas de aproximadamente 100 millones de dólares. Las investigaciones muestran que el ataque pudo haber sido causado por la filtración de la clave privada.
Harmony inicialmente propuso la creación de tokens como compensación, pero la comunidad rechazó este enfoque. Las discusiones en curso sobre la compensación destacan las complejidades de equilibrar los intereses de los usuarios con la sostenibilidad del proyecto tras un importante incidente de seguridad.
Nomad: 1.9 millones de dólares robados, se espera recuperar parte de los fondos
En agosto de 2022, el puente cross-chain de Nomad fue atacado, con pérdidas de hasta 190 millones de dólares. El ataque se debió a un error de configuración en una actualización de contrato, que permitía a cualquier persona extraer fondos del puente.
A pesar de las grandes pérdidas, algunos hackers de sombrero blanco han expresado su disposición a devolver los fondos, lo que ha traído esperanza para la recuperación de activos. Este incidente destaca la importancia de una auditoría de seguridad rigurosa al realizar actualizaciones del sistema.
Resumen
Al revisar estos incidentes de seguridad de puentes cross-chain, podemos llegar a las siguientes conclusiones:
Los puentes cross-chain son un eslabón de alto riesgo en el ecosistema DeFi, incluso los proyectos de primer nivel pueden enfrentar problemas de seguridad.
Un fuerte equipo de desarrollo y un apoyo financiero adecuado son cruciales para manejar rápidamente los incidentes de seguridad.
Un mecanismo de monitoreo en tiempo real y respuesta rápida puede reducir eficazmente las pérdidas.
La confianza de la comunidad y la comunicación transparente juegan un papel importante en la gestión de crisis.
Las auditorías de seguridad y las revisiones de código deben convertirse en una norma, especialmente durante las actualizaciones del sistema.
Mecanismos como la descentralización y la firma múltiple pueden mejorar la seguridad del sistema, pero se debe tener precaución al implementarlos.
Los usuarios deben ser cautelosos al seleccionar puentes cross-chain, priorizando proyectos con un buen historial y un fuerte respaldo.
Con el continuo desarrollo de la tecnología cross-chain, los problemas de seguridad seguirán siendo el principal desafío al que se enfrenta este campo. Los desarrolladores, los usuarios y toda la industria deben mantenerse alerta y mejorar constantemente las medidas de seguridad para construir un ecosistema cross-chain más seguro y confiable.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Revisión de seguridad de puentes cross-chain: 10 casos de ataque con pérdidas superiores a 1.9 mil millones de dólares.
Revisión de incidentes de seguridad de puentes cross-chain: 10 grandes casos de ataque involucrando más de 1.9 mil millones de dólares
En los últimos años, los puentes cross-chain se han convertido en un objetivo popular para los ataques de hackers. Debido a que muchas nuevas cadenas de bloques carecen de activos principales, necesitan obtener activos a través de puentes cross-chain desde cadenas de bloques maduras como Ethereum, lo que convierte a los puentes cross-chain en un importante centro de flujo de fondos. Sin embargo, los frecuentes incidentes de seguridad también han expuesto la vulnerabilidad de los puentes cross-chain. Este artículo revisará 10 incidentes significativos de ataques a puentes cross-chain, resumirá las lecciones aprendidas y proporcionará referencias para la seguridad futura.
ChainSwap: pérdidas de aproximadamente 8.8 millones de dólares tras dos ataques
En julio de 2021, ChainSwap sufrió dos ataques de hackers en solo 9 días. El primer ataque causó pérdidas de alrededor de 800,000 dólares, mientras que el segundo ataque fue aún más grave, con pérdidas de hasta 8,000,000 dólares, afectando a más de 20 proyectos que utilizaban ChainSwap para realizar puentes cross-chain.
Las investigaciones muestran que los atacantes explotaron una vulnerabilidad en el protocolo al verificar la validez de las firmas. Para compensar las pérdidas, ChainSwap y varios proyectos afectados optaron por hacer un snapshot y volver a emitir tokens.
Poly Network: 610 millones de dólares en activos robados fueron recuperados en su totalidad
En agosto de 2021, el protocolo cross-chain Poly Network sufrió un ataque a gran escala, con fondos involucrados que alcanzaron los 610 millones de dólares. El atacante aprovechó una vulnerabilidad en la lógica de gestión de permisos del contrato, logrando reemplazar la dirección del validador de la cadena objetivo, lo que permitió la transferencia de una gran cantidad de activos.
A pesar de la sofisticación de las técnicas de ataque, los hackers decidieron devolver todos los fondos robados. Poly Network los llamó "hackers de sombrero blanco" e incluso los invitó a ser asesores de seguridad. Aunque este incidente terminó en un acuerdo, también expuso las importantes vulnerabilidades en la gestión de permisos de los puentes cross-chain.
Multichain: Se ha compensado la pérdida de 6 millones de dólares por vulnerabilidad
En enero de 2022, Multichain descubrió una vulnerabilidad importante que afectaba a varios tokens. Aunque la vulnerabilidad fue reparada a tiempo, aún se robaron aproximadamente 6.04 millones de dólares en activos.
La vulnerabilidad se originó por la negligencia de Multichain al validar la legitimidad de los tokens ingresados por los usuarios, sin considerar que no todos los tokens implementan funciones específicas. El equipo actuó rápidamente, recuperando casi el 50% de los fondos robados y compensando a los usuarios a los que se les había revocado la autorización mediante una propuesta.
