PlayIconNav
BTC
$57,988.79-3.75%
ETH
$3,119.36-5.34%
BNB
$522.87-6.19%
SOL
$131.87-6.27%
XRP
$0.44304942-4.91%
TON
$7.25-8.43%
CD20
$1,953.61-4.90%
DOGE
$0.10745366-9.18%
ADA
$0.37084014-8.60%
TRX
$0.12825190-0.52%
AVAX
$24.83-6.52%
WBTC
$58,073.12-3.74%
Ad
Opinion

Los puentes blockchain KEEP siendo atacados. He aquí cómo prevenirlo

Los puentes Cripto son objetivos fáciles que proporcionan algunos de los mayores exploits de las criptomonedas este año.

By Coby Moran
/TranslatedBotTraducido por IA
AccessTimeIconOct 14, 2022 at 8:43 p.m. UTC
Updated Jun 14, 2024 at 3:53 p.m. UTC
(Getty Images)
(Getty Images)

Los puentes entre cadenas hacen posible la interoperabilidad dentro de la esfera blockchain. Permiten que los protocolos se comuniquen entre ONE , compartan datos y creen nuevos e interesantes casos de uso que están ayudando a impulsar a Web3 hacia nuevas fronteras. Pero como nos recuerda el exploit BNB Smart Chain de este mes, son vulnerables a los ataques.

Si queremos aprovechar el potencial que ofrecen los puentes, debemos Aprende a protegerlos.

Los puentes se han ganado con razón la reputación de ser el LINK débil de Web3 después de una serie de ataques este año. Así como los ladrones prefieren atacar los activos mientras son transportados en camionetas (en lugar de estar encerrados en bóvedas de bancos con sofisticados sistemas de seguridad), los piratas informáticos se han dado cuenta de que los tokens en tránsito son igualmente vulnerables.

Coby Moran es el investigador principal de Merkle Science, una plataforma predictiva de inteligencia y riesgos Web3. Anteriormente trabajó como analista para la Oficina Federal de Investigaciones de Estados Unidos.

También saben que hay fondos sustanciales que están cruzando estas intersecciones. Con activos totales estimados en más de 54 mil millones de dólares , las Finanzas descentralizadas (DeFi) presentan un objetivo especialmente atractivo. Incluso antes del ataque de BNB , los puentes Cripto figuraban en más de 1.600 millones de dólares de los 2.000 millones de dólares robados de los protocolos DeFi en 2022. La magnitud y regularidad de estos exploits demuestra por qué los puentes caídos están ganando notoriedad.

Según mi experiencia liderando analistas tras la pista de fondos robados (como en el reciente exploit Wintermute ), está claro que la prevención y la defensa son donde la comunidad blockchain debería centrar sus esfuerzos colectivos.

Ver también: Llamar a un hack un exploit minimiza el error Human | Opinión

La Oficina Federal de Investigaciones advirtió a los inversores que los ciberdelincuentes se están aprovechando de "la complejidad de la funcionalidad entre cadenas". Esto ciertamente se alinea con las narrativas actuales de que los puentes no sólo son vulnerables, sino también vulnerabilidades.

Pero hay maneras de prevenir los exploits. Como ex analista del FBI con tiempo en el grupo de trabajo contra el cibercrimen en Washington, DC, puedo decir que las hazañas rara vez son diabólicamente inteligentes o sofisticadas (del tipo que se puede ver en una película de Hollywood). Más bien, suelen ser violaciones de seguridad predecibles.

