Revisión de incidentes de seguridad en puentes cross-chain: cerca de 2 mil millones de dólares en activos afectados
Existen numerosas cadenas públicas en el ecosistema de blockchain, pero la mayoría de las cadenas carecen de activos de vanguardia. Para obtener estos activos, muchos proyectos se ven obligados a depender de puentes cross-chain para transferir activos desde cadenas públicas importantes como Ethereum. Sin embargo, recientemente ha habido una serie de incidentes de seguridad en el ámbito DeFi, y los puentes cross-chain, debido a su alto flujo de fondos y operaciones frecuentes, se han convertido en un objetivo popular para los ataques de hackers. Este artículo revisará los 10 principales incidentes de ataque a puentes cross-chain que ocurrieron en el pasado, resumirá las lecciones aprendidas, con el fin de recordar a los equipos de desarrollo y a los usuarios que mantengan la vigilancia.
Es importante destacar que los proyectos de puentes cross-chain con un fuerte respaldo y buena reputación, a menudo tienen más capacidad para recuperar activos o realizar compensaciones después de un incidente de seguridad. Por lo tanto, al elegir un puente cross-chain, considerar proyectos sólidos puede ser una opción más segura.
1. ChainSwap: pérdida de 8 millones de dólares, reemisión de tokens
En julio de 2021, ChainSwap sufrió dos ataques de hackers en solo 9 días. El primero causó pérdidas de aproximadamente 800,000 dólares, y el segundo pérdidas de hasta 8,000,000 dólares, afectando a más de 20 proyectos que utilizaban ChainSwap para puentes cross-chain.
La causa del accidente radica en que el protocolo no logró verificar rigurosamente la validez de las firmas, lo que permitió a los atacantes utilizar firmas generadas por ellos mismos para firmar las transacciones. Dado que las pérdidas afectan principalmente a los tokens de gobernanza del proyecto, varios proyectos, incluido ChainSwap, han optado por realizar un snapshot y emitir nuevos tokens para compensar a los tenedores de tokens y proveedores de liquidez.
2. Poly Network: 6.1 millones de dólares robados, finalmente recuperados en su totalidad
El 10 de agosto de 2021, el protocolo de interoperabilidad cross-chain Poly Network fue atacado por hackers, perdiendo aproximadamente 610 millones de dólares en activos en las redes Ethereum, Binance Smart Chain y Polygon.
Los atacantes aprovecharon una vulnerabilidad en la lógica de gestión de permisos del contrato de Poly Network para modificar con éxito la dirección del validador en la cadena objetivo, controlando así la operación de transferencia de activos. A pesar de la sofisticación del método de ataque, los hackers finalmente devolvieron todos los fondos. Poly Network posteriormente los llamó "hackers de sombrero blanco" y propuso contratarlos como asesores de seguridad de la empresa.
3. Multichain: 600,000 dólares afectados, ya se ha compensado parcialmente
En enero de 2022, Multichain descubrió una vulnerabilidad importante que afecta a varios tokens. Aunque la vulnerabilidad ha sido corregida, algunos usuarios aún sufrieron pérdidas por no revocar a tiempo las autorizaciones. Se robaron aproximadamente 6.04 millones de dólares en WETH y AVAX.
La causa del accidente radica en que Multichain tenía un defecto al verificar la legitimidad de los tokens enviados por los usuarios, ya que no consideró que no todos los tokens subyacentes implementaron la función permit. El equipo ha recuperado cerca del 50% de los fondos robados y ha propuesto un plan de compensación, pero es solo para los usuarios que revocaron la autorización del contrato antes de la fecha especificada.
4. QBridge: pérdida de 80 millones de dólares, solo reembolso del 2%
A finales de enero de 2022, el puente cross-chain QBridge del protocolo de préstamos Qubit fue atacado, con pérdidas de aproximadamente 80 millones de dólares.
Los atacantes aprovecharon una vulnerabilidad en QBridge que no volvió a verificar si la dirección era cero al procesar las transferencias de tokens en la lista blanca, acuñando una gran cantidad de xETH en BSC de la nada y utilizando esto como colateral para pedir prestados otros tokens de Qubit, lo que llevó a que los colaterales de Qubit se agotaran.
