Revisión de incidentes de ataques a puentes cross-chain: los diez principales casos involucraron pérdidas cercanas a 2 mil millones de dólares
Con el desarrollo de la tecnología blockchain, los puentes cross-chain se han convertido en una infraestructura fundamental para conectar diferentes ecosistemas de cadenas públicas. Sin embargo, debido a que soportan grandes cantidades de fondos y realizan operaciones cross-chain con frecuencia, los puentes cross-chain también se han convertido en un objetivo popular para los ataques de hackers. Este artículo revisará los diez principales incidentes de ataques a puentes cross-chain que han ocurrido en los últimos años, resumiendo las lecciones y las inspiraciones aprendidas.
ChainSwap: dos ataques, pérdidas de aproximadamente 8.8 millones de dólares
En julio de 2021, ChainSwap sufrió dos ataques de hackers en solo 9 días. El primer ataque causó pérdidas de aproximadamente 800,000 dólares, mientras que el segundo ataque fue aún más grave, con pérdidas de hasta 8,000,000 dólares, afectando a más de 20 proyectos que utilizaban ChainSwap para puentes cross-chain.
La investigación muestra que el ataque se originó en la incapacidad del protocolo para verificar estrictamente la validez de las firmas, lo que permitió a los atacantes realizar transacciones utilizando firmas generadas por ellos mismos. Dado que la principal pérdida fueron los tokens de gobernanza, ChainSwap y varios proyectos afectados optaron por realizar un snapshot y reemitir tokens para compensar las pérdidas de los poseedores y proveedores de liquidez.
Poly Network: Se recuperaron 610 millones de dólares en activos robados
En agosto de 2021, el protocolo de interoperabilidad cross-chain Poly Network sufrió el ataque DeFi más grande de la época, con una pérdida total de aproximadamente 610 millones de dólares en activos en las redes de Ethereum, Binance Smart Chain y Polygon.
La principal razón del ataque fue la existencia de una vulnerabilidad en la lógica de gestión de permisos del contrato. El atacante logró modificar la dirección del validador de la cadena de destino, lo que le permitió firmar la verificación de la operación de salida de activos. A pesar de la magnitud del ataque, el atacante devolvió finalmente todos los fondos, y Poly Network también lo llamó "hacker de sombrero blanco" y propuso contratarlo como asesor de seguridad principal.
Multichain: 6 millones de dólares en activos robados, casi el 50% ya ha sido recuperado
En enero de 2022, Multichain descubrió una vulnerabilidad importante que afectaba a varios tokens. Aunque la vulnerabilidad ha sido corregida, todavía se han robado aproximadamente 6 millones de dólares en WETH y AVAX.
El análisis de seguridad muestra que el ataque se originó en un problema con Multichain al verificar la legitimidad de los tokens ingresados por los usuarios, ya que no consideró que no todos los tokens subyacentes implementan la función permit. El equipo logró recuperar casi el 50% de los fondos robados y propuso un plan de compensación, pero ya no se responsabiliza por las pérdidas de los usuarios que no revocaron la autorización a tiempo.
QBridge: 80 millones de dólares en pérdidas, solo se reembolsa el 2%
A finales de enero de 2022, el puente cross-chain QBridge del protocolo de préstamos Qubit fue atacado, con pérdidas de aproximadamente 80 millones de dólares. Los atacantes aprovecharon una vulnerabilidad en QBridge al no volver a verificar la dirección cero al procesar transferencias de tokens en la lista blanca, y lograron acuñar grandes cantidades de xETH en BSC de la nada, utilizando estos tokens para pedir prestados otros activos de Qubit.
Actualmente, la tasa de uso de Qubit ha disminuido drásticamente, y los datos oficiales muestran que aún hay un 98% de los fondos robados que no han sido compensados.
