Las mayores brechas de seguridad de 2021

Según la firma de análisis en cadena Chainalysis, el volumen de transacciones criminales de criptomonedas en 2021 alcanzó un nuevo máximo histórico: $ 14 mil millones. Sin embargo, a pesar del aumento en el volumen de transferencias delictivas, su participación relativa en el volumen total de transacciones de criptomonedas de 2021 fue la más baja de todos los tiempos. Estas estadísticas muestran que la expansión de la esfera de las criptomonedas está superando con creces el ciberdelito asociado con las criptomonedas, también muestra que la seguridad en la industria también se está poniendo al día con la demanda.

Los ciberataques más lucrativos de 2021

A pesar de que hubo una caída en la proporción del volumen de transacciones asociadas con el crimen en el espacio de las criptomonedas en 2021, hubo varios casos que llamaron la atención. Aquí repasaré algunos de los más llamativos.

1. Red polivinílica: $ 611 millones

El hackeo de Poly Network ocurrió el 10 de agosto de 2021 y resultó en el robo de alrededor de $611 millones en activos digitales robados en tres cadenas de bloques: Ethereum, BSC y Polygon. El detalle llamativo fue que el hacker devolvió la suma total que había robado, explicando su movimiento como un intento de señalar las vulnerabilidades en el protocolo Poly Network que no buscaba ganancias.

Poly Network es una red de cadena cruzada que permite a los usuarios realizar operaciones de cadena cruzada de forma descentralizada. Por ejemplo, transferir fondos de una cadena de bloques a otra. Para hacer esto, se necesita una gran cantidad de liquidez en el protocolo. En Poly Network, esta liquidez está controlada por contratos inteligentes especiales.

Los contratos explotados fueron EthCrossChainManager y EthCrossChainData. EthCrossChainData es propiedad de EthCrossChainManager y almacena una lista de claves públicas que pueden controlar esta liquidez (guardianes).

El atacante aprovechó una vulnerabilidad en el contrato EthCrossChainManager y pudo engañarlo para reemplazar los guardianes del contrato por los del atacante. Luego, el atacante cifoneó la liquidez del protocolo Poly Network, habiendo obtenido el control total sobre las operaciones del protocolo.

2. Bitmart – $196 millones

El 4 de diciembre de 2021, el intercambio centralizado de criptomonedas Bitmart fue atacado y se robaron $ 200 millones en activos criptográficos de su billetera caliente. Los atacantes robaron las claves privadas de las billeteras calientes del intercambio.

El intercambio de Bitmart afirmó que había perdido $ 150 millones, pero la firma de ciberseguridad blockchain Peckshield más tarde salió con una reclamo que $196 millones habían sido robados de las cadenas de bloques Ethereum y Binance Smart Chain en más de 20 criptomonedas y tokens. También mostraban la ruta en gráficos que habían recorrido los activos robados excepto el destino final. Primero, el atacante intercambió los activos robados por Ether usando el agregador DEX de 1 pulgada y luego lavó el Ether usando un mezclador de privacidad Tornado Cash. Después de eso, la traza se queda en blanco.

Este ciberataque mostró una vez más la vulnerabilidad de almacenar claves privadas en múltiples direcciones con grandes sumas en un solo servidor. Esto expuso todas las billeteras calientes del intercambio a la vez.

3. Financiamiento de la Crema – $130 millones

En el ciberataque de Cream Finance que tuvo lugar en diciembre de 2021, uno o dos piratas informáticos utilizaron múltiples protocolos (MakerDAO, AAVE, Curve, Yearn.finance) para robarle a Cream Finance un valor de USD 130 millones en tokens y criptomonedas.

La evidencia sugiere que podría haber dos atacantes, voy a suponer que sí. Se usaron dos direcciones en el ataque: la dirección A y la dirección B. La primera dirección A prestó $ 500 millones en DAI de MakerDAO y, después de arrastrar esa liquidez a través de Curve y Year.finance, los usó para acuñar 500 millones de cryUSD en Cream Finance. . Al mismo tiempo, la dirección A aumentó la liquidez en la bóveda yUSD de Yearn.finance a 511 millones de yUSDTVault.