Actualmente, la tasa de uso de Qubit es casi cero, y los datos oficiales muestran que el 98% de los fondos robados aún no han sido compensados.
5. Meter.io: Pérdida de 4.4 millones de dólares, compromiso de compensar con futuros ingresos
En febrero de 2022, el puente cross-chain Meter Passport fue aprovechado por un hacker debido a una "suposición de confianza incorrecta", lo que resultó en una pérdida de 4.4 millones de dólares. El atacante llevó a cabo el ataque al falsificar transferencias de BNB y ETH.
El equipo de Meter inicialmente planeó compensar a los usuarios por las pérdidas con el token MTRG, pero luego decidió emitir un nuevo token PASS para la compensación, y prometió recomprar estos tokens con los ingresos futuros. Sin embargo, hasta ahora no se ha realizado ninguna operación de recompra.
6. Ronin: 6.2 millones de dólares robados, ya se ha compensado la totalidad.
En marzo de 2022, la cadena Ronin detrás del juego de blockchain Axie Infinity sufrió un ataque significativo, con pérdidas de aproximadamente 620 millones de dólares. Este ataque ocurrió realmente el 23 de marzo, pero no fue detectado hasta 6 días después.
Los atacantes utilizaron técnicas de ingeniería social para hacerse pasar por una empresa de reclutamiento y contactar a empleados de Sky Mavis, logrando finalmente infiltrarse en la red Ronin y controlar varios nodos de validación. Aunque los fondos robados no pudieron ser recuperados, Sky Mavis recaudó 150 millones de dólares a través de una nueva ronda de financiamiento para compensar las pérdidas de los usuarios.
7. Wormhole: pérdida de 326 millones de dólares, ya se ha compensado en su totalidad
A principios de febrero de 2022, el protocolo de interoperabilidad cross-chain Wormhole fue atacado por hackers, perdiendo aproximadamente 120,000 ETH, con un valor de 326 millones de dólares.
La causa del ataque se debió a un error en el código de verificación de firmas del contrato central de Wormhole en Solana, lo que permitió a los atacantes falsificar mensajes de guardianes para acuñar whETH. Después del incidente, Jump Crypto inyectó rápidamente 120,000 ETH en Wormhole, cubriendo todas las pérdidas y permitiendo que Wormhole reanudara sus operaciones.
8. EvoDeFi: se estima una pérdida de más de diez millones de dólares, no ha sido tratada
En junio de 2022, se produjo una severa desanclaje del USDT en el DEX ValleySwap del ecosistema Oasis. Aunque la cantidad exacta de pérdidas no se conoce, se estima que está en el rango de decenas de millones de dólares.
La raíz del problema radica en que el puente cross-chain EVODeFi utilizado por ValleySwap tiene una liquidez insuficiente en la cadena de origen. EVODeFi afirma que esto se debe a la pánico provocado por FUD, pero esta explicación no es convincente. La oficial de Oasis enfatiza que no tiene relación con ValleySwap y EvoDeFi, y señala que EvoDeFi es un proyecto de alto riesgo, no auditado y no de código abierto.
Hasta ahora, las pérdidas de los usuarios no han recibido ninguna solución, y las partes relacionadas parecen haber detenido la comunicación adicional.
9. Horizon: Pérdida de casi 100 millones de dólares, el plan de compensación aún se está elaborando.
El 24 de junio de 2022, el puente cross-chain Horizon de Harmony fue atacado, causando una pérdida de aproximadamente 100 millones de dólares.
El fundador de Harmony, Stephen Tse, admitió que el ataque podría haber sido causado por una "filtración de claves privadas". Los fondos robados involucran múltiples redes y diversas criptomonedas. Después del incidente, Horizon aumentó el umbral de firmas múltiples, pero esta medida no pudo recuperar las pérdidas ya causadas.
Harmony propuso compensar gradualmente las pérdidas de los usuarios mediante la emisión adicional de tokens ONE en un plazo de 3 años, pero dicha propuesta no logró el reconocimiento unánime de la comunidad. Actualmente, el equipo está rediseñando el plan de compensación.
