Revisión de incidentes de ataques a puentes cross-chain: 10 casos importantes implican 1.9 mil millones de dólares, 1.55 mil millones ya recuperados o compensados.
Con el continuo desarrollo del ecosistema blockchain, los puentes cross-chain se han convertido en una infraestructura fundamental para conectar diferentes cadenas públicas, y su seguridad ha sido objeto de gran atención. En los últimos años, varios incidentes de ataque a puentes cross-chain han causado enormes pérdidas financieras, lo que ha generado un amplio debate en la industria. Este artículo revisará 10 casos de ataques a puentes cross-chain que han tenido un impacto profundo, resumiendo las lecciones y las revelaciones de estos.
ChainSwap: pérdidas de 8 millones de dólares debido a dos ataques
En julio de 2021, ChainSwap sufrió dos ataques de hackers en solo 9 días. El primer ataque causó una pérdida de aproximadamente 800,000 dólares, mientras que el segundo alcanzó los 8,000,000 dólares, afectando a más de 20 proyectos que utilizaban ChainSwap para puentes cross-chain.
Tras la investigación, se descubrió que el atacante aprovechó una vulnerabilidad en el protocolo relacionada con la validación de la efectividad de las firmas, lo que le permitió completar transacciones utilizando firmas generadas por él mismo. Dado que la principal pérdida fue el token de gobernanza del proyecto, varios proyectos afectados optaron por realizar un snapshot y volver a emitir tokens para compensar las pérdidas de los holders y LP.
Poly Network: Se recuperaron totalmente 610 millones de dólares robados
El 10 de agosto de 2021, Poly Network sufrió el mayor ataque DeFi de la época. Los hackers robaron aproximadamente 610 millones de dólares en activos a través de tres redes: Ethereum, Binance Smart Chain y Polygon.
El ataque aprovechó principalmente una vulnerabilidad en la lógica de gestión de permisos del contrato de Poly Network. El hacker logró reemplazar el Keeper de la cadena objetivo por una dirección controlada por él, obteniendo así los permisos de firma para la transferencia de activos.
A pesar de que los hackers planearon cuidadosamente el ataque, finalmente decidieron devolver la totalidad de los fondos robados. Poly Network los denomina "hackers de sombrero blanco" y ha propuesto contratar a la otra parte como asesor de seguridad principal. Este incidente destaca los enormes desafíos de seguridad que enfrentan los puentes cross-chain.
Multichain: Se ha compensado la pérdida de 6 millones de dólares por vulnerabilidades.
En enero de 2022, Multichain descubrió una vulnerabilidad importante que afectaba a múltiples tokens. Aunque la vulnerabilidad ha sido corregida, algunos usuarios todavía sufrieron pérdidas debido a que no revocaron sus autorizaciones a tiempo. Según el informe oficial, un total de 7962 direcciones de usuarios se vieron afectadas, con aproximadamente 6.04 millones de dólares en activos robados.
El equipo de seguridad analizó y señaló que el ataque se originó debido a la negligencia de Multichain al verificar la legitimidad de los tokens introducidos por los usuarios. El equipo ha recuperado casi el 50% de los fondos robados y ha propuesto un plan de compensación, pero este está limitado a los usuarios que revocaron la autorización dentro del plazo establecido.
QBridge: pérdida de 80 millones de dólares solo compensa el 2%
A finales de enero de 2022, el puente cross-chain QBridge del protocolo de préstamos Qubit fue atacado, con pérdidas de aproximadamente 80 millones de dólares. El atacante aprovechó una vulnerabilidad lógica en el manejo de transferencias de tokens de la lista blanca de QBridge, logrando acuñar masivamente xETH en BSC de la nada y utilizando estos tokens falsos para pedir prestados otros activos de Qubit.
Actualmente, el proyecto Qubit está casi paralizado, el 98% de los fondos robados aún no ha sido compensado, lo que refleja la realidad de que algunos proyectos tienen dificultades para recuperarse después de sufrir un grave accidente de seguridad.
