El 7 de enero de 2022, el cofundador de Ethereum, Vitalik Buterin prevenido sobre la seguridad de los puentes cross-blockchain. Argumentó proféticamente que unir activos a través de cadenas de bloques nunca disfrutaría de las mismas garantías que permanecer dentro de una cadena de bloques. Él estaba en lo correcto.
No se garantiza la convertibilidad segura de activos entre cadenas de bloques. Para ser precisos, nadie puede "enviar" ni "puentear" un activo a otra cadena de bloques. En cambio, los activos se depositan, bloquean o queman en una cadena; luego acreditado, desbloqueado o acuñado en la segunda cadena.
Peor aún, las cadenas de bloques no pueden acceder a información fuera de la cadena. Ninguna cadena de bloques puede verificar de forma nativa que cualquier activo de múltiples cadenas de bloques esté "puenteado". En el mejor de los casos, los oráculos de terceros dan fe de la veracidad de la información fuera de la cadena e interpretan esos datos para uso dentro de la cadena. Sin embargo, esto introduce la primera capa de confianza en el proceso de conexión: confianza en los oráculos de datos. El siguiente nivel de confianza son los custodios.
Por lo general, el puente se produce al depositar un activo con un custodio y recibir una versión "envuelta" de ese activo del custodio en la segunda cadena de bloques. El usuario debe confiar en el custodio tanto para la custodia del activo original como para la liberación del activo envuelto.
A veces, este custodio puede tomar la forma de un DAO o un contrato inteligente. En cualquier caso, ya sea una DAO o una entidad corporativa como BitGo (el custodio de los mayor activo envuelto, bitcoin envuelto) — el puente introduce varias capas de confianza.
Continuando, la siguiente capa de confianza es la convertibilidad y la paridad de precios. En pocas palabras, no es suficiente haber recibido un activo puente. Además, un usuario debe continuar confiando en que podrá recuperar ese activo en el futuro en una base de 1 por 1. Un activo original debe ser igual a un activo envuelto. Este es el riesgo de paridad de precios.
Como mínimo, el activo puente debe mantener la paridad con el activo original. Entonces, de esta manera, el usuario confía en el proceso de conexión no solo en el momento del intercambio, sino también durante el tiempo que use un activo envuelto en el futuro.
En resumen, todos los riesgos de seguridad de un activo se multiplican exponencialmente para sus contrapartes puenteadas (envueltas).
¿Te preocupa que Tether Limited no canjee un USDT por $1? Conecte ese mismo USDT a una cadena de bloques que no es compatible con Tether Limited y sus riesgos se han multiplicado por custodio(s), contratos inteligentes, liquidez, paridad de precios y, sobre todo, si el puente no se quemará antes de que necesite regresar a la seguridad.
En cierto modo, los puentes de cadenas de bloques cruzadas son como agujeros de gusano: transportan material a través del espacio, pero se forman y aniquilan espontáneamente.
De hecho, Wormhole es el nombre del puente mejor capitalizado del mundo, que une las cadenas de bloques de Ethereum y Solana. Fue hackeado — al igual que muchos puentes. A continuación se muestra una lista.
Explotación multicadena el 19 de enero de 2022
Atacantes estola $ 3 millones en una explotación del puente de cadena cruzada Multichain a principios de año. Multichain emitió un mensaje inicial que provocó que los usuarios pregunta si sus fondos estaban seguros. Eso prevenido usuarios para retirar los tokens WETH, MATIC, AVAX, PERI, OMT y WBNB de los contratos inteligentes afectados en su plataforma.
multicadena más tarde dijo un atacante devolvió 259 ETH robados en el ataque. Atar congeló USDT en direcciones vinculadas al exploit.
Explotación de Qubit el 27 de enero de 2022
Finanzas Qubit perdido 206,809 BNB ($80 millones) en un exploit de QBridge el 27 de enero de 2022. El proyecto construyó su protocolo en Binance Chain.
El exploit acuñó de forma fraudulenta 77,162 qXETH, que los atacantes podían canjear por tokens BNB. Qubit se ofreció a negociar con el atacante para recuperar los fondos.
Explotación de agujero de gusano el 2 de febrero de 2022
Los atacantes acuñaron de forma fraudulenta 120,000 2 ETH envueltos en la cadena de bloques de Solana utilizando el puente Wormhole el 2022 de febrero de XNUMX. Crearon una cuenta de firma falsificada para validar sus transacciones.