10. Nomad: 1.9 millones de dólares afectados, proceso en curso
A principios de agosto de 2022, el puente cross-chain de Nomad sufrió un importante incidente de seguridad, lo que provocó una rápida pérdida de liquidez de 190 millones de dólares. Este evento también afectó indirectamente a otro protocolo de interoperabilidad de Layer2, Connext, causando una pérdida colateral de aproximadamente 3.34 millones de dólares.
Según el análisis de expertos, el accidente se originó porque Nomad inicializó la raíz de confianza en 0x00 durante una actualización del contrato, lo que permitió que cualquier persona pudiera reemplazar direcciones y extraer fondos utilizando transacciones válidas.
El ataque involucró 1251 direcciones de ETH, de las cuales las direcciones ENS representan el 38% del monto total. Actualmente, el equipo del proyecto no ha proporcionado un plan de compensación claro, pero algunos hackers éticos ya han expresado su disposición a devolver los fondos.
Conclusión
La frecuente ocurrencia de accidentes de seguridad en los puentes cross-chain debe ser motivo de alta preocupación en la industria. Incluso los puentes con las tres mejores clasificaciones de liquidez, como Multichain, Portal (Wormhole) y Poly Network, han enfrentado problemas de seguridad, lo que indica que el campo de los puentes cross-chain sigue presentando altos riesgos, y cualquier proyecto podría experimentar vulnerabilidades de seguridad nuevamente.
Desde casos anteriores, los proyectos de puentes cross-chain con un sólido respaldo y fuerte capacidad financiera, después de sufrir incidentes de seguridad, a menudo pueden recuperar activos de manera más efectiva o proporcionar compensación a los usuarios. Por ejemplo, Poly Network, Ronin Network y Wormhole, después de sufrir incidentes de robo de grandes cantidades de fondos, pudieron recuperar el dinero o realizaron compensaciones totales.
Además, la capacidad del equipo para monitorear en tiempo real y responder rápidamente es crucial. Proyectos como Hop Protocol y StarGate pueden actuar rápidamente tras recibir informes de actividades sospechosas, deteniendo de manera efectiva ataques potenciales.
Ver originales
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
18 me gusta
Recompensa
18
7
Compartir
Comentar
0/400
TerraNeverForget
· hace5h
Es importante gastar dinero para comprar seguridad.
Los ataques de hackers a los puentes cross-chain han causado pérdidas cercanas a 2000 millones de dólares. El riesgo de seguridad sigue siendo alto.
Revisión de incidentes de seguridad en puentes cross-chain: cerca de 2 mil millones de dólares en activos afectados
Existen numerosas cadenas públicas en el ecosistema de blockchain, pero la mayoría de las cadenas carecen de activos de vanguardia. Para obtener estos activos, muchos proyectos se ven obligados a depender de puentes cross-chain para transferir activos desde cadenas públicas importantes como Ethereum. Sin embargo, recientemente ha habido una serie de incidentes de seguridad en el ámbito DeFi, y los puentes cross-chain, debido a su alto flujo de fondos y operaciones frecuentes, se han convertido en un objetivo popular para los ataques de hackers. Este artículo revisará los 10 principales incidentes de ataque a puentes cross-chain que ocurrieron en el pasado, resumirá las lecciones aprendidas, con el fin de recordar a los equipos de desarrollo y a los usuarios que mantengan la vigilancia.
Es importante destacar que los proyectos de puentes cross-chain con un fuerte respaldo y buena reputación, a menudo tienen más capacidad para recuperar activos o realizar compensaciones después de un incidente de seguridad. Por lo tanto, al elegir un puente cross-chain, considerar proyectos sólidos puede ser una opción más segura.
1. ChainSwap: pérdida de 8 millones de dólares, reemisión de tokens
En julio de 2021, ChainSwap sufrió dos ataques de hackers en solo 9 días. El primero causó pérdidas de aproximadamente 800,000 dólares, y el segundo pérdidas de hasta 8,000,000 dólares, afectando a más de 20 proyectos que utilizaban ChainSwap para puentes cross-chain.
La causa del accidente radica en que el protocolo no logró verificar rigurosamente la validez de las firmas, lo que permitió a los atacantes utilizar firmas generadas por ellos mismos para firmar las transacciones. Dado que las pérdidas afectan principalmente a los tokens de gobernanza del proyecto, varios proyectos, incluido ChainSwap, han optado por realizar un snapshot y emitir nuevos tokens para compensar a los tenedores de tokens y proveedores de liquidez.