Meter.io: pérdida de 4.4 millones de dólares, se compromete a compensar con ingresos futuros
En febrero de 2022, el puente cross-chain Meter Passport fue atacado, lo que resultó en una pérdida de 4.4 millones de dólares. Las autoridades admitieron que el problema estaba en la "suposición de confianza errónea" en el código subyacente, lo que permitió a los atacantes falsificar transferencias de BNB y ETH.
Meter inicialmente planeaba compensar a los usuarios por las pérdidas con el token MTRG, pero tras una votación de la comunidad se decidió emitir un nuevo token PASS como compensación, y se comprometió a recomprar con los ingresos futuros. Sin embargo, hasta ahora no se ha llevado a cabo ninguna acción de recompra sustancial.
Ronin: 620 millones de dólares robados, ya se ha compensado en su totalidad
En marzo de 2022, la cadena Ronin detrás de Axie Infinity sufrió un robo importante de 620 millones de dólares. Este ataque destacó el peligro de la ingeniería social en la ciberseguridad. Los atacantes lograron infiltrarse en el sistema de Sky Mavis a través de un elaborado engaño de reclutamiento, controlando finalmente la mayoría de los nodos de validación de la red Ronin.
A pesar de que los fondos robados no pudieron ser recuperados, Sky Mavis logró proporcionar a los usuarios una compensación total a través de una financiación adicional de 150 millones de dólares. Este evento también impulsó una actualización completa de los mecanismos de seguridad de la red Ronin.
Wormhole: pérdida de 326 millones de dólares, rápidamente compensada
En febrero de 2022, el protocolo cross-chain Wormhole sufrió un ataque de hackers, perdiendo aproximadamente 120,000 ETH, con un valor de 326 millones de dólares. Los atacantes aprovecharon una vulnerabilidad en la verificación de firmas en el contrato del lado de Solana, logrando acuñar una gran cantidad de whETH falso.
Es importante destacar que Jump Crypto inyectó rápidamente 120,000 ETH, cerrando la brecha de financiación de Wormhole, lo que permitió que el protocolo volviera a operar rápidamente. Esta acción demuestra la importancia de un sólido respaldo financiero en la gestión de crisis.
EvoDeFi: Decenas de millones de dólares en pérdidas no han sido gestionadas
En junio de 2022, el DEX ValleySwap en el ecosistema Oasis sufrió un desanclaje grave de USDT, causando pérdidas estimadas de decenas de millones de dólares. El problema se originó en la falta de liquidez en la cadena de origen del puente cross-chain EVODeFi utilizado.
Lamentablemente, este evento no ha sido manejado adecuadamente hasta la fecha. Las partes involucradas rápidamente se desmarcaron, el equipo del proyecto en realidad está en un estado de desaparición, y las pérdidas de los usuarios no pueden ser compensadas. Esto resalta la falta de responsabilidad y capacidad de respuesta de ciertos proyectos cuando enfrentan crisis importantes.
Horizon: Casi 100 millones de dólares robados, el plan de compensación sigue en discusión
En junio de 2022, el puente cross-chain Horizon de Harmony fue atacado, con pérdidas de aproximadamente 100 millones de dólares. La investigación mostró que el ataque probablemente fue causado por una filtración de claves privadas, lo que expuso los riesgos potenciales del mecanismo de firma múltiple.
Harmony propuso compensar gradualmente a los usuarios a través de la emisión adicional de tokens en un plazo de 3 años, pero no logró obtener el apoyo unánime de la comunidad. Actualmente, el nuevo plan de compensación todavía se está elaborando, lo que refleja los desafíos en equilibrar los intereses de todas las partes y mantener la estabilidad del ecosistema.
Nomad: 190 millones de dólares perdidos, parte de los fondos podría recuperarse
En agosto de 2022, el puente cross-chain de Nomad sufrió una pérdida de aproximadamente 190 millones de dólares debido a un simple error de programación. Los atacantes aprovecharon un error en la configuración de un parámetro clave durante la actualización del contrato para llevar a cabo un ataque que les permitió extraer fondos sin ninguna operación compleja.
Este evento involucra una gran cantidad de direcciones, entre las cuales hay hackers éticos. Actualmente, parte de los fondos ya se ha comprometido a ser devuelto, pero el plan de compensación específico aún no se ha determinado. Esto resalta la importancia de la auditoría de código y la gestión de actualizaciones en proyectos DeFi.