Un investigador de Paradigm realizó ingeniería inversa del ataque y determinó que Wormhole no había implementado un protocolo de validación más sólido para las firmas de sus guardianes.
Exploit de Meter Passport de Meter.io el 5 de febrero de 2022
Puente Meter Passport de Meter.io perdido $ 4.4 millones en un exploit el 5 de febrero de 2022. El exploit tenía como objetivo la plataforma de contrato inteligente Moonriver en la red Kusama de Polkadot. Los atacantes robaron BNB y envolvieron ETH y luego arrojaron el BNB en el intercambio descentralizado UniSwap.
Este exploit provocó una caída en picado del precio de BNB que permitió a otras personas obtener BNB barato y usarlo como garantía para préstamos en plataformas como Hundred Crisis. Los préstamos causaron problemas de suministro para las aplicaciones de préstamos afectadas.
Explosión de Ronin Bridge el 29 de marzo de 2022
Atacantes estola 173,600 ETH y 25.5 millones de USDC (unos 600 millones de dólares) del puente Ronin el 29 de marzo de 2022. El exploit implicaba obtener acceso a las claves privadas de los nodos de validación. Los desarrolladores del puente Ronin detuvieron los depósitos y retiros hasta que los investigadores tuvieran la oportunidad de determinar qué sucedió.
Los desarrolladores construyeron la cadena lateral Ronin de Ethereum del juego Axie Infinity para ahorrar en tarifas. Desafortunadamente, comprometieron la seguridad.
Exploit de WonderHero el 7 de abril de 2022
héroe maravilla descubierto CRISPR un exploit de su puente el 7 de abril de 2022, cuando el valor de su token nativo WND se desplomó inesperadamente en un 50 %. Perdió $300,000 en tokens WND en el ataque.
WonderHero detuvo su sitio web, juego, puente, depósitos y retiros mientras investigaba. Reinició el juego, el mercado y el sistema de rendimiento. Desde entonces, WonderHero publicado un análisis que confirma que su puente Binance se ha visto comprometido.
Explosión de Horizon Bridge de Harmony One el 23 de junio de 2022
Horizon Bridge de Harmony One perdió $ 100 millones en un exploit el 23 de junio de 2022. Su equipo dijo estaba trabajando con las autoridades policiales y expertos forenses para investigar el exploit. La dirección utilizada para recibir los fondos robados recibió un "Explotador del puente Horizon” etiqueta en Etherscan. Horizon Bridge Exploiter actualmente tiene poco más de $ 93,000 en tokens.
Más información: Los puentes entre cadenas de bloques siguen rompiéndose cuando la criptoempresa Nomad es pirateada por $ 190 millones
Explotación de ChainSwap el 10 de julio de 2022
ChainSwap perdió 20 millones de tokens WILD en un exploit el 10 de julio de 2022. Wilder World usa WILD como su token nativo. Un usuario de Twitter seudónimo y "ciudadano" de Wilder World notado el exploit ChainSwap el 10 de julio de 2022. El exploit también afectó a los tokens de Antimatter, Optionroom, Umbrellabank, Nord, Razor, Peri, Unido, Oro, Vortex, Blank y Unifarm.
ChainSwap congeló su puente Ethereum-Binance Smart Chain mientras investigaba.
Antes de este incidente, ChainSwap sufrió otro exploit en el que perdió $ 800,000 en tokens el 2 de julio. Logró recuperar algunas de esas pérdidas en ese ataque.
Nomad exploit el 2 de agosto de 2022
Atacantes estola $ 190 millones en tokens al explotar una vulnerabilidad en el contrato inteligente de Nomad el 2 de agosto de 2022. Una vez que el método utilizado para explotar el contrato inteligente se hizo público, un ataque masivo drenó una cantidad considerable de dinero.
CISO de Andressen Horowitz sugiere que algunos saqueadores podrían haber sido explotadores de "sombrero blanco" con el objetivo de mantener el dinero fuera de las manos de actores infames. Nómada dijo estaba trabajando con las fuerzas del orden y las empresas de seguridad privada para investigar y agradecido los actores de sombrero blanco por tomar la iniciativa de proteger los fondos.
Para noticias más informadas, síguenos en Twitter y noticias de Google o escucha nuestro podcast de investigación Innovado: Blockchain City.
Fuente: https://protos.com/explained-why-hackers-keep-exploiting-cross-blockchain-bridges/