Revisión de incidentes de seguridad de puentes cross-chain: Análisis de 10 casos de ataques importantes
Existen numerosas cadenas públicas en el ecosistema de blockchain, pero debido a la falta de activos mainstream, muchos proyectos se ven obligados a depender de puentes cross-chain para obtener activos de cadenas públicas principales como Ethereum. Sin embargo, recientemente ha habido una serie de incidentes de seguridad en el ámbito DeFi, y los puentes cross-chain, debido a su alto flujo de fondos y operaciones frecuentes, se han convertido en el principal objetivo de los atacantes. Este artículo revisará los 10 incidentes más significativos de ataques a puentes cross-chain que han ocurrido en el pasado, recordando a los equipos de desarrollo que se mantengan alerta ante los riesgos de seguridad. Es importante señalar que los proyectos de puentes cross-chain con un sólido respaldo suelen tener más capacidad para recuperar activos o compensar a los usuarios tras un incidente de seguridad, por lo que elegir puentes cross-chain más sólidos puede ser una opción más segura para los usuarios.
ChainSwap: Pérdida de 8 millones de dólares, reemisión de tokens
En julio de 2021, ChainSwap sufrió dos ataques de hackers consecutivos, perdiendo aproximadamente 800,000 dólares en el primero y hasta 8,000,000 dólares en el segundo. El segundo ataque tuvo un impacto más amplio, afectando a más de 20 proyectos que utilizaron ChainSwap para realizar puentes cross-chain.
Tras la investigación, la causa del accidente se debió a que el protocolo no verificaba estrictamente la validez de las firmas, lo que permitió a los atacantes autorizar transacciones utilizando firmas generadas por ellos mismos. Dado que las pérdidas implicaban principalmente el token de gobernanza del proyecto, varios proyectos, incluidos ChainSwap, decidieron realizar un snapshot y emitir nuevos tokens para compensar a los tenedores de tokens y a los proveedores de liquidez.
Poly Network: 610 millones de dólares robados, todos recuperados
El 10 de agosto de 2021, el protocolo de interoperabilidad cross-chain Poly Network sufrió un ataque masivo, perdiendo activos por un total de 250 millones, 270 millones y 85 millones de dólares en las redes Ethereum, Binance Smart Chain y Polygon, respectivamente, con una pérdida total de 610 millones de dólares.
El ataque se aprovechó principalmente de una vulnerabilidad en la lógica de gestión de permisos del contrato de Poly Network. El atacante logró modificar la dirección del validador en la cadena de destino, obteniendo así los permisos de firma para la transferencia de activos. A pesar de que el atacante utilizó inicialmente el token de privacidad XMR como fuente de fondos, finalmente optó por devolver todos los fondos robados. Poly Network luego lo denominó "hacker de sombrero blanco" y propuso contratarlo como asesor de seguridad principal de la empresa.
Multichain: pérdida de 6 millones de dólares, parte de los fondos ya ha sido recuperada
En enero de 2022, Multichain descubrió una vulnerabilidad importante que afecta a varios tokens. Aunque la vulnerabilidad ha sido corregida, algunos usuarios aún sufrieron pérdidas debido a que no revocaron sus autorizaciones a tiempo. Según las estadísticas, se robaron un total de 1889.6612 WETH y 833.4191 AVAX, lo que equivale a aproximadamente 6 millones de dólares según el precio de ese momento.
El equipo de seguridad de Slow Mist analizó y señaló que el accidente se debió a una omisión en la verificación de la legitimidad de los tokens enviados por los usuarios en Multichain, ya que no se consideró que no todos los tokens subyacentes implementaron la función de permiso. Hasta el momento de la publicación del informe de investigación oficial, se había recuperado cerca del 50% de los fondos robados. El equipo propuso una propuesta para reembolsar los fondos, pero no compensará las pérdidas ocurridas después del 18 de febrero.
QBridge: pérdida de 80 millones de dólares, el progreso de la compensación es lento
El 28 de enero de 2022, el puente cross-chain QBridge del protocolo de préstamos Qubit fue atacado, con una pérdida de aproximadamente 80 millones de dólares. Los atacantes aprovecharon una vulnerabilidad en QBridge al no verificar nuevamente la dirección cero al procesar transferencias de tokens en la lista blanca, logrando acuñar una gran cantidad de tokens xETH de la nada en BSC y utilizando estos tokens para pedir prestados otros activos de Qubit.