Resumen y Reflexiones
Al revisar estos eventos de ataques a puentes cross-chain, podemos extraer las siguientes lecciones importantes:
Los puentes cross-chain, como objetivos de alto valor, siempre enfrentan enormes amenazas de seguridad. Incluso los proyectos con alta clasificación de liquidez no pueden evitar ser atacados, y los usuarios deben mantenerse extremadamente alerta al utilizarlos.
El trasfondo del proyecto y la fortaleza financiera son cruciales para el manejo posterior a un incidente. Un equipo sólido suele ser capaz de recuperar activos o realizar compensaciones más rápidamente, como lo demuestran los casos de Poly Network, Ronin y Wormhole.
La monitorización en tiempo real y un mecanismo de respuesta rápida son clave para prevenir ataques. Proyectos como Hop Protocol y StarGate han logrado detener ataques potenciales al detectar y manejar actividades sospechosas de manera oportuna.
La importancia de la auditoría de código, las pruebas de seguridad y la gestión de actualizaciones no debe ser subestimada. Muchos ataques se originan en simples errores de programación o fallos lógicos, lo que resalta la necesidad de medidas de seguridad completas y rigurosas.
La gobernanza comunitaria juega un papel importante en la gestión de crisis. Un proceso de elaboración de planes de compensación transparente y justo ayuda a mantener la confianza de los usuarios y el desarrollo a largo plazo del proyecto.
Con el continuo desarrollo de la tecnología cross-chain, la seguridad seguirá siendo un tema central en este campo. Los proyectos, desarrolladores y usuarios deben mantenerse alerta y trabajar juntos para construir un ecosistema cross-chain más seguro y confiable.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
20 me gusta
Recompensa
20
4
Compartir
Comentar
0/400
CryptoComedian
· hace14h
Hacker: Ataques dos veces en nueve días, esta vez es doble felicidad.
Ver originalesResponder0
OvertimeSquid
· 08-03 14:53
¿Por qué todos los exploits son tan parecidos? Cambia el script, copia y pega.
Ver originalesResponder0
FUD_Whisperer
· 08-03 14:52
El mayor riesgo de seguridad son los técnicos.
Ver originalesResponder0
TaxEvader
· 08-03 14:37
Ten una perspectiva más amplia, mejor haz un Rug Pull.
10 casos de ataques a puentes cross-chain analizados en profundidad: lecciones y enseñanzas detrás de una pérdida de 1.9 mil millones de dólares.
Revisión de incidentes de ataques a puentes cross-chain: 10 casos importantes implican 1.9 mil millones de dólares, 1.55 mil millones ya recuperados o compensados.
Con el continuo desarrollo del ecosistema blockchain, los puentes cross-chain se han convertido en una infraestructura fundamental para conectar diferentes cadenas públicas, y su seguridad ha sido objeto de gran atención. En los últimos años, varios incidentes de ataque a puentes cross-chain han causado enormes pérdidas financieras, lo que ha generado un amplio debate en la industria. Este artículo revisará 10 casos de ataques a puentes cross-chain que han tenido un impacto profundo, resumiendo las lecciones y las revelaciones de estos.
ChainSwap: pérdidas de 8 millones de dólares debido a dos ataques
En julio de 2021, ChainSwap sufrió dos ataques de hackers en solo 9 días. El primer ataque causó una pérdida de aproximadamente 800,000 dólares, mientras que el segundo alcanzó los 8,000,000 dólares, afectando a más de 20 proyectos que utilizaban ChainSwap para puentes cross-chain.
Tras la investigación, se descubrió que el atacante aprovechó una vulnerabilidad en el protocolo relacionada con la validación de la efectividad de las firmas, lo que le permitió completar transacciones utilizando firmas generadas por él mismo. Dado que la principal pérdida fue el token de gobernanza del proyecto, varios proyectos afectados optaron por realizar un snapshot y volver a emitir tokens para compensar las pérdidas de los holders y LP.
Poly Network: Se recuperaron totalmente 610 millones de dólares robados
El 10 de agosto de 2021, Poly Network sufrió el mayor ataque DeFi de la época. Los hackers robaron aproximadamente 610 millones de dólares en activos a través de tres redes: Ethereum, Binance Smart Chain y Polygon.
El ataque aprovechó principalmente una vulnerabilidad en la lógica de gestión de permisos del contrato de Poly Network. El hacker logró reemplazar el Keeper de la cadena objetivo por una dirección controlada por él, obteniendo así los permisos de firma para la transferencia de activos.
A pesar de que los hackers planearon cuidadosamente el ataque, finalmente decidieron devolver la totalidad de los fondos robados. Poly Network los denomina "hackers de sombrero blanco" y ha propuesto contratar a la otra parte como asesor de seguridad principal. Este incidente destaca los enormes desafíos de seguridad que enfrentan los puentes cross-chain.
Multichain: Se ha compensado la pérdida de 6 millones de dólares por vulnerabilidades.
En enero de 2022, Multichain descubrió una vulnerabilidad importante que afectaba a múltiples tokens. Aunque la vulnerabilidad ha sido corregida, algunos usuarios todavía sufrieron pérdidas debido a que no revocaron sus autorizaciones a tiempo. Según el informe oficial, un total de 7962 direcciones de usuarios se vieron afectadas, con aproximadamente 6.04 millones de dólares en activos robados.
El equipo de seguridad analizó y señaló que el ataque se originó debido a la negligencia de Multichain al verificar la legitimidad de los tokens introducidos por los usuarios. El equipo ha recuperado casi el 50% de los fondos robados y ha propuesto un plan de compensación, pero este está limitado a los usuarios que revocaron la autorización dentro del plazo establecido.
QBridge: pérdida de 80 millones de dólares solo compensa el 2%
A finales de enero de 2022, el puente cross-chain QBridge del protocolo de préstamos Qubit fue atacado, con pérdidas de aproximadamente 80 millones de dólares. El atacante aprovechó una vulnerabilidad lógica en el manejo de transferencias de tokens de la lista blanca de QBridge, logrando acuñar masivamente xETH en BSC de la nada y utilizando estos tokens falsos para pedir prestados otros activos de Qubit.
Actualmente, el proyecto Qubit está casi paralizado, el 98% de los fondos robados aún no ha sido compensado, lo que refleja la realidad de que algunos proyectos tienen dificultades para recuperarse después de sufrir un grave accidente de seguridad.
Meter.io: pérdida de 4.4 millones de dólares, se compromete a compensar con ingresos futuros
En febrero de 2022, el puente cross-chain Meter Passport fue atacado, lo que resultó en una pérdida de 4.4 millones de dólares. Las autoridades admitieron que el problema estaba en la "suposición de confianza errónea" en el código subyacente, lo que permitió a los atacantes falsificar transferencias de BNB y ETH.
Meter inicialmente planeaba compensar a los usuarios por las pérdidas con el token MTRG, pero tras una votación de la comunidad se decidió emitir un nuevo token PASS como compensación, y se comprometió a recomprar con los ingresos futuros. Sin embargo, hasta ahora no se ha llevado a cabo ninguna acción de recompra sustancial.
Ronin: 620 millones de dólares robados, ya se ha compensado en su totalidad
En marzo de 2022, la cadena Ronin detrás de Axie Infinity sufrió un robo importante de 620 millones de dólares. Este ataque destacó el peligro de la ingeniería social en la ciberseguridad. Los atacantes lograron infiltrarse en el sistema de Sky Mavis a través de un elaborado engaño de reclutamiento, controlando finalmente la mayoría de los nodos de validación de la red Ronin.
A pesar de que los fondos robados no pudieron ser recuperados, Sky Mavis logró proporcionar a los usuarios una compensación total a través de una financiación adicional de 150 millones de dólares. Este evento también impulsó una actualización completa de los mecanismos de seguridad de la red Ronin.
Wormhole: pérdida de 326 millones de dólares, rápidamente compensada
En febrero de 2022, el protocolo cross-chain Wormhole sufrió un ataque de hackers, perdiendo aproximadamente 120,000 ETH, con un valor de 326 millones de dólares. Los atacantes aprovecharon una vulnerabilidad en la verificación de firmas en el contrato del lado de Solana, logrando acuñar una gran cantidad de whETH falso.
