Puentes cross-chain en el mundo de la cadena de bloques: un área de alto riesgo con frecuentes incidentes de seguridad

En el ecosistema de la cadena de bloques, los puentes cross-chain son una infraestructura básica importante que conecta diferentes cadenas públicas y, en los últimos años, se han convertido en un objetivo frecuente de ataques de hackers. Dado que los puentes cross-chain suelen gestionar grandes cantidades de fondos, cualquier vulnerabilidad de seguridad puede causar pérdidas enormes. Este artículo revisará algunos de los recientes incidentes de seguridad significativos de puentes cross-chain, explorando sus causas y consecuencias, con el fin de proporcionar referencias para la industria.

ChainSwap: pérdidas de más de 8 millones de dólares debido a dos ataques

En julio de 2021, ChainSwap sufrió dos ataques de hackers consecutivos. El primero causó pérdidas de aproximadamente 800,000 dólares, y el segundo pérdidas aún mayores de 8,000,000 dólares, afectando a más de 20 proyectos que utilizaban ChainSwap para realizar operaciones cross-chain. La investigación mostró que la causa del ataque fue que el protocolo no verificaba estrictamente la validez de las firmas, lo que permitió a los atacantes realizar transacciones utilizando firmas generadas por ellos mismos.

Después del accidente, ChainSwap y varios proyectos afectados optaron por realizar un snapshot y reemitir tokens para compensar las pérdidas de los titulares y proveedores de liquidez.

Poly Network: 6.1 millones de dólares recuperados tras el robo

En agosto de 2021, el protocolo cross-chain Poly Network sufrió una invasión de hackers, perdiendo aproximadamente 610 millones de dólares en activos en tres cadenas: Ethereum, Binance Smart Chain y Polygon. Los atacantes aprovecharon una vulnerabilidad en la gestión de permisos de contratos, reemplazando con éxito la dirección del validador de la cadena objetivo, obteniendo así los permisos de firma para la transferencia de activos.

Aunque la escala del ataque fue enorme, los hackers finalmente decidieron devolver todos los fondos. Poly Network los llamó "hackers de sombrero blanco" e incluso extendió una invitación para contratarlos como asesor de seguridad principal.

Multichain: Se ha compensado parcialmente la pérdida de 6 millones de dólares

En enero de 2022, Multichain descubrió una vulnerabilidad importante que afectaba a varios tokens. A pesar de que la oficial emitió una advertencia a tiempo, se robaron casi 6 millones de dólares en activos. El análisis de seguridad mostró que el problema radicaba en que el contrato no verificaba correctamente la legitimidad del token de entrada del usuario.

El equipo de Multichain ha recuperado con éxito cerca del 50% de los fondos robados y ha propuesto un plan de compensación. Sin embargo, solo se compensará a los usuarios que revocaron la autorización del contrato dentro del plazo, no logrando cubrir completamente a todas las víctimas.

Ronin Network: compensación total por una pérdida de 620 millones de dólares

En marzo de 2022, la cadena lateral Ronin del juego Axie Infinity sufrió un importante ataque de piratería de 620 millones de dólares. Las investigaciones mostraron que los atacantes obtuvieron el control de varios nodos de validación a través de métodos de ingeniería social.

A pesar de que los fondos robados no pudieron ser recuperados, el desarrollador de Axie Infinity, Sky Mavis, completó rápidamente una financiación de 150 millones de dólares y se comprometió a compensar completamente las pérdidas de los usuarios. Este evento resalta la importancia de la capacidad y la reputación del equipo del proyecto en la gestión de crisis.

Wormhole: Pérdida de 326 millones de dólares compensada instantáneamente

En febrero de 2022, el protocolo cross-chain Wormhole sufrió un ataque de 326 millones de dólares debido a un fallo en el contrato de Solana. Los atacantes aprovecharon un error en la verificación de firmas para acuñar una gran cantidad de tokens falsos en Solana y extraer los activos correspondientes de Ethereum.

Es importante destacar que Jump Crypto, detrás de Wormhole, inyectó rápidamente fondos equivalentes, lo que permitió que el protocolo reanudara sus operaciones en poco tiempo y redujera al mínimo las pérdidas de los usuarios.

Revelaciones de seguridad

Al revisar estos eventos, podemos llegar a las siguientes conclusiones:

1. Los puentes cross-chain, como un área de alto riesgo, pueden enfrentar amenazas de seguridad en cualquier proyecto, por lo que los usuarios deben mantenerse alerta al usarlos.

2. La capacidad técnica, la solidez financiera y la reputación del equipo del proyecto son cruciales para el manejo de incidentes. Un equipo con un sólido respaldo generalmente puede enfrentar mejor las crisis, proporcionar compensaciones o recuperar activos.

3. Un mecanismo de monitoreo oportuno y respuesta rápida puede reducir efectivamente las pérdidas. Algunos proyectos han logrado detener intentos de ataque, evitando pérdidas significativas.

4. La auditoría de seguridad de contratos, la firma múltiple y otras medidas de seguridad siguen siendo necesarias, pero no pueden eliminar completamente los riesgos. La optimización continua de la seguridad y la corrección de vulnerabilidades también son igual de importantes.

5. Los usuarios deben prestar atención al historial de seguridad del proyecto y las medidas de respuesta; elegir puentes cross-chain con solidez puede ser más seguro.

En resumen, a medida que crece la demanda de cross-chain, la seguridad de los puentes cross-chain seguirá siendo objeto de atención. Los equipos de proyecto deben seguir mejorando los estándares de seguridad, y los usuarios también deben ser cautelosos al utilizarlos y evaluar los riesgos de manera razonable.