Actualmente, la tasa de uso de Qubit ha disminuido drásticamente, y los datos oficiales muestran que aún hay un 98% de los fondos robados que no han sido compensados.
Meter.io: pérdida de 4.4 millones de dólares, se compromete a compensar con ingresos futuros
El 6 de febrero de 2022, el puente cross-chain Meter Passport fue atacado, causando pérdidas de 4,4 millones de dólares. La oficina oficial de Meter declaró que el problema radicaba en una "suposición de confianza errónea" en el código fuente ampliado, lo que permitió a los atacantes falsificar transferencias de BNB y ETH.
Meter inicialmente planeó compensar las pérdidas de los usuarios con el token MTRG, pero después de una votación de la comunidad, se decidió emitir un nuevo token PASS para la compensación, y se comprometió a recomprar el token PASS con los ingresos futuros. Sin embargo, hasta ahora no se ha realizado ninguna operación de recompra.
Ronin: 6.2 millones de dólares en pérdidas, ya se ha pagado el monto total
En marzo de 2022, la cadena Ronin detrás de Axie Infinity sufrió un robo masivo de fondos, con pérdidas de hasta 620 millones de dólares. Este ataque se originó a partir de un ataque de ingeniería social meticulosamente planeado, en el que los atacantes se hicieron pasar por una empresa de reclutamiento, logrando infiltrarse en el sistema de Sky Mavis y, finalmente, controlando varios nodos de validación de la red Ronin.
A pesar de que los fondos robados no pudieron ser recuperados, Sky Mavis logró compensar a los usuarios mediante una financiación de 150 millones de dólares liderada por Binance. Es notable que, debido a la fuerte caída del precio de ETH durante el período desde el ataque hasta el pago, el valor real de la compensación fue menor que en el momento del ataque.
Wormhole: 326 millones de dólares en pérdidas, ya se ha compensado completamente
El 3 de febrero de 2022, el protocolo cross-chain Wormhole fue atacado, resultando en una pérdida de aproximadamente 120,000 ETH, con un valor de 326 millones de dólares. El atacante aprovechó una vulnerabilidad en la verificación de firmas del contrato principal de Wormhole en Solana, logrando falsificar un mensaje de "guardianes" para acuñar whETH.
Afortunadamente, Jump Crypto (el adquirente de Certus One, la empresa desarrolladora de Wormhole) inyectó rápidamente 120,000 ETH, compensando las pérdidas de Wormhole y permitiendo que reanudara sus operaciones.
EvoDeFi: Se estima que las pérdidas superan los diez millones de dólares y aún no se ha resuelto.
En junio de 2022, el USDT en el DEX ValleySwap del ecosistema Oasis se desancló gravemente, causando grandes pérdidas a los usuarios. El problema se originó por la falta de liquidez en la cadena de origen en el puente cross-chain EVODeFi utilizado. Aunque EVODeFi culpó al pánico provocado por el FUD, la oficina oficial de Oasis ha dejado claro que se desvincula de ValleySwap y EvoDeFi, señalando que EvoDeFi presenta un alto riesgo y no ha sido auditado.
Actualmente no hay una solución para las pérdidas de los usuarios, los canales oficiales de ValleySwap y EVODeFi han dejado de actualizarse, se sospecha que el equipo del proyecto ha huido.
Horizon: Pérdida de casi 100 millones de dólares, el plan de compensación aún está en elaboración.
El 24 de junio de 2022, el puente cross-chain Horizon de Harmony fue atacado, lo que resultó en una pérdida de fondos de aproximadamente 100 millones de dólares. El fundador de Harmony, Stephen Tse, admitió que el ataque probablemente se debió a una "filtración de claves privadas". Los activos robados involucraron varios tokens, incluidos BUSD, USDC, ETH y WBTC.
Harmony propuso compensar a los usuarios por las pérdidas mediante la emisión adicional de tokens ONE durante un período de 3 años, pero no logró obtener el apoyo unánime de la comunidad. Actualmente, el equipo del proyecto está reestructurando el plan de compensación.
Nomad: 190 millones de dólares en pérdidas, se espera recuperar parte de los fondos
El 2 de agosto de 2022, el puente cross-chain de Nomad sufrió un grave accidente de seguridad, lo que provocó una rápida pérdida de liquidez de 190 millones de dólares. El accidente también afectó a otro protocolo de interoperabilidad de Layer2, Connext, causando pérdidas colaterales de aproximadamente 3.34 millones de dólares.