Meter.io: pérdida de 4.4 millones de dólares, se compromete a compensar con ingresos futuros
En febrero de 2022, el puente cross-chain Meter Passport fue atacado, lo que resultó en pérdidas de 4.4 millones de dólares. La oficina oficial indicó que el problema radicaba en una "suposición de confianza errónea" sobre el código subyacente, lo que permitió a los hackers falsificar transferencias de BNB y ETH.
El equipo de Meter inicialmente planeaba compensar las pérdidas con el token MTRG, pero tras una votación de la comunidad se decidió emitir un nuevo token PASS para la compensación, y se prometió recomprar PASS con los ingresos futuros. Sin embargo, hasta ahora no se ha realizado ninguna operación de recompra.
Ronin: 620 millones de dólares robados, se ha compensado el total
En marzo de 2022, la cadena Ronin detrás de Axie Infinity sufrió un ataque significativo, con pérdidas de hasta 620 millones de dólares. Curiosamente, el ataque ocurrió el 23 de marzo, pero no se descubrió hasta 6 días después.
La investigación muestra que el ataque se originó en un ataque de ingeniería social cuidadosamente planeado. Los atacantes lograron ganar la confianza de los empleados de Sky Mavis al hacerse pasar por reclutadores de la empresa y, finalmente, controlaron múltiples nodos de validación de la red Ronin.
A pesar de que los fondos robados no pudieron ser recuperados, Sky Mavis recaudó 150 millones de dólares a través de una nueva ronda de financiamiento para compensar las pérdidas de los usuarios. Cabe destacar que, debido a la fuerte caída del precio de ETH durante el período de compensación, el valor real de la compensación es muy inferior al valor de los activos en el momento del robo.
Wormhole: 326 millones de dólares en pérdidas, obtuvo compensación oportuna
A principios de febrero de 2022, el protocolo de interoperabilidad cross-chain Wormhole sufrió un ataque, perdiendo aproximadamente 120,000 ETH, con un valor de 326 millones de dólares. El atacante aprovechó una vulnerabilidad en la verificación de firmas del contrato principal de Wormhole en Solana, falsificando con éxito el mensaje del "guardían" para acuñar una gran cantidad de whETH.
Afortunadamente, Jump Crypto inyectó rápidamente 120,000 ETH en Wormhole, compensando todas las pérdidas y permitiendo que Wormhole reanudara rápidamente sus operaciones.
EvoDeFi: se estima una pérdida de más de diez millones de dólares, no resuelta
En junio de 2022, el USDT en el DEX ValleySwap del ecosistema Oasis experimentó una grave desanclaje. La raíz del problema radica en la falta de liquidez en la cadena de origen del puente cross-chain EVODeFi que utiliza.
Aunque la cantidad exacta de la pérdida no es clara, se estima que está en el rango de decenas de millones de dólares. Lamentablemente, las partes involucradas no han proporcionado ninguna solución efectiva. Las cuentas oficiales de redes sociales de ValleySwap y EVODeFi también dejaron de actualizarse después del incidente, lo que equivale a que el equipo del proyecto se rinda.
Horizon: Pérdidas cercanas a los 100 millones de dólares, el plan de compensación aún se está elaborando.
En junio de 2022, el puente cross-chain oficial de Harmony, Horizon, fue atacado, resultando en una pérdida de fondos de aproximadamente 100 millones de dólares. El fundador de Harmony admitió que el ataque podría haber sido causado por la filtración de claves privadas.
Harmony propuso compensar las pérdidas de los usuarios mediante la emisión adicional de tokens en un plazo de 3 años, pero no logró obtener el consenso de la comunidad. Actualmente, el equipo está reestructurando el plan de compensación.
Nomad: 190 millones de dólares robados, parte de los fondos podría recuperarse
En agosto de 2022, el puente cross-chain de Nomad sufrió un grave incidente de seguridad, lo que resultó en la pérdida de 190 millones de dólares en fondos. El análisis mostró que el problema se originó en un error de inicialización durante una actualización de contrato, lo que permitió a cualquiera retirar fondos fácilmente del puente.