2. Poly Network: 6.1 millones de dólares robados, finalmente recuperados en su totalidad
El 10 de agosto de 2021, el protocolo de interoperabilidad cross-chain Poly Network fue atacado por hackers, perdiendo aproximadamente 610 millones de dólares en activos en las redes Ethereum, Binance Smart Chain y Polygon.
Los atacantes aprovecharon una vulnerabilidad en la lógica de gestión de permisos del contrato de Poly Network para modificar con éxito la dirección del validador en la cadena objetivo, controlando así la operación de transferencia de activos. A pesar de la sofisticación del método de ataque, los hackers finalmente devolvieron todos los fondos. Poly Network posteriormente los llamó "hackers de sombrero blanco" y propuso contratarlos como asesores de seguridad de la empresa.
3. Multichain: 600,000 dólares afectados, ya se ha compensado parcialmente
En enero de 2022, Multichain descubrió una vulnerabilidad importante que afecta a varios tokens. Aunque la vulnerabilidad ha sido corregida, algunos usuarios aún sufrieron pérdidas por no revocar a tiempo las autorizaciones. Se robaron aproximadamente 6.04 millones de dólares en WETH y AVAX.
La causa del accidente radica en que Multichain tenía un defecto al verificar la legitimidad de los tokens enviados por los usuarios, ya que no consideró que no todos los tokens subyacentes implementaron la función permit. El equipo ha recuperado cerca del 50% de los fondos robados y ha propuesto un plan de compensación, pero es solo para los usuarios que revocaron la autorización del contrato antes de la fecha especificada.
4. QBridge: pérdida de 80 millones de dólares, solo reembolso del 2%
A finales de enero de 2022, el puente cross-chain QBridge del protocolo de préstamos Qubit fue atacado, con pérdidas de aproximadamente 80 millones de dólares.
Los atacantes aprovecharon una vulnerabilidad en QBridge que no volvió a verificar si la dirección era cero al procesar las transferencias de tokens en la lista blanca, acuñando una gran cantidad de xETH en BSC de la nada y utilizando esto como colateral para pedir prestados otros tokens de Qubit, lo que llevó a que los colaterales de Qubit se agotaran.
Actualmente, la tasa de uso de Qubit es casi cero, y los datos oficiales muestran que el 98% de los fondos robados aún no han sido compensados.
5. Meter.io: Pérdida de 4.4 millones de dólares, compromiso de compensar con futuros ingresos
En febrero de 2022, el puente cross-chain Meter Passport fue aprovechado por un hacker debido a una "suposición de confianza incorrecta", lo que resultó en una pérdida de 4.4 millones de dólares. El atacante llevó a cabo el ataque al falsificar transferencias de BNB y ETH.
El equipo de Meter inicialmente planeó compensar a los usuarios por las pérdidas con el token MTRG, pero luego decidió emitir un nuevo token PASS para la compensación, y prometió recomprar estos tokens con los ingresos futuros. Sin embargo, hasta ahora no se ha realizado ninguna operación de recompra.
6. Ronin: 6.2 millones de dólares robados, ya se ha compensado la totalidad.
En marzo de 2022, la cadena Ronin detrás del juego de blockchain Axie Infinity sufrió un ataque significativo, con pérdidas de aproximadamente 620 millones de dólares. Este ataque ocurrió realmente el 23 de marzo, pero no fue detectado hasta 6 días después.
Los atacantes utilizaron técnicas de ingeniería social para hacerse pasar por una empresa de reclutamiento y contactar a empleados de Sky Mavis, logrando finalmente infiltrarse en la red Ronin y controlar varios nodos de validación. Aunque los fondos robados no pudieron ser recuperados, Sky Mavis recaudó 150 millones de dólares a través de una nueva ronda de financiamiento para compensar las pérdidas de los usuarios.
7. Wormhole: pérdida de 326 millones de dólares, ya se ha compensado en su totalidad
A principios de febrero de 2022, el protocolo de interoperabilidad cross-chain Wormhole fue atacado por hackers, perdiendo aproximadamente 120,000 ETH, con un valor de 326 millones de dólares.