Según el análisis de los expertos, este accidente se originó porque Nomad inicializó incorrectamente la raíz de confianza como 0x00 durante una actualización de contrato, lo que permitió que cualquier persona pudiera utilizar transacciones válidas para extraer fondos del puentes cross-chain. Actualmente, algunos hackers éticos han expresado su disposición a devolver los fondos, pero el equipo del proyecto aún no ha presentado un plan de compensación claro.
Resumen
La frecuencia de los accidentes de seguridad en los puentes cross-chain resalta la alta riesgo en este campo. Incluso los puentes cross-chain líderes en el mercado como Multichain, Wormhole y Poly Network han enfrentado problemas de seguridad, lo que nos advierte que cualquier puente cross-chain puede enfrentar amenazas de seguridad.
Cabe destacar que los proyectos de puentes cross-chain con un sólido respaldo y fuerte poder financiero, tras enfrentar incidentes de seguridad, suelen tener una mayor capacidad para recuperar activos o proporcionar compensación a los usuarios. Por ejemplo, Poly Network, Ronin Network y Wormhole, tras sufrir robos masivos de fondos, pudieron recuperar con éxito los fondos o realizar un reembolso completo.
Además, la capacidad de monitoreo en tiempo real y respuesta rápida del equipo también es crucial. Proyectos como Hop Protocol y StarGate pueden actuar rápidamente tras recibir informes de actividades sospechosas, logrando detener con éxito ataques potenciales. Esto subraya la importancia de la monitorización continua y la rápida respuesta en el mantenimiento de la seguridad de los puentes cross-chain.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
16 me gusta
Recompensa
16
9
Republicar
Compartir
Comentar
0/400
retroactive_airdrop
· 07-17 13:29
cross-chain Qué peligroso
Ver originalesResponder0
FlashLoanLord
· 07-17 11:06
Esto no es más que una nueva forma de ser engañados.
Ver originalesResponder0
ForkItAll
· 07-16 16:35
equipo detrás del proyecto背大锅呗
Ver originalesResponder0
SingleForYears
· 07-14 15:23
¿Quién puede cargar con esta olla?
Ver originalesResponder0
OnchainDetective
· 07-14 15:21
Los puentes cross-chain son realmente emocionantes, es como jugarse la vida.
Ver originalesResponder0
ForkMaster
· 07-14 15:07
¿Un proyecto que ha sido vulnerado cuatro veces consecutivas tiene el descaro de aconsejar mejorar la conciencia de seguridad?
Análisis de 10 importantes casos de ataques a puentes cross-chain: riesgos de seguridad y recuperación de fondos
Revisión de incidentes de seguridad de puentes cross-chain: Análisis de 10 casos de ataques importantes
Existen numerosas cadenas públicas en el ecosistema de blockchain, pero debido a la falta de activos mainstream, muchos proyectos se ven obligados a depender de puentes cross-chain para obtener activos de cadenas públicas principales como Ethereum. Sin embargo, recientemente ha habido una serie de incidentes de seguridad en el ámbito DeFi, y los puentes cross-chain, debido a su alto flujo de fondos y operaciones frecuentes, se han convertido en el principal objetivo de los atacantes. Este artículo revisará los 10 incidentes más significativos de ataques a puentes cross-chain que han ocurrido en el pasado, recordando a los equipos de desarrollo que se mantengan alerta ante los riesgos de seguridad. Es importante señalar que los proyectos de puentes cross-chain con un sólido respaldo suelen tener más capacidad para recuperar activos o compensar a los usuarios tras un incidente de seguridad, por lo que elegir puentes cross-chain más sólidos puede ser una opción más segura para los usuarios.
ChainSwap: Pérdida de 8 millones de dólares, reemisión de tokens
En julio de 2021, ChainSwap sufrió dos ataques de hackers consecutivos, perdiendo aproximadamente 800,000 dólares en el primero y hasta 8,000,000 dólares en el segundo. El segundo ataque tuvo un impacto más amplio, afectando a más de 20 proyectos que utilizaron ChainSwap para realizar puentes cross-chain.
