Los puentes entre cadenas hacen posible la interoperabilidad dentro de la esfera blockchain. Permiten que los protocolos se comuniquen entre ONE , compartan datos y creen nuevos e interesantes casos de uso que están ayudando a impulsar a Web3 hacia nuevas fronteras. Pero como nos recuerda el exploit BNB Smart Chain de este mes, son vulnerables a los ataques.
Si queremos aprovechar el potencial que ofrecen los puentes, debemos Aprende a protegerlos.
Los puentes se han ganado con razón la reputación de ser el LINK débil de Web3 después de una serie de ataques este año. Así como los ladrones prefieren atacar los activos mientras son transportados en camionetas (en lugar de estar encerrados en bóvedas de bancos con sofisticados sistemas de seguridad), los piratas informáticos se han dado cuenta de que los tokens en tránsito son igualmente vulnerables.
Coby Moran es el investigador principal de Merkle Science, una plataforma predictiva de inteligencia y riesgos Web3. Anteriormente trabajó como analista para la Oficina Federal de Investigaciones de Estados Unidos.
También saben que hay fondos sustanciales que están cruzando estas intersecciones. Con activos totales estimados en más de 54 mil millones de dólares , las Finanzas descentralizadas (DeFi) presentan un objetivo especialmente atractivo. Incluso antes del ataque de BNB , los puentes Cripto figuraban en más de 1.600 millones de dólares de los 2.000 millones de dólares robados de los protocolos DeFi en 2022. La magnitud y regularidad de estos exploits demuestra por qué los puentes caídos están ganando notoriedad.
- Febrero: Agujero de gusano – 375 millones de dólares
- Marzo: Puente Ronin – 624 millones de dólares
- Agosto: Puente Nómada – $190 millones
- Septiembre: Wintermute – 160 millones de dólares
Según mi experiencia liderando analistas tras la pista de fondos robados (como en el reciente exploit Wintermute ), está claro que la prevención y la defensa son donde la comunidad blockchain debería centrar sus esfuerzos colectivos.
Ver también: Llamar a un hack un exploit minimiza el error Human | Opinión
La Oficina Federal de Investigaciones advirtió a los inversores que los ciberdelincuentes se están aprovechando de "la complejidad de la funcionalidad entre cadenas". Esto ciertamente se alinea con las narrativas actuales de que los puentes no sólo son vulnerables, sino también vulnerabilidades.
Pero hay maneras de prevenir los exploits. Como ex analista del FBI con tiempo en el grupo de trabajo contra el cibercrimen en Washington, DC, puedo decir que las hazañas rara vez son diabólicamente inteligentes o sofisticadas (del tipo que se puede ver en una película de Hollywood). Más bien, suelen ser violaciones de seguridad predecibles.
Ceñirse al mundo de los puentes, que normalmente se explotan tras la introducción de errores de código o claves criptográficas filtradas, suele ser razonablemente sofisticado pero previsible. Tome exploits como estos:
- Depósitos falsos: Puentes monitorear Eventos de depósito en una cadena de bloques para iniciar una transferencia a otra. Si un mal actor puede generar un evento de depósito sin realizar un depósito real, o realiza un depósito con un token sin valor, puede retirar valor del puente del otro lado. El La redada de Qubit Finanzas en enero es un buen ejemplo, que engañó al protocolo haciéndole creer que los atacantes habían depositado dinero cuando no lo habían hecho.
- Defectos del validador: puentes También lleve a cabo la validación del depósito antes de permitir transferencias. Los piratas informáticos pueden intentar crear depósitos falsos capaces de anular este proceso. Esto sucedió en el hack de Wormhole, donde se aprovechó una falla en la validación de la firma digital. Técnicamente, este fue un ejemplo de un exploit de contrato inteligente familiar. Pero, como estamos aprendiendo, si sucede en un puente, entonces se culpa al puente.
- Adquisición del validador: este escenario se basa en hacerse cargo de una cierta cantidad de validadores originalmente configurados para votar sí o no en una transferencia de Criptomonedas . Al controlar la mayoría de los votos, el atacante puede aprobar cualquier transferencia. En el hackeo de Ronin Network, por ejemplo, cinco de los nueve validadores del puente se vieron comprometidos de esta manera.
Como sugieren estos ejemplos, centrarse en las deficiencias de los puentes sin abordar las medidas de seguridad a nivel del suelo no es el camino a seguir. Los puentes per se no son el problema; Después de todo, la Tecnología es agnóstica. El factor más común entre los exploits es el error Human . Las investigaciones posteriores al hackeo y las correcciones posteriores a menudo sirven para resaltar nuestra antigua tendencia a cerrar la puerta del granero solo después de que el caballo se haya escapado.
Problemas Human
Cuando realizamos investigaciones, a menudo hablamos con los miembros del equipo de un proyecto, porque, a menudo, son el objetivo de ataques. Los piratas informáticos rara vez hacen algo totalmente nuevo con cada exploit, sino que se basan en una serie de trucos antiguos.
La ingeniería social, o dirigirse a personas para obtener acceso a cuentas privilegiadas, es un ejemplo clásico. Las personas pueden hacerse amigas y bajar la guardia o acosarlas con tantas preguntas que revelen un Secret.
Tomemos como ejemplo el Ronin Bridge, una cadena lateral de Ethereum creada para Axie Infinity que permitía a los usuarios transferir activos a la red principal de Ethereum . Cinco de los nueve nodos de validación del puente se vieron comprometidos en un ataque de phishing. Posteriormente, Ronin anunció planes para aumentar este número, tuiteando que "la causa principal de nuestro ataque fue el pequeño conjunto de validadores que facilitó comprometer la red".
Ahí van esas puertas del granero, cerrándose.
También vemos que las limitaciones Human afectan la capacidad de crear código adecuado a su propósito. La actual escasez de desarrolladores significa que simplemente no hay suficientes expertos capaces de construir y analizar puentes. Si analizamos nuevamente el incidente de Wormhole, vemos que fue instigado por un error de codificación que permitió a los piratas informáticos configurar un conjunto de firmas fraudulentas que autorizaban transacciones para acuñar ether (ETH).
Si esto se hubiera descubierto antes, esta vía de ataque podría haberse cerrado. No hace falta decir que Wormhole tenía un número reducido de contribuyentes. (A la inversa, tenga en cuenta que Ethereum, con sus numerosos y grandes equipos de desarrolladores, hasta ahora ha evitado un ataque importante).
Los puentes son objetivos fáciles (puntos centrales donde se almacenan grandes sumas de dinero sin una protección sólida) y seguirán siendo atacados. Pero debemos tener en cuenta que no son sólo los puentes los que son vulnerables; Las cadenas de bloques de ambos lados corren riesgo debido a conexiones mal protegidas. Es hora de educarse y auditarse.
Educación:
- Considere tomar una clase certificada en seguridad blockchain.
- KEEP al día con la actualidad del espacio.
- Cuando un exploit aparece en las noticias, investiga por tu cuenta. ¿Qué puedes Aprende que podría beneficiar tu propio proyecto?
Revisión de cuentas:
- Asegúrese de que el nuevo código puente sea auditado antes de su lanzamiento y luego probado después.
- Aumentar el número de validadores.
- Verifique periódicamente si hay Eventos de depósitos falsos.
- Establecer un grupo de trabajo de personal para centrarse en la seguridad.
- Considere la posibilidad de utilizar expertos para realizar una auditoría. Pregunte si utilizan las últimas herramientas de seguimiento entre cadenas.
- Ofrecer recompensas por errores te ayudará a cubrir más terreno.
- Asegúrese de que las direcciones de contratos inteligentes se supervisen continuamente.
La conclusión es que las Cripto en su conjunto sufren un golpe financiero y de reputación cada vez que un exploit causa Waves. La respuesta es Aprende de los errores que los piratas informáticos nos enseñan una y otra vez, siendo más proactivos en nuestros esfuerzos por evitar que se repitan los errores.
Los puentes son piezas vitales de la infraestructura Web3 de las que actualmente no podemos prescindir. Y necesitamos defenderlos más eficazmente.