El ataque involucró 1251 direcciones, de las cuales las direcciones ENS representan el 38% del monto total. Aunque el equipo del proyecto aún no ha proporcionado un plan de compensación claro, algunos hackers éticos ya han expresado su disposición a devolver los fondos, lo que trae una esperanza para la solución del problema.
Resumen y reflexiones
Al revisar estos eventos de ataques a puentes cross-chain, podemos llegar a las siguientes conclusiones:
Los puentes cross-chain son un área de alto riesgo, incluso los proyectos conocidos pueden tener vulnerabilidades de seguridad.
Un equipo de desarrollo fuerte y un apoyo de capital adecuado son cruciales para el manejo tras un incidente. Proyectos como Poly Network, Ronin y Wormhole, tras sufrir pérdidas significativas, pudieron recuperar rápidamente los activos o realizar el reembolso completo.
Los mecanismos de monitoreo en tiempo real y respuesta rápida son muy importantes. Algunos proyectos como Hop Protocol y StarGate han logrado detener ataques potenciales al detectar y manejar actividades sospechosas a tiempo.
Los usuarios deben ser cautelosos al elegir puentes cross-chain, priorizando proyectos desarrollados por equipos sólidos para reducir el riesgo financiero.
Las auditorías de seguridad periódicas y los programas de recompensas por vulnerabilidades son esenciales para detectar y reparar problemas potenciales.
El equipo de desarrollo de puentes cross-chain debería seguir aprendiendo de los casos de ataques pasados, mejorar las medidas de seguridad, especialmente en lo que respecta a la actualización de contratos y la gestión de permisos.
En resumen, a medida que aumenta la demanda de cross-chain, la seguridad de los puentes cross-chain seguirá siendo un tema importante en la industria de blockchain. Los desarrolladores, usuarios y todo el ecosistema deben trabajar juntos para construir una infraestructura cross-chain más segura y confiable.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Revisión de los diez principales ataques a puentes cross-chain: lecciones e implicaciones detrás de pérdidas de casi 2000 millones de dólares
Revisión de incidentes de ataques a puentes cross-chain: los diez principales casos involucraron pérdidas cercanas a 2 mil millones de dólares
Con el desarrollo de la tecnología blockchain, los puentes cross-chain se han convertido en una infraestructura fundamental para conectar diferentes ecosistemas de cadenas públicas. Sin embargo, debido a que soportan grandes cantidades de fondos y realizan operaciones cross-chain con frecuencia, los puentes cross-chain también se han convertido en un objetivo popular para los ataques de hackers. Este artículo revisará los diez principales incidentes de ataques a puentes cross-chain que han ocurrido en los últimos años, resumiendo las lecciones y las inspiraciones aprendidas.
ChainSwap: dos ataques, pérdidas de aproximadamente 8.8 millones de dólares
En julio de 2021, ChainSwap sufrió dos ataques de hackers en solo 9 días. El primer ataque causó pérdidas de aproximadamente 800,000 dólares, mientras que el segundo ataque fue aún más grave, con pérdidas de hasta 8,000,000 dólares, afectando a más de 20 proyectos que utilizaban ChainSwap para puentes cross-chain.
La investigación muestra que el ataque se originó en la incapacidad del protocolo para verificar estrictamente la validez de las firmas, lo que permitió a los atacantes realizar transacciones utilizando firmas generadas por ellos mismos. Dado que la principal pérdida fueron los tokens de gobernanza, ChainSwap y varios proyectos afectados optaron por realizar un snapshot y reemitir tokens para compensar las pérdidas de los poseedores y proveedores de liquidez.
Poly Network: Se recuperaron 610 millones de dólares en activos robados
En agosto de 2021, el protocolo de interoperabilidad cross-chain Poly Network sufrió el ataque DeFi más grande de la época, con una pérdida total de aproximadamente 610 millones de dólares en activos en las redes de Ethereum, Binance Smart Chain y Polygon.