Es importante destacar que Jump Crypto inyectó rápidamente 120,000 ETH, cerrando la brecha de financiación de Wormhole, lo que permitió que el protocolo volviera a operar rápidamente. Esta acción demuestra la importancia de un sólido respaldo financiero en la gestión de crisis.
EvoDeFi: Decenas de millones de dólares en pérdidas no han sido gestionadas
En junio de 2022, el DEX ValleySwap en el ecosistema Oasis sufrió un desanclaje grave de USDT, causando pérdidas estimadas de decenas de millones de dólares. El problema se originó en la falta de liquidez en la cadena de origen del puente cross-chain EVODeFi utilizado.
Lamentablemente, este evento no ha sido manejado adecuadamente hasta la fecha. Las partes involucradas rápidamente se desmarcaron, el equipo del proyecto en realidad está en un estado de desaparición, y las pérdidas de los usuarios no pueden ser compensadas. Esto resalta la falta de responsabilidad y capacidad de respuesta de ciertos proyectos cuando enfrentan crisis importantes.
Horizon: Casi 100 millones de dólares robados, el plan de compensación sigue en discusión
En junio de 2022, el puente cross-chain Horizon de Harmony fue atacado, con pérdidas de aproximadamente 100 millones de dólares. La investigación mostró que el ataque probablemente fue causado por una filtración de claves privadas, lo que expuso los riesgos potenciales del mecanismo de firma múltiple.
Harmony propuso compensar gradualmente a los usuarios a través de la emisión adicional de tokens en un plazo de 3 años, pero no logró obtener el apoyo unánime de la comunidad. Actualmente, el nuevo plan de compensación todavía se está elaborando, lo que refleja los desafíos en equilibrar los intereses de todas las partes y mantener la estabilidad del ecosistema.
Nomad: 190 millones de dólares perdidos, parte de los fondos podría recuperarse
En agosto de 2022, el puente cross-chain de Nomad sufrió una pérdida de aproximadamente 190 millones de dólares debido a un simple error de programación. Los atacantes aprovecharon un error en la configuración de un parámetro clave durante la actualización del contrato para llevar a cabo un ataque que les permitió extraer fondos sin ninguna operación compleja.
Este evento involucra una gran cantidad de direcciones, entre las cuales hay hackers éticos. Actualmente, parte de los fondos ya se ha comprometido a ser devuelto, pero el plan de compensación específico aún no se ha determinado. Esto resalta la importancia de la auditoría de código y la gestión de actualizaciones en proyectos DeFi.
Resumen y Reflexiones
Al revisar estos eventos de ataques a puentes cross-chain, podemos extraer las siguientes lecciones importantes:
Los puentes cross-chain, como objetivos de alto valor, siempre enfrentan enormes amenazas de seguridad. Incluso los proyectos con alta clasificación de liquidez no pueden evitar ser atacados, y los usuarios deben mantenerse extremadamente alerta al utilizarlos.
El trasfondo del proyecto y la fortaleza financiera son cruciales para el manejo posterior a un incidente. Un equipo sólido suele ser capaz de recuperar activos o realizar compensaciones más rápidamente, como lo demuestran los casos de Poly Network, Ronin y Wormhole.
La monitorización en tiempo real y un mecanismo de respuesta rápida son clave para prevenir ataques. Proyectos como Hop Protocol y StarGate han logrado detener ataques potenciales al detectar y manejar actividades sospechosas de manera oportuna.
La importancia de la auditoría de código, las pruebas de seguridad y la gestión de actualizaciones no debe ser subestimada. Muchos ataques se originan en simples errores de programación o fallos lógicos, lo que resalta la necesidad de medidas de seguridad completas y rigurosas.
La gobernanza comunitaria juega un papel importante en la gestión de crisis. Un proceso de elaboración de planes de compensación transparente y justo ayuda a mantener la confianza de los usuarios y el desarrollo a largo plazo del proyecto.
Con el continuo desarrollo de la tecnología cross-chain, la seguridad seguirá siendo un tema central en este campo. Los proyectos, desarrolladores y usuarios deben mantenerse alerta y trabajar juntos para construir un ecosistema cross-chain más seguro y confiable.