QBridge: pérdida de 80 millones de dólares solo indemniza el 2%
A finales de enero de 2022, el puente cross-chain QBridge de Qubit fue atacado, con pérdidas de aproximadamente 80 millones de dólares. El atacante aprovechó una vulnerabilidad en el manejo de transferencias de tokens en la lista blanca de QBridge, logrando acuñar una gran cantidad de tokens falsos en BSC.
Este incidente llevó a que la plataforma Qubit casi dejara de operar, y actualmente aún hay un 98% de los fondos robados que no han sido compensados, lo que resalta la vulnerabilidad de ciertos proyectos ante incidentes de seguridad significativos.
Meter.io: pérdida de 4.4 millones de dólares, promete compensar con ingresos futuros
En febrero de 2022, el puente cross-chain Meter Passport fue atacado, resultando en una pérdida de 4.4 millones de dólares. El problema radicaba en la "suposición de confianza errónea" del código subyacente, que permitía a los atacantes falsificar transferencias de tokens.
El equipo de Meter inicialmente propuso utilizar tokens MTRG como compensación, pero luego decidió emitir nuevos tokens PASS. El plan es utilizar las ganancias futuras para recomprar estos tokens, aunque aún no se han realizado recompras. Este enfoque destaca los desafíos en la compensación a los usuarios después de una violación de seguridad.
Ronin: El caso de robo de 620 millones de dólares ha sido reembolsado en su totalidad
En marzo de 2022, la cadena Ronin detrás de Axie Infinity sufrió un grave incidente de seguridad, con pérdidas de hasta 620 millones de dólares. Este ataque utilizó técnicas de ingeniería social, infiltrándose en el sistema de Sky Mavis a través de un reclutamiento falso de la empresa.
A pesar de que los fondos robados no pudieron ser recuperados, Sky Mavis recaudó rápidamente 150 millones de dólares para compensar a los usuarios. Este caso muestra la importancia del fuerte apoyo de la comunidad y la capacidad de respuesta rápida en la gestión de crisis.
Wormhole: Se obtiene una compensación inmediata por una pérdida de 326 millones de dólares
En febrero de 2022, el protocolo cross-chain Wormhole fue atacado, con pérdidas de aproximadamente 326 millones de dólares. Los atacantes aprovecharon una vulnerabilidad en la verificación de firmas del contrato en la red Solana, logrando acuñar una gran cantidad de tokens falsos.
Jump Crypto ha invertido rápidamente 120,000 ETH, compensando completamente las pérdidas de Wormhole. Este caso demuestra la importancia de un fuerte respaldo financiero para mantener la confianza de los usuarios.
EvoDeFi: se estima una pérdida de millones de dólares, aún no resuelta
En junio de 2022, el DEX ValleySwap en el ecosistema Oasis experimentó una grave desanclaje del USDT, lo que causó grandes pérdidas a los usuarios. El problema se originó en el uso del puente cross-chain EVODeFi, que tenía una liquidez insuficiente en la cadena de origen.
Este evento destacó la importancia de la gestión de la liquidez de los puentes cross-chain, así como la necesidad de realizar una debida diligencia adecuada al seleccionar socios.
Horizon: pérdidas de casi 100 millones de dólares, el plan de compensación aún se está elaborando.
En junio de 2022, el puente cross-chain oficial de Harmony, Horizon, fue atacado, con pérdidas de aproximadamente 100 millones de dólares. Las investigaciones muestran que el ataque pudo haber sido causado por la filtración de la clave privada.
Harmony inicialmente propuso la creación de tokens como compensación, pero la comunidad rechazó este enfoque. Las discusiones en curso sobre la compensación destacan las complejidades de equilibrar los intereses de los usuarios con la sostenibilidad del proyecto tras un importante incidente de seguridad.
Nomad: 1.9 millones de dólares robados, se espera recuperar parte de los fondos
En agosto de 2022, el puente cross-chain de Nomad fue atacado, con pérdidas de hasta 190 millones de dólares. El ataque se debió a un error de configuración en una actualización de contrato, que permitía a cualquier persona extraer fondos del puente.
A pesar de las grandes pérdidas, algunos hackers de sombrero blanco han expresado su disposición a devolver los fondos, lo que ha traído esperanza para la recuperación de activos. Este incidente destaca la importancia de una auditoría de seguridad rigurosa al realizar actualizaciones del sistema.
Resumen
Al revisar estos incidentes de seguridad de puentes cross-chain, podemos llegar a las siguientes conclusiones:
Los puentes cross-chain son un eslabón de alto riesgo en el ecosistema DeFi, incluso los proyectos de primer nivel pueden enfrentar problemas de seguridad.
Un fuerte equipo de desarrollo y un apoyo financiero adecuado son cruciales para manejar rápidamente los incidentes de seguridad.
Un mecanismo de monitoreo en tiempo real y respuesta rápida puede reducir eficazmente las pérdidas.
La confianza de la comunidad y la comunicación transparente juegan un papel importante en la gestión de crisis.
Las auditorías de seguridad y las revisiones de código deben convertirse en una norma, especialmente durante las actualizaciones del sistema.
Mecanismos como la descentralización y la firma múltiple pueden mejorar la seguridad del sistema, pero se debe tener precaución al implementarlos.
Los usuarios deben ser cautelosos al seleccionar puentes cross-chain, priorizando proyectos con un buen historial y un fuerte respaldo.
Con el continuo desarrollo de la tecnología cross-chain, los problemas de seguridad seguirán siendo el principal desafío al que se enfrenta este campo. Los desarrolladores, los usuarios y toda la industria deben mantenerse alerta y mejorar constantemente las medidas de seguridad para construir un ecosistema cross-chain más seguro y confiable.