Tras la investigación, la causa del accidente se debió a que el protocolo no verificaba estrictamente la validez de las firmas, lo que permitió a los atacantes autorizar transacciones utilizando firmas generadas por ellos mismos. Dado que las pérdidas implicaban principalmente el token de gobernanza del proyecto, varios proyectos, incluidos ChainSwap, decidieron realizar un snapshot y emitir nuevos tokens para compensar a los tenedores de tokens y a los proveedores de liquidez.
Poly Network: 610 millones de dólares robados, todos recuperados
El 10 de agosto de 2021, el protocolo de interoperabilidad cross-chain Poly Network sufrió un ataque masivo, perdiendo activos por un total de 250 millones, 270 millones y 85 millones de dólares en las redes Ethereum, Binance Smart Chain y Polygon, respectivamente, con una pérdida total de 610 millones de dólares.
El ataque se aprovechó principalmente de una vulnerabilidad en la lógica de gestión de permisos del contrato de Poly Network. El atacante logró modificar la dirección del validador en la cadena de destino, obteniendo así los permisos de firma para la transferencia de activos. A pesar de que el atacante utilizó inicialmente el token de privacidad XMR como fuente de fondos, finalmente optó por devolver todos los fondos robados. Poly Network luego lo denominó "hacker de sombrero blanco" y propuso contratarlo como asesor de seguridad principal de la empresa.
Multichain: pérdida de 6 millones de dólares, parte de los fondos ya ha sido recuperada
En enero de 2022, Multichain descubrió una vulnerabilidad importante que afecta a varios tokens. Aunque la vulnerabilidad ha sido corregida, algunos usuarios aún sufrieron pérdidas debido a que no revocaron sus autorizaciones a tiempo. Según las estadísticas, se robaron un total de 1889.6612 WETH y 833.4191 AVAX, lo que equivale a aproximadamente 6 millones de dólares según el precio de ese momento.
El equipo de seguridad de Slow Mist analizó y señaló que el accidente se debió a una omisión en la verificación de la legitimidad de los tokens enviados por los usuarios en Multichain, ya que no se consideró que no todos los tokens subyacentes implementaron la función de permiso. Hasta el momento de la publicación del informe de investigación oficial, se había recuperado cerca del 50% de los fondos robados. El equipo propuso una propuesta para reembolsar los fondos, pero no compensará las pérdidas ocurridas después del 18 de febrero.
QBridge: pérdida de 80 millones de dólares, el progreso de la compensación es lento
El 28 de enero de 2022, el puente cross-chain QBridge del protocolo de préstamos Qubit fue atacado, con una pérdida de aproximadamente 80 millones de dólares. Los atacantes aprovecharon una vulnerabilidad en QBridge al no verificar nuevamente la dirección cero al procesar transferencias de tokens en la lista blanca, logrando acuñar una gran cantidad de tokens xETH de la nada en BSC y utilizando estos tokens para pedir prestados otros activos de Qubit.
Actualmente, la tasa de uso de Qubit ha disminuido drásticamente, y los datos oficiales muestran que aún hay un 98% de los fondos robados que no han sido compensados.
Meter.io: pérdida de 4.4 millones de dólares, se compromete a compensar con ingresos futuros
El 6 de febrero de 2022, el puente cross-chain Meter Passport fue atacado, causando pérdidas de 4,4 millones de dólares. La oficina oficial de Meter declaró que el problema radicaba en una "suposición de confianza errónea" en el código fuente ampliado, lo que permitió a los atacantes falsificar transferencias de BNB y ETH.
Meter inicialmente planeó compensar las pérdidas de los usuarios con el token MTRG, pero después de una votación de la comunidad, se decidió emitir un nuevo token PASS para la compensación, y se comprometió a recomprar el token PASS con los ingresos futuros. Sin embargo, hasta ahora no se ha realizado ninguna operación de recompra.
Ronin: 6.2 millones de dólares en pérdidas, ya se ha pagado el monto total
En marzo de 2022, la cadena Ronin detrás de Axie Infinity sufrió un robo masivo de fondos, con pérdidas de hasta 620 millones de dólares. Este ataque se originó a partir de un ataque de ingeniería social meticulosamente planeado, en el que los atacantes se hicieron pasar por una empresa de reclutamiento, logrando infiltrarse en el sistema de Sky Mavis y, finalmente, controlando varios nodos de validación de la red Ronin.
A pesar de que los fondos robados no pudieron ser recuperados, Sky Mavis logró compensar a los usuarios mediante una financiación de 150 millones de dólares liderada por Binance. Es notable que, debido a la fuerte caída del precio de ETH durante el período desde el ataque hasta el pago, el valor real de la compensación fue menor que en el momento del ataque.
Wormhole: 326 millones de dólares en pérdidas, ya se ha compensado completamente
El 3 de febrero de 2022, el protocolo cross-chain Wormhole fue atacado, resultando en una pérdida de aproximadamente 120,000 ETH, con un valor de 326 millones de dólares. El atacante aprovechó una vulnerabilidad en la verificación de firmas del contrato principal de Wormhole en Solana, logrando falsificar un mensaje de "guardianes" para acuñar whETH.
Afortunadamente, Jump Crypto (el adquirente de Certus One, la empresa desarrolladora de Wormhole) inyectó rápidamente 120,000 ETH, compensando las pérdidas de Wormhole y permitiendo que reanudara sus operaciones.
EvoDeFi: Se estima que las pérdidas superan los diez millones de dólares y aún no se ha resuelto.
En junio de 2022, el USDT en el DEX ValleySwap del ecosistema Oasis se desancló gravemente, causando grandes pérdidas a los usuarios. El problema se originó por la falta de liquidez en la cadena de origen en el puente cross-chain EVODeFi utilizado. Aunque EVODeFi culpó al pánico provocado por el FUD, la oficina oficial de Oasis ha dejado claro que se desvincula de ValleySwap y EvoDeFi, señalando que EvoDeFi presenta un alto riesgo y no ha sido auditado.
Actualmente no hay una solución para las pérdidas de los usuarios, los canales oficiales de ValleySwap y EVODeFi han dejado de actualizarse, se sospecha que el equipo del proyecto ha huido.
Horizon: Pérdida de casi 100 millones de dólares, el plan de compensación aún está en elaboración.
El 24 de junio de 2022, el puente cross-chain Horizon de Harmony fue atacado, lo que resultó en una pérdida de fondos de aproximadamente 100 millones de dólares. El fundador de Harmony, Stephen Tse, admitió que el ataque probablemente se debió a una "filtración de claves privadas". Los activos robados involucraron varios tokens, incluidos BUSD, USDC, ETH y WBTC.
Harmony propuso compensar a los usuarios por las pérdidas mediante la emisión adicional de tokens ONE durante un período de 3 años, pero no logró obtener el apoyo unánime de la comunidad. Actualmente, el equipo del proyecto está reestructurando el plan de compensación.
Nomad: 190 millones de dólares en pérdidas, se espera recuperar parte de los fondos
El 2 de agosto de 2022, el puente cross-chain de Nomad sufrió un grave accidente de seguridad, lo que provocó una rápida pérdida de liquidez de 190 millones de dólares. El accidente también afectó a otro protocolo de interoperabilidad de Layer2, Connext, causando pérdidas colaterales de aproximadamente 3.34 millones de dólares.
Según el análisis de los expertos, este accidente se originó porque Nomad inicializó incorrectamente la raíz de confianza como 0x00 durante una actualización de contrato, lo que permitió que cualquier persona pudiera utilizar transacciones válidas para extraer fondos del puentes cross-chain. Actualmente, algunos hackers éticos han expresado su disposición a devolver los fondos, pero el equipo del proyecto aún no ha presentado un plan de compensación claro.
Resumen
La frecuencia de los accidentes de seguridad en los puentes cross-chain resalta la alta riesgo en este campo. Incluso los puentes cross-chain líderes en el mercado como Multichain, Wormhole y Poly Network han enfrentado problemas de seguridad, lo que nos advierte que cualquier puente cross-chain puede enfrentar amenazas de seguridad.
Cabe destacar que los proyectos de puentes cross-chain con un sólido respaldo y fuerte poder financiero, tras enfrentar incidentes de seguridad, suelen tener una mayor capacidad para recuperar activos o proporcionar compensación a los usuarios. Por ejemplo, Poly Network, Ronin Network y Wormhole, tras sufrir robos masivos de fondos, pudieron recuperar con éxito los fondos o realizar un reembolso completo.
Además, la capacidad de monitoreo en tiempo real y respuesta rápida del equipo también es crucial. Proyectos como Hop Protocol y StarGate pueden actuar rápidamente tras recibir informes de actividades sospechosas, logrando detener con éxito ataques potenciales. Esto subraya la importancia de la monitorización continua y la rápida respuesta en el mantenimiento de la seguridad de los puentes cross-chain.