La causa del ataque se debió a un error en el código de verificación de firmas del contrato central de Wormhole en Solana, lo que permitió a los atacantes falsificar mensajes de guardianes para acuñar whETH. Después del incidente, Jump Crypto inyectó rápidamente 120,000 ETH en Wormhole, cubriendo todas las pérdidas y permitiendo que Wormhole reanudara sus operaciones.
8. EvoDeFi: se estima una pérdida de más de diez millones de dólares, no ha sido tratada
En junio de 2022, se produjo una severa desanclaje del USDT en el DEX ValleySwap del ecosistema Oasis. Aunque la cantidad exacta de pérdidas no se conoce, se estima que está en el rango de decenas de millones de dólares.
La raíz del problema radica en que el puente cross-chain EVODeFi utilizado por ValleySwap tiene una liquidez insuficiente en la cadena de origen. EVODeFi afirma que esto se debe a la pánico provocado por FUD, pero esta explicación no es convincente. La oficial de Oasis enfatiza que no tiene relación con ValleySwap y EvoDeFi, y señala que EvoDeFi es un proyecto de alto riesgo, no auditado y no de código abierto.
Hasta ahora, las pérdidas de los usuarios no han recibido ninguna solución, y las partes relacionadas parecen haber detenido la comunicación adicional.
9. Horizon: Pérdida de casi 100 millones de dólares, el plan de compensación aún se está elaborando.
El 24 de junio de 2022, el puente cross-chain Horizon de Harmony fue atacado, causando una pérdida de aproximadamente 100 millones de dólares.
El fundador de Harmony, Stephen Tse, admitió que el ataque podría haber sido causado por una "filtración de claves privadas". Los fondos robados involucran múltiples redes y diversas criptomonedas. Después del incidente, Horizon aumentó el umbral de firmas múltiples, pero esta medida no pudo recuperar las pérdidas ya causadas.
Harmony propuso compensar gradualmente las pérdidas de los usuarios mediante la emisión adicional de tokens ONE en un plazo de 3 años, pero dicha propuesta no logró el reconocimiento unánime de la comunidad. Actualmente, el equipo está rediseñando el plan de compensación.
10. Nomad: 1.9 millones de dólares afectados, proceso en curso
A principios de agosto de 2022, el puente cross-chain de Nomad sufrió un importante incidente de seguridad, lo que provocó una rápida pérdida de liquidez de 190 millones de dólares. Este evento también afectó indirectamente a otro protocolo de interoperabilidad de Layer2, Connext, causando una pérdida colateral de aproximadamente 3.34 millones de dólares.
Según el análisis de expertos, el accidente se originó porque Nomad inicializó la raíz de confianza en 0x00 durante una actualización del contrato, lo que permitió que cualquier persona pudiera reemplazar direcciones y extraer fondos utilizando transacciones válidas.
El ataque involucró 1251 direcciones de ETH, de las cuales las direcciones ENS representan el 38% del monto total. Actualmente, el equipo del proyecto no ha proporcionado un plan de compensación claro, pero algunos hackers éticos ya han expresado su disposición a devolver los fondos.
Conclusión
La frecuente ocurrencia de accidentes de seguridad en los puentes cross-chain debe ser motivo de alta preocupación en la industria. Incluso los puentes con las tres mejores clasificaciones de liquidez, como Multichain, Portal (Wormhole) y Poly Network, han enfrentado problemas de seguridad, lo que indica que el campo de los puentes cross-chain sigue presentando altos riesgos, y cualquier proyecto podría experimentar vulnerabilidades de seguridad nuevamente.
Desde casos anteriores, los proyectos de puentes cross-chain con un sólido respaldo y fuerte capacidad financiera, después de sufrir incidentes de seguridad, a menudo pueden recuperar activos de manera más efectiva o proporcionar compensación a los usuarios. Por ejemplo, Poly Network, Ronin Network y Wormhole, después de sufrir incidentes de robo de grandes cantidades de fondos, pudieron recuperar el dinero o realizaron compensaciones totales.
Además, la capacidad del equipo para monitorear en tiempo real y responder rápidamente es crucial. Proyectos como Hop Protocol y StarGate pueden actuar rápidamente tras recibir informes de actividades sospechosas, deteniendo de manera efectiva ataques potenciales.