Web3 no se generalizará hasta que haya una integración perfecta de Blockchain: con más y más ataques de puente, ¿qué significa esto?

En marzo de 2022, la red de criptomonedas Ronin reveló que había sido víctima de uno de los hacks más grandes de todos los tiempos, sufriendo una brecha que permitió a los atacantes robar más de $ 540 millones valor de monedas Ethereum y USD. En el incidente, los piratas informáticos explotaron una vulnerabilidad en un servicio conocido como Ronin Bridge. Es uno de una serie de ataques exitosos a los "puentes de cadena de bloques" que han llamado la atención sobre sus ineficiencias de seguridad inherentes.

Los puentes de cadena de bloques, a veces llamados puentes de red, son servicios que hacen posible que los poseedores de criptomonedas trasladen sus activos digitales de una cadena de bloques a otra. Desempeñan un papel importante, porque las criptomonedas a menudo están aisladas y carecen de interoperabilidad, lo que significa que puede enviar Bitcoin a una dirección de billetera Ethereum, por ejemplo. Debido a esta naturaleza aislada, los puentes se han convertido en un mecanismo clave dentro de la criptoeconomía.

Los servicios puente en realidad no transfieren un tipo de activo digital a otra cadena. Más bien, lo que hacen es "envolver" tokens de criptomonedas para convertirlos en un nuevo activo en la otra cadena. Entonces, si un usuario quiere conectar Bitcoin a Solana, el puente esencialmente congelará el BTC original bloqueándolo en una dirección de billetera, antes de escupir lo que se conoce como BTC envuelto (WBTC) que se puede usar en la segunda cadena. Se puede considerar como una especie de tarjeta de regalo que proporciona exactamente el mismo valor monetario, que solo se puede usar en una tienda específica.

Debido a la forma en que funcionan, los puentes tienen reservas significativas de tokens de criptomonedas que están bloqueados en contratos inteligentes, y esas reservas los hacen especialmente atractivos para los piratas informáticos.

Como saben muy bien los incondicionales de las criptomonedas, cualquier valor que se mantenga en la cadena está sujeto a ataques en cualquier momento del día. Internet nunca se desconecta, lo que significa que siempre se puede acceder a los tokens en poder de cualquier puente.

Ronin Hack muestra el peligro de la centralización

 El ataque a la red Ronin fue uno de los mayores robos de DeFi en términos de valor en dólares. Ronin es una cadena lateral de Ethereum que permite transacciones más económicas a velocidades mucho más rápidas que la red principal. Fue el puente elegido para el popular juego de criptomonedas "jugar para ganar" Axie Infinity, lo que significa que procesaba constantemente millones de dólares en criptomonedas y monedas estables.

Las cadenas laterales son una solución de escalado de cadena de bloques que requiere un puente para conectarse a otras cadenas. Con Ronin, los usuarios pueden bloquear su ETH y ETH envuelto en menta en redes alternativas. Las transacciones se procesan y aprueban a través de un algoritmo de consenso de prueba de autoridad. Con este modelo, 5 de 9 validadores deben estar de acuerdo en una transacción para lograr el consenso. Sin embargo, cuatro de los validadores de Ronin fueron operados por una empresa: Sky Mavis, el desarrollador de Ronin.

Fue una configuración muy centralizada que resultó de la decisión de Axie Dao de configurar un nodo RPC sin gas en noviembre de 2021 para tratar de solucionar la congestión de la red. La DAO incluyó claves de Sky Mavis en la lista de permitidos para firmar transacciones en su nombre. Se suponía que solo sería un arreglo temporal, pero la lista de permitidos nunca fue revocada. Este creó una apertura para los atacantes, que se dice que es el Grupo Lazarus patrocinado por Corea del Norte, que utilizó técnicas de ingeniería social para comprometer las cuatro claves de Sky Mavis. Luego, los piratas informáticos descubrieron una vulnerabilidad en el código de RPC, lo que le dio el control de un quinto validador y le permitió realizar un retiro ilícito.

El problema principal era que el sistema de firmas múltiples de Ronin para firmar transacciones se vio comprometido debido a la falta de descentralización. Ilustra la debilidad de los mecanismos de seguridad donde la mayoría de la gobernanza se concentra en manos de una sola entidad.

Las vulnerabilidades de los contratos inteligentes persisten

 El hackeo de Ronin no fue único, sino más bien el último de una serie de ataques de alto perfil en puentes de blockchain que han resultado en la pérdida de valor de millones de dólares. Un mes antes, los atacantes se llevaron con éxito alrededor de $ 80 millones en Ethereum luego de un ataque en el Puente Qubit.

Es un servicio operado por la plataforma Qubit Finance, que permite a los usuarios prestar y tomar prestados activos digitales a través de las redes Ethereum y Binance Smart Chain. Por ejemplo, permite depositar un token ERC-20 y recibir una moneda BEP-20 a cambio, que luego se puede usar en la cadena Binance.

Qubit Bridge fue pirateado debido a lo que se dijo que era un "error lógico" dentro del código de su contrato inteligente. La vulnerabilidad permitió que el pirata informático manipulara el puente utilizando datos maliciosos, por lo que podría retirar tokens BSC sin realizar ningún depósito en Ethereum. Un autopsia del ataque descubrió que el contrato inteligente QBridge no verificó correctamente que la cantidad requerida de ETH estaba bloqueada. En cambio, el pirata informático pudo mostrar una prueba falsa de un depósito inexistente.