La principal razón del ataque fue la existencia de una vulnerabilidad en la lógica de gestión de permisos del contrato. El atacante logró modificar la dirección del validador de la cadena de destino, lo que le permitió firmar la verificación de la operación de salida de activos. A pesar de la magnitud del ataque, el atacante devolvió finalmente todos los fondos, y Poly Network también lo llamó "hacker de sombrero blanco" y propuso contratarlo como asesor de seguridad principal.
Multichain: 6 millones de dólares en activos robados, casi el 50% ya ha sido recuperado
En enero de 2022, Multichain descubrió una vulnerabilidad importante que afectaba a varios tokens. Aunque la vulnerabilidad ha sido corregida, todavía se han robado aproximadamente 6 millones de dólares en WETH y AVAX.
El análisis de seguridad muestra que el ataque se originó en un problema con Multichain al verificar la legitimidad de los tokens ingresados por los usuarios, ya que no consideró que no todos los tokens subyacentes implementan la función permit. El equipo logró recuperar casi el 50% de los fondos robados y propuso un plan de compensación, pero ya no se responsabiliza por las pérdidas de los usuarios que no revocaron la autorización a tiempo.
QBridge: 80 millones de dólares en pérdidas, solo se reembolsa el 2%
A finales de enero de 2022, el puente cross-chain QBridge del protocolo de préstamos Qubit fue atacado, con pérdidas de aproximadamente 80 millones de dólares. Los atacantes aprovecharon una vulnerabilidad en QBridge al no volver a verificar la dirección cero al procesar transferencias de tokens en la lista blanca, y lograron acuñar grandes cantidades de xETH en BSC de la nada, utilizando estos tokens para pedir prestados otros activos de Qubit.
Actualmente, la tasa de uso de Qubit ha disminuido drásticamente, y los datos oficiales muestran que aún hay un 98% de los fondos robados que no han sido compensados.
Meter.io: pérdida de 4.4 millones de dólares, se compromete a compensar con ingresos futuros
En febrero de 2022, el puente cross-chain Meter Passport fue atacado, lo que resultó en pérdidas de 4.4 millones de dólares. La oficina oficial indicó que el problema radicaba en una "suposición de confianza errónea" sobre el código subyacente, lo que permitió a los hackers falsificar transferencias de BNB y ETH.
El equipo de Meter inicialmente planeaba compensar las pérdidas con el token MTRG, pero tras una votación de la comunidad se decidió emitir un nuevo token PASS para la compensación, y se prometió recomprar PASS con los ingresos futuros. Sin embargo, hasta ahora no se ha realizado ninguna operación de recompra.
Ronin: 620 millones de dólares robados, se ha compensado el total
En marzo de 2022, la cadena Ronin detrás de Axie Infinity sufrió un ataque significativo, con pérdidas de hasta 620 millones de dólares. Curiosamente, el ataque ocurrió el 23 de marzo, pero no se descubrió hasta 6 días después.
La investigación muestra que el ataque se originó en un ataque de ingeniería social cuidadosamente planeado. Los atacantes lograron ganar la confianza de los empleados de Sky Mavis al hacerse pasar por reclutadores de la empresa y, finalmente, controlaron múltiples nodos de validación de la red Ronin.
A pesar de que los fondos robados no pudieron ser recuperados, Sky Mavis recaudó 150 millones de dólares a través de una nueva ronda de financiamiento para compensar las pérdidas de los usuarios. Cabe destacar que, debido a la fuerte caída del precio de ETH durante el período de compensación, el valor real de la compensación es muy inferior al valor de los activos en el momento del robo.
Wormhole: 326 millones de dólares en pérdidas, obtuvo compensación oportuna
A principios de febrero de 2022, el protocolo de interoperabilidad cross-chain Wormhole sufrió un ataque, perdiendo aproximadamente 120,000 ETH, con un valor de 326 millones de dólares. El atacante aprovechó una vulnerabilidad en la verificación de firmas del contrato principal de Wormhole en Solana, falsificando con éxito el mensaje del "guardían" para acuñar una gran cantidad de whETH.
