El hackeo de USD 100 millones de US Harmony reivindica las preocupaciones del fundador de Ethereum sobre los puentes de cadenas cruzadas

Hace unos meses, el fundador de ETH describió los peligros de los puentes de cadenas cruzadas, hoy EE. UU. Armonía pirateada por $ 100 millones.

El puente de cadena cruzada de Harmony, Horizon, es el último de estos puentes en ser atacado por piratas informáticos. Parece que los puentes criptográficos entre cadenas se han convertido en un gran objetivo para los piratas informáticos en los últimos tiempos.

Después del puente Ronin en Axie Infinity, ahora el puente Horizon ha sido víctima del ataque exacto. Sin embargo, los fondos robados a través de Horizon Bridge son mucho menores que los tomados a través de Ronin. El ataque a Ronin Bridge provocó la pérdida de alrededor de $ 620 millones en ETH y USDC, mientras que el ataque a Horizon Bridge provocó la pérdida de alrededor de $ 100 millones en criptos.

Después del ataque, Harmony, con sede en California, Estados Unidos, recurrió a Twitter para anunciar la triste noticia y agregó que la compañía ahora está trabajando en estrecha colaboración con las autoridades y los expertos forenses para rastrear a los atacantes.

1/ El equipo de Harmony ha identificado un robo ocurrido esta mañana en el puente Horizon por un monto de aprox. $ 100 millones. Hemos comenzado a trabajar con las autoridades nacionales y especialistas forenses para identificar al culpable y recuperar los fondos robados.

Más ?

- Armonía ? (@protocoloarmonía) Sábado, Junio 23, 2022

BTC no afectado

Si bien algunas cadenas de bloques atendidas por Horizon Bridge se vieron afectadas, la cadena de Bitcoin no sufrió ningún revés. Harmony reconoció esto en su hilo de Twitter. Las cadenas afectadas incluyen Binance Chain y Ethereum.

3/ Tenga en cuenta que esto no afecta al puente BTC sin confianza; sus fondos y activos almacenados en bóvedas descentralizadas están seguros en este momento.

- Armonía ? (@protocoloarmonía) Sábado, Junio 23, 2022

Las investigaciones sobre el ataque han revelado que se robaron varios tokens durante el ataque. Estos incluyen AAVE, USDC, wETH, wBTC, USDT, BUSD, AAG, SUSHI, FXS, FRAX y DAI. Aparentemente, los atacantes cambiaron los tokens robados por ETH en Uniswap DEX antes de devolver el ETH a sus billeteras. Por lo que parece, este fue un ataque planeado.

Preocupaciones de la comunidad reivindicadas

Después de que se dio a conocer la noticia del ataque, la comunidad se levantó en armas, recordando a Harmony y a la industria en general las preocupaciones que se expresaron sobre el sistema de control Multisig utilizado para asegurar el puente y las criptomonedas.

Las autoridades nacionales y los especialistas forenses deberían investigarlo a *usted* para averiguar qué tipo de prácticas de seguridad interrumpidas permitieron que ocurriera este "robo".

- Chris Blec (@ChrisBlec) Sábado, Junio 24, 2022

Harmony usó una funcionalidad multisig que requería solo dos de cuatro entidades confiables para ejecutar una transferencia de token. Los atacantes lograron apoderarse de dos validadores y obtuvieron acceso al alijo.

Los incidentes de piratería dirigidos a puentes de cadena cruzada han sido rampantes últimamente, lo que provocó pedidos de más controles de seguridad por parte de los operadores de puentes. Desde principios de año, tales ataques han provocado una pérdida combinada de alrededor de mil millones de dólares de las plataformas criptográficas.

Amenazas de los puentes de cadenas cruzadas

Hace más de 6 meses, Vitalik resumió los riesgos de los puentes entre cadenas en un publicación de Reddit:

“Los límites de seguridad fundamentales de los puentes son en realidad una razón clave por la cual, si bien soy optimista sobre un ecosistema de cadena de bloques de múltiples cadenas (realmente hay algunas comunidades separadas con diferentes valores y es mejor para ellas vivir por separado que pelear por la influencia en el lo mismo), soy pesimista acerca de las aplicaciones de cadena cruzada.

Para comprender por qué los puentes tienen estas limitaciones, debemos observar cómo varias combinaciones de cadenas de bloques y puentes sobreviven al 51 % de los ataques. Muchas personas tienen la mentalidad de que "si una cadena de bloques recibe un ataque del 51 %, todo se rompe, por lo que debemos poner toda nuestra fuerza para evitar que un ataque del 51 % suceda ni una sola vez". Realmente no estoy de acuerdo con este estilo de pensamiento; de hecho, las cadenas de bloques mantienen muchas de sus garantías incluso después de un ataque del 51 %, y es muy importante preservar estas garantías.

Por ejemplo, suponga que tiene 100 ETH en Ethereum, y Ethereum es atacado en un 51 %, por lo que algunas transacciones son censuradas y/o revertidas. Pase lo que pase, todavía tienes tus 100 ETH. Incluso un atacante del 51% no puede proponer un bloque que le quite su ETH, porque tal bloque violaría las reglas del protocolo y sería rechazado por la red. Incluso si el 99 % del hashpower o la participación quisieran quitarle su ETH, todos los que ejecutan un nodo simplemente seguirían la cadena con el 1 % restante, porque solo sus bloques siguen las reglas del protocolo. En términos más generales, si tiene una aplicación en Ethereum, entonces un ataque del 51 % podría censurarla o revertirla durante algún tiempo, pero lo que sale al final es un estado consistente. Si tenía 100 ETH, pero los vendió por 320000 100 DAI en Uniswap, incluso si la cadena de bloques es atacada de alguna manera arbitraria y loca, al final del día todavía tiene un resultado sensato: o conserva sus 320000 ETH o obtiene sus XNUMX DAI. El resultado en el que no obtiene ninguno (o, en realidad, ambos) viola las reglas del protocolo y, por lo tanto, no sería aceptado.

Ahora, imagine lo que sucede si mueve 100 ETH a un puente en Solana para obtener 100 Solana-WETH, y luego Ethereum es atacado en un 51%. El atacante depositó un montón de su propio ETH en Solana-WETH y luego revirtió esa transacción en el lado de Ethereum tan pronto como el lado de Solana lo confirmó. El contrato Solana-WETH ahora ya no está totalmente respaldado, y quizás sus 100 Solana-WETH ahora solo valen 60 ETH. Incluso si hay un puente perfecto basado en ZK-SNARK que valida completamente el consenso, aún es vulnerable al robo a través de ataques del 51% como este.

Por esta razón, siempre es más seguro tener activos nativos de Ethereum en Ethereum o activos nativos de Solana en Solana que tener activos nativos de Ethereum en Solana o activos nativos de Solana en Ethereum.." 

- Publicidad -