El incidente sirvió para resaltar cómo las vulnerabilidades de los contratos inteligentes siguen siendo un problema persistente en DeFi, y especialmente para los puentes de blockchain. La gran mayoría de los ataques de puente tienen como objetivo errores en los contratos inteligentes, que son contratos automatizados que se ejecutan automáticamente cuando se cumplen ciertas condiciones.

Los puentes son clave para expandir el alcance de Crypto

 Las criptoplataformas han estado sujetas a un flujo interminable de ataques desde que la incipiente industria comenzó a hacerse popular. Los partidarios de DeFi dicen que puede proporcionar una alternativa más accesible y equitativa a los servicios financieros tradicionales, pero a medida que el espacio ha evolucionado, ha sido sometido a lo que es esencialmente una prueba de fuego. Los ataques a los puentes se han vuelto tan comunes como el intercambio de criptomonedas y los atracos al protocolo DeFi. El problema es que los puentes, como los intercambios y los protocolos, son plataformas de alto riesgo que tienen enormes cantidades de valor y cualquiera de ellos podría ser vulnerable a errores en su código subyacente.

Existe la creencia generalizada de que las criptomonedas y DeFi nunca lograrán una adopción generalizada sin una solución adecuada al riesgo de ataques. La gran mayoría del valor del mundo está en manos de inversores institucionales, como bancos de inversión y grandes fondos de cobertura. Dichas organizaciones priorizan el cumplimiento y la seguridad de sus fondos por encima de cualquier beneficio potencial que puedan obtener. Por lo tanto, es poco probable que DeFi y las criptomonedas se conviertan en mucho más que una industria de inversión de nicho hasta que se puedan resolver sus problemas de seguridad.

La seguridad del puente es de especial importancia. La naturaleza aislada de las cadenas de bloques es una desventaja grave que limita el alcance potencial de cualquier aplicación descentralizada. Una dApp creada en Ethereum no puede hablar con otros en función de diferentes cadenas de bloques. No puede realizar transacciones con Bitcoin, la criptomoneda más valiosa y ampliamente utilizada del mundo, lo que significa que los titulares de BTC no tienen forma de interactuar con el ecosistema DeFi. Si la criptografía alguna vez se vuelve omnipresente, los usuarios deben tener una forma segura de comunicarse con diferentes cadenas.

Construyendo mejores puentes

 La buena noticia es que hay personas en la industria que reconocen la importancia de la conectividad blockchain segura. Una perspectiva emocionante es AllianceBlock's muy prometedor AlianzaPuente, que admite las principales redes, incluidas Ethereum, Binance Smart Chain, Avalanche, Polygon, Arbirtrum, Optimism y Energy Web con una infraestructura única que está más descentralizada y ofrece un rendimiento más rápido y seguro.

A diferencia de los puentes centralizados, que dependen de una sola o unas pocas entidades para verificar que las transacciones sean legítimas, los puentes descentralizados se basan en los mismos principios que la propia cadena de bloques. Existen múltiples operadores que utilizan mecanismos de consenso bien estructurados para establecer la validez de las transacciones. AllianceBridge es un puente descentralizado que ha desarrollado un método único para garantizar que se alcance el consenso.

Al igual que con otros, AllianceBridge bloquea los tokens que recibe en un contrato inteligente y luego emite tokens envueltos en la cadena de bloques de destino. Esos tokens envueltos existirán en la segunda cadena hasta que el usuario decida canjearlos en la red original. En ese momento, los tokens envueltos se queman, lo que significa que dejan de existir, mientras que los tokens originales de la cadena nativa se desbloquean.

La diferencia de AllianceBridge es que emplea una red de operadores de puentes compatible con EVM. Además, aprovecha la robusta tecnología de terceros Servicio de consenso de Hedera Hashgraph que funciona con un innovador “chismes sobre chismesalgoritmo de consenso.

Con el servicio HCS, las aplicaciones y redes de cadena de bloques pueden enviar mensajes al libro mayor público de Hedera, donde se marcan la hora y se ordenan con total transparencia. Esto hace posible que AllianceBridge llegue a un consenso sin mantener la sincronización entre sus operadores de puentes. Esto significa un rendimiento más rápido con un alto grado de descentralización, mientras que HCS brinda una capa adicional de confianza que hace que el puente sea más seguro.

Los contratos inteligentes de AllianceBridge, que se utilizan para bloquear los activos originales y acuñar y quemar tokens envueltos, brindan aún más seguridad. Todo el código base del contrato inteligente fue escrito para resonar con el estándar EIP-2535 y ha sido completamente auditado por Omniscia. Durante la auditoría, Omniscia señaló una serie de problemas potenciales que AllianceBlock solucionó rápidamente antes de que el código se pusiera en marcha.

La seguridad y confiabilidad de AllianceBridge ha jugado un papel clave en la expansión de la utilidad del conjunto de ofertas de DeFi de AllianceBlock, que incluye Terminal DeFi, que proporciona una manera fácil para que los proyectos lancen campañas de minería de liquidez y participación en múltiples redes compatibles y dApps. Con su protocolo seguro de interoperabilidad de cadena de bloques, AllianceBlock está construyendo la base sólida que necesita un ecosistema Web3 rico e interconectado para crecer y evolucionar.

- Publicidad -