Afortunadamente, Jump Crypto inyectó rápidamente 120,000 ETH en Wormhole, compensando todas las pérdidas y permitiendo que Wormhole reanudara rápidamente sus operaciones.
EvoDeFi: se estima una pérdida de más de diez millones de dólares, no resuelta
En junio de 2022, el USDT en el DEX ValleySwap del ecosistema Oasis experimentó una grave desanclaje. La raíz del problema radica en la falta de liquidez en la cadena de origen del puente cross-chain EVODeFi que utiliza.
Aunque la cantidad exacta de la pérdida no es clara, se estima que está en el rango de decenas de millones de dólares. Lamentablemente, las partes involucradas no han proporcionado ninguna solución efectiva. Las cuentas oficiales de redes sociales de ValleySwap y EVODeFi también dejaron de actualizarse después del incidente, lo que equivale a que el equipo del proyecto se rinda.
Horizon: Pérdidas cercanas a los 100 millones de dólares, el plan de compensación aún se está elaborando.
En junio de 2022, el puente cross-chain oficial de Harmony, Horizon, fue atacado, resultando en una pérdida de fondos de aproximadamente 100 millones de dólares. El fundador de Harmony admitió que el ataque podría haber sido causado por la filtración de claves privadas.
Harmony propuso compensar las pérdidas de los usuarios mediante la emisión adicional de tokens en un plazo de 3 años, pero no logró obtener el consenso de la comunidad. Actualmente, el equipo está reestructurando el plan de compensación.
Nomad: 190 millones de dólares robados, parte de los fondos podría recuperarse
En agosto de 2022, el puente cross-chain de Nomad sufrió un grave incidente de seguridad, lo que resultó en la pérdida de 190 millones de dólares en fondos. El análisis mostró que el problema se originó en un error de inicialización durante una actualización de contrato, lo que permitió a cualquiera retirar fondos fácilmente del puente.
El ataque involucró 1251 direcciones, de las cuales las direcciones ENS representan el 38% del monto total. Aunque el equipo del proyecto aún no ha proporcionado un plan de compensación claro, algunos hackers éticos ya han expresado su disposición a devolver los fondos, lo que trae una esperanza para la solución del problema.
Resumen y reflexiones
Al revisar estos eventos de ataques a puentes cross-chain, podemos llegar a las siguientes conclusiones:
Los puentes cross-chain son un área de alto riesgo, incluso los proyectos conocidos pueden tener vulnerabilidades de seguridad.
Un equipo de desarrollo fuerte y un apoyo de capital adecuado son cruciales para el manejo tras un incidente. Proyectos como Poly Network, Ronin y Wormhole, tras sufrir pérdidas significativas, pudieron recuperar rápidamente los activos o realizar el reembolso completo.
Los mecanismos de monitoreo en tiempo real y respuesta rápida son muy importantes. Algunos proyectos como Hop Protocol y StarGate han logrado detener ataques potenciales al detectar y manejar actividades sospechosas a tiempo.
Los usuarios deben ser cautelosos al elegir puentes cross-chain, priorizando proyectos desarrollados por equipos sólidos para reducir el riesgo financiero.
Las auditorías de seguridad periódicas y los programas de recompensas por vulnerabilidades son esenciales para detectar y reparar problemas potenciales.
El equipo de desarrollo de puentes cross-chain debería seguir aprendiendo de los casos de ataques pasados, mejorar las medidas de seguridad, especialmente en lo que respecta a la actualización de contratos y la gestión de permisos.
En resumen, a medida que aumenta la demanda de cross-chain, la seguridad de los puentes cross-chain seguirá siendo un tema importante en la industria de blockchain. Los desarrolladores, usuarios y todo el ecosistema deben trabajar juntos para construir una infraestructura cross-chain más segura y confiable.