Luego, la dirección B flash tomó prestados $ 2 mil millones en Ether de AAVE, acuñó $ 2 mil millones en cEther depositando los $ 2 mil millones ETH prestados en Cream. Luego, la dirección B lo usó para sacar 1 billón de yUSDVault y los canjeó por 1 billón de cryUSD y los transfirió a la dirección A. Por lo tanto, la dirección A obtuvo 1.5 billones de cryUSD.

Después de eso, la dirección A compró 3 millones de DUSD de Curve y los canjeó todos por yUSDVault, obteniendo así 503 millones de yUSDVault en su saldo. Luego, la dirección A canjeó 503 millones de yUSDVault por el token subyacente de yUSD y elevó el suministro total de yUSDVault a 8 millones.

Luego, la dirección A transfirió 8 millones de yUSD a la bóveda Yearn.finance yUSD y duplicó la valoración de la bóveda. Esto hizo que PriceOracleProxy de Cream duplicara la valoración de cryUSD, ya que determina el precio de cryUSD en función de (valoración de yUSD Yearn Vault) / (la oferta total de yUSDVault), es decir, 16 millones de dólares / 8 millones de yUSDVault. Por lo tanto, Cream percibió que la dirección A tenía $3 mil millones en cryUSD.

Este error finalmente le costó a Cream Finance. Los piratas informáticos pudieron devolver el préstamo flash con el exceso de liquidez que produjeron y embolsarse toda la liquidez ($ 130 millones) que estaba bloqueada en Cream Finance utilizando los $ 1 mil millones en cryUSD que les quedaban.

Los tipos de ataques más populares en 2021

Hablando de ataques a contratos inteligentes, el tipo de ataque más popular fue el ataque de préstamo flash como el descrito anteriormente. Según The Block Crypto, de los 70 ataques DeFi en 2021, 34 utilizaron préstamos rápidos, siendo el atraco de diciembre Cream Finance el pináculo en términos de la cantidad robada. El rasgo por excelencia de estos ataques es el uso de múltiples protocolos. Por sí solos, pueden ser seguros, pero cuando se trata de usar una cadena de ellos, se pueden encontrar vulnerabilidades.

Otro tipo de ataque a los contratos inteligentes que se puede clasificar como un ataque DeFi clásico es el ataque de reentrada. Puede ocurrir un ataque de reingreso si la función que llama a un contrato externo no actualiza el saldo de la dirección antes de realizar otra llamada a ese contrato. En este caso, el contrato externo puede retirar fondos recursivamente porque el saldo de la dirección en el contrato de destino no se actualiza después de cada retiro. Y estas llamadas recursivas pueden continuar hasta que se agote el saldo del contrato.

Y el tercer tipo común de ataques en 2021 fueron los ataques a los intercambios centralizados mediante el robo de la clave privada de la billetera caliente de los intercambios. Esta es una forma muy antigua de ataques cibernéticos en la historia de las criptomonedas, pero no llega a ser demasiado antigua.

¿Cómo proteger sus fondos en el espacio de las criptomonedas?

Cuando se trata de los fondos de un usuario individual, es bueno hacer la diligencia debida de la plataforma en la que desea depositar sus fondos: mire el sitio, mire las redes sociales de los miembros del equipo, mire el White Paper y el auditoría técnica. Además, sería bueno usar la funcionalidad en las billeteras de criptomonedas que permiten incluir en la lista blanca los contratos que el usuario usa regularmente, existe en la billetera Metamask y en los servicios en línea dedicados para mantener seguras las criptomonedas Unrekt y Debank. Si se ha aprobado una transferencia a un contrato desconocido, resaltarán dicho contrato.

Cuando se trata de la seguridad de un protocolo DeFi, es bueno usar la base de código de otros proyectos probados y comprobados. Pero el fundador aún debería sancionar al menos una auditoría técnica de los contratos inteligentes del proyecto. Esto es especialmente importante con los protocolos implementados en múltiples cadenas de bloques e interactuando con otros protocolos. Requieren un escrutinio especialmente riguroso durante las auditorías.