- Los protocolos de puente son objetivos populares para los piratas informáticos a medida que las soluciones de blockchain a blockchain crecen en popularidad y uso.
- Es posible que los protocolos orientados a Web3 deban comenzar a implementar medidas de ciberseguridad Web2 probadas y verdaderas, dijo un especialista a Blockworks
En el último hackeo de un puente criptográfico de 2022, Nomad perdió una suma sustancial en un hackeo que fue posible gracias a una actualización de rutina que permitió a los actores nefastos omitir los mensajes de verificación y robar más de 190 millones de dólares.
Los puentes criptográficos permiten transacciones entre diferentes cadenas de bloques sin un tercero para facilitar el intercambio. El hack de Nomad es ahora el tercer hack de puente más grande de este año detrás de Wormhole, donde los piratas informáticos extrajeron $ 325 millones en febrero, y Ronin, donde $ 625 millones fueron robados de su cadena de bloques en marzo.
El hackeo de Nomad fue un error de implementación que no se debió a que las transacciones salieran mal, dijo Dmitriy Berenzon, socio de investigación del fondo de tokens en etapa inicial 1KX.
“El ataque no provino de transacciones que pasaron por el puente, es una explotación de los contratos en Ethereum: son más problemas en el código en sí, en lugar del modelo de seguridad teórico”, dijo Berenzon a Blockworks. "Esto es diferente a los otros hacks que hemos visto donde la Raíz de Confianza (RoT) real está comprometida".
Los sistemas criptográficos dependen de RoT para asegurar las operaciones. Un RoT comprometido implica que las claves para cifrar y descifrar datos en el hardware están rotas.
Los puentes de cadena de bloques se han convertido en objetivos populares para los piratas informáticos expertos en criptografía, principalmente debido a la complejidad de sus contratos inteligentes subyacentes. Tales vulnerabilidades han generado críticas de personas como el fundador de Ethereum. Vitalik Buterin quien anteriormente dijo los puentes tienen "límites de seguridad fundamentales" que lo hacen pesimista sobre las aplicaciones de cadena cruzada.
“La parte más aterradora de los activos puenteados son los efectos dominó en el caso desafortunado”, dijo Berenzon. “Los activos se utilizan e integran en diferentes protocolos, y si hay un problema con un puente, puede quedar envuelto en otro puente, por lo que tiene un riesgo sistémico en cascada que es potencialmente difícil de resolver”.
Un ejemplo de integración de activos sería si tuviera ether y quisiera cambiar a Polygon para aprovechar sus tarifas de gas más baratas: enviaría su ETH a una dirección de puente en una cadena de bloques de Ethereum. Una vez que se reciba su depósito, su ETH se "envolverá", lo que lo hará compatible con Polygon y le facilitará realizar transacciones en la red de capa 2.
Es imposible mitigar el riesgo por completo, dijo Berenzon, pero es primordial minimizar las lagunas a medida que aumenta el uso de los puentes.
hugh arroyos, director de producto de la firma de seguridad de cadenas de bloques CertiK, dijo que los puentes van a asumir un papel cada vez más importante a medida que los desarrolladores, que imaginan un futuro de cadenas múltiples, ya no se contentan con construir en una sola cadena de bloques.
Por el contrario, dijo Brooks, el ecosistema Web3 debería implementar benignamente las actitudes de ciberseguridad de Web2.
“Necesitamos tener una mentalidad de seguridad completa y realizar pruebas en cada paso del camino”, dijo Brooks a Blockworks. “Si [Nomad] tuviera un equipo de respuesta para responder a los ataques, podrían haberlo cerrado o ejecutado ellos mismos para evitar que otros tomaran ese dinero. Aunque hubo hackers blancos que intervinieron, no siempre podrás confiar en la comunidad para este tipo de incidentes”.
Reciba las mejores noticias e información sobre criptografía del día en su bandeja de entrada todas las noches. Suscríbase al boletín gratuito de Blockworks ahora.
Fuente: https://blockworks.co/after-latest-crypto-bridge-hack-industry-participants-call-for-tightened-security/