Tiempo de lectura: 6 minutos
A medida que continúan lanzándose cadenas de bloques más nuevas, los puentes entre cadenas se vuelven más indispensables que nunca para mejorar la interoperabilidad entre los ecosistemas de cadenas de bloques.
Dicho esto, la nueva innovación también sienta las bases para una gran cantidad de vectores de ataque. Según Chainalysis, Hacks de puentes de cadena cruzada solo representan hasta el 69% de los fondos robados en 2022.
Ha habido 13 Puente de cadena cruzada
” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>ataques de puentes entre cadenas de ida y vuelta, siendo 2022 el año con más mayoría.
Este artículo brinda una descripción concisa de todos los eventos de pirateo de cadena cruzada de 2022 para una mayor claridad en el seguridad de los puentes de cadena cruzada en los tiempos de hoy.
¿Cómo los puentes entre cadenas generan interoperabilidad de los criptoactivos?
Entendamos el funcionamiento de un Puente de cadena cruzada
” data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>puente entre cadenas a través de un ejemplo.
Un usuario tiene activos en la red Ethereum pero necesita usarlos en Polygon. Inmediatamente busca un intercambio centralizado como Coinbase o Binance y convierte sus tenencias de ETH en MATIC para usar en Polygon.
Ahora, quiere que el token MATIC restante se convierta nuevamente en ETH. Por lo tanto, tendrá que pasar por el mismo proceso de nuevo.
Curiosamente, los puentes entre cadenas aclaran el proceso y brindan una forma más fácil de transferir activos entre diferentes redes de blockchain.
¿Como hace eso?
La mayoría de los puentes de cadenas cruzadas funcionan según el modelo lock-and-mint para lograr la interoperabilidad.
El mismo escenario en el que el usuario quiere utilizar tokens ETH en la red Polygon. Veamos cómo puede hacerlo a través de un Puente de cadena cruzada
”data-gt-translate-attributes=”[{“attribute”:”data-cmtooltip”, “format”:”html”}]”>puente entre cadenas.
- El usuario puede enviar el token ETH a una dirección específica en la cadena Ethereum y pagar la tarifa de transacción.
- Los tokens ETH están bloqueados en un contrato inteligente por el validador o retenidos por un servicio de custodia.
- Ahora los tokens MATIC de valor igual a los tokens ETH bloqueados se acuñan en la cadena Polygon (es decir, la cadena de destino)
- El usuario recibe el token MATIC en su billetera y puede usarlo para realizar transacciones
¿Qué pasa si el usuario quiere recuperar su token ETH?
Aquí es donde entra en escena la 'quema de fichas'.
- El usuario puede enviar su token MATIC restante en la billetera a una dirección específica en la cadena Polygon.
- Estos tokens MATIC se queman de modo que los fondos no se pueden reutilizar
- Los contratos inteligentes o el servicio de custodia liberan el token ETH y lo acreditan en la billetera del usuario.
En realidad, los puentes entre cadenas funcionan envolviendo tokens que se usarán de una cadena de bloques a otra.
Si un usuario quiere usar Bitcoin en la red Ethereum, los puentes entre cadenas convierten el BTC en la cadena de bloques de Bitcoin en Bitcoin envuelto (wBTC) en la cadena de bloques de Ethereum.
Al observar esto, podemos decir fácilmente que existen complejidades considerables ya que la cadena de bloques de origen y destino utiliza dos contratos inteligentes diferentes. Y por lo tanto, los problemas de cualquier lado ponen en riesgo los fondos del usuario.
Los puentes pueden ser de dos tipos: de confianza y sin confianza
En términos generales, el tipo de puente determina quién tiene el poder sobre los fondos.
Puentes de confianza son operados por entidades centrales que custodian los fondos transferidos a través de los puentes.
Puentes sin confianza funcionan en contratos inteligentes y algoritmos, y el contrato inteligente en sí mismo inicia cada acción. Entonces, de esa manera, los usuarios tienen control sobre sus activos.
Interrupciones que llevaron a rupturas de puentes entre cadenas
Los registros recientes de hacks de 2021-22 muestran claramente que los puentes DeFi son los objetivos más buscados por los atacantes.
Rastreando los hacks que han ocurrido desde la fundación de los puentes de cadena cruzada
Como se dijo antes, 2022 contribuye a la mayoría de los ataques y veamos qué salió mal en todos estos ataques.
BSC (sin auditar)
"Token de BNB de 2 millones por valor de $ 586 millones robado del centro de tokens de BSC".
Centro de fichas de BSC es un puente Binance que conecta la antigua cadena Binance Beacon y la cadena BNB. El atacante, al mostrar una prueba falsa de depósito en la cadena Binance Beacon, acuñó 2M BNB desde el puente BNB.
El pirata informático aprovechó la falla en el puente Binance que verificó las pruebas y tomó prestado 1 millón de BNB cada uno de dos transacciones.
Luego, el atacante usó el fondo prestado como garantía en el protocolo Venus de la plataforma de préstamos de BSC, y la liquidez se transfirió instantáneamente a otras redes de blockchain.
Ataque nómada
“Nomad bridge cayó en un ataque salvaje perdiendo $190M de liquidez”
Nomad resultó ser un hack sin permiso al que cualquiera podía unirse y explotar. Después de la actualización del contrato de rutina, el contrato de réplica se inicializó con un error.
La función process() es responsable de la ejecución de mensajes entre cadenas y tiene un requisito interno para validar la raíz de Merkle para procesar los mensajes.
Aprovechando el error de codificación, el explotador pudo llamar a la función process() directamente sin tener que 'probar' su validez.
El error en el código validó el valor 0 de los 'mensajes' (no válido, según la lógica heredada) como 'probado'. Por lo tanto, esto significaba que cualquier llamada de proceso () se aprobaba como válida, lo que conducía a la explotación de fondos del puente.
Muchos piratas informáticos aprovecharon la oportunidad de saquear una gran cantidad de dinero a través de una simple copia y pegado de la misma llamada a la función process() a través de Etherscan.
Puente de la armonía
“Harmony tomó el camino difícil perdiendo más de $ 100 millones por un compromiso de clave privada”
El puente Harmony fue asegurado por 2 de 5 multisig, donde el vector de ataque logró obtener acceso a dos direcciones.
El hacker usó la dirección comprometida que era necesaria para pasar cualquier transacción y finalmente tomó $ 100 millones en sus manos desde el puente.
Pocos sospechan que el compromiso de la clave privada puede deberse a que el pirata informático obtuvo acceso a los servidores que ejecutan estas billeteras calientes.
Red Ronin (sin auditar)
"El mayor de los hacks criptográficos: la explotación de Ronin por ~ $ 624 millones"
Ronin era una cadena lateral de Ethereum que funcionaba en el modelo de Prueba de autoridad con nueve validadores para aprobar transacciones.
Se requiere la aprobación de cinco de los nueve validadores para aprobar las transacciones de depósito y retiro. De estos, cuatro validadores son miembros internos del equipo y solo se necesita una firma más para autorizar transacciones.
Además de comprometer los cuatro nodos de validación internos, el hacker también obtuvo acceso a esta quinta firma, drenando los fondos del contrato del puente Ronin.
Lamentablemente, el ataque fue identificado después de casi una semana.
Metro.io (No auditado)
“$ 4.4M tomados de Meter.io debido al ataque al puente”
Meter.io, una bifurcación de ChainBridge de chainSafe, se lanzó con un cambio en el método de depósito por parte del controlador ERC20.
Las discrepancias en el método de depósito fueron aprovechadas por el pirata informático, que saquea los fondos enviando una cantidad arbitraria en el datos de llamada.
Wormhole
"Incidente de agujero de gusano con el hacker ganando $ 326 millones en el proceso"
Wormhole, un puente de Solana, fue manipulado para creer que se depositaron 120k ETH en Ethereum, lo que permitió al pirata informático acuñar activos envueltos equivalentes en Solana.
Los piratas informáticos se aprovecharon de las deficiencias en el 'Solana_program::sysvar::instructions' y en el 'Solana_program' que no verificaba la dirección correctamente. Usando esto, el atacante proporcionó una dirección que contenía solo 0.1 ETH y produjo un 'Conjunto de firmas' falso para acuñar de manera fraudulenta 120k ETH envuelto en Solana.
Qpuente (No auditado)
“Qbridge bajo la lente por explotación de $80 millones”
Qubit permite la garantía entre cadenas de activos entre Ethereum y BSC.
El error lógico en el error hizo que xETH estuviera disponible en BSC sin un depósito de ETH en Ethereum. Esto hizo que los piratas informáticos adquirieran préstamos colaterales en Qubit a pesar de no tener ningún depósito bloqueado en el contrato de Ethereum.
Un poco de luz sobre la seguridad del puente de cadena cruzada
Además de las medidas de seguridad integradas con el diseño del protocolo, la realización de controles de auditoría exhaustivos y regulares minimiza la superficie de riesgo de los ataques. QuillAudits pionera como Firma auditora de nivel 1 con una buena reputación mundial para asegurar proyectos.
10 Vistas
- Bitcoin
- blockchain
- cumplimiento de blockchain
- conferencia de la cadena de bloque
- coinbase
- Coingenius
- Consenso
- conferencia criptográfica
- minería criptográfica
- criptomoneda
- Descentralizado
- DeFi
- Acciones digitales
- Etereum
- máquina de aprendizaje
- token no fungible
- Platón
- platón ai
- Inteligencia de datos de Platón
- platoblockchain
- PlatónDatos
- juego de platos
- Polígono
- prueba de participación
- hachís
- tendencias
- W3
- zephyrnet