Ceñirse al mundo de los puentes, que normalmente se explotan tras la introducción de errores de código o claves criptográficas filtradas, suele ser razonablemente sofisticado pero previsible. Tome exploits como estos:

  • Depósitos falsos: Puentes monitorear Eventos de depósito en una cadena de bloques para iniciar una transferencia a otra. Si un mal actor puede generar un evento de depósito sin realizar un depósito real, o realiza un depósito con un token sin valor, puede retirar valor del puente del otro lado. El La redada de Qubit Finanzas en enero es un buen ejemplo, que engañó al protocolo haciéndole creer que los atacantes habían depositado dinero cuando no lo habían hecho.
  • Defectos del validador: puentes También lleve a cabo la validación del depósito antes de permitir transferencias. Los piratas informáticos pueden intentar crear depósitos falsos capaces de anular este proceso. Esto sucedió en el hack de Wormhole, donde se aprovechó una falla en la validación de la firma digital. Técnicamente, este fue un ejemplo de un exploit de contrato inteligente familiar. Pero, como estamos aprendiendo, si sucede en un puente, entonces se culpa al puente.
  • Adquisición del validador: este escenario se basa en hacerse cargo de una cierta cantidad de validadores originalmente configurados para votar sí o no en una transferencia de Criptomonedas . Al controlar la mayoría de los votos, el atacante puede aprobar cualquier transferencia. En el hackeo de Ronin Network, por ejemplo, cinco de los nueve validadores del puente se vieron comprometidos de esta manera.

Como sugieren estos ejemplos, centrarse en las deficiencias de los puentes sin abordar las medidas de seguridad a nivel del suelo no es el camino a seguir. Los puentes per se no son el problema; Después de todo, la Tecnología es agnóstica. El factor más común entre los exploits es el error Human . Las investigaciones posteriores al hackeo y las correcciones posteriores a menudo sirven para resaltar nuestra antigua tendencia a cerrar la puerta del granero solo después de que el caballo se haya escapado.

Problemas Human

Cuando realizamos investigaciones, a menudo hablamos con los miembros del equipo de un proyecto, porque, a menudo, son el objetivo de ataques. Los piratas informáticos rara vez hacen algo totalmente nuevo con cada exploit, sino que se basan en una serie de trucos antiguos.

La ingeniería social, o dirigirse a personas para obtener acceso a cuentas privilegiadas, es un ejemplo clásico. Las personas pueden hacerse amigas y bajar la guardia o acosarlas con tantas preguntas que revelen un Secret.

Tomemos como ejemplo el Ronin Bridge, una cadena lateral de Ethereum creada para Axie Infinity que permitía a los usuarios transferir activos a la red principal de Ethereum . Cinco de los nueve nodos de validación del puente se vieron comprometidos en un ataque de phishing. Posteriormente, Ronin anunció planes para aumentar este número, tuiteando que "la causa principal de nuestro ataque fue el pequeño conjunto de validadores que facilitó comprometer la red".

Ahí van esas puertas del granero, cerrándose.

También vemos que las limitaciones Human afectan la capacidad de crear código adecuado a su propósito. La actual escasez de desarrolladores significa que simplemente no hay suficientes expertos capaces de construir y analizar puentes. Si analizamos nuevamente el incidente de Wormhole, vemos que fue instigado por un error de codificación que permitió a los piratas informáticos configurar un conjunto de firmas fraudulentas que autorizaban transacciones para acuñar ether (ETH).

Si esto se hubiera descubierto antes, esta vía de ataque podría haberse cerrado. No hace falta decir que Wormhole tenía un número reducido de contribuyentes. (A la inversa, tenga en cuenta que Ethereum, con sus numerosos y grandes equipos de desarrolladores, hasta ahora ha evitado un ataque importante).

Ver también: ¿Son seguros los puentes Blockchain? Por qué los puentes son blanco de ataques

Los puentes son objetivos fáciles (puntos centrales donde se almacenan grandes sumas de dinero sin una protección sólida) y seguirán siendo atacados. Pero debemos tener en cuenta que no son sólo los puentes los que son vulnerables; Las cadenas de bloques de ambos lados corren riesgo debido a conexiones mal protegidas. Es hora de educarse y auditarse.

Educación:

  • Considere tomar una clase certificada en seguridad blockchain.
  • KEEP al día con la actualidad del espacio.
  • Cuando un exploit aparece en las noticias, investiga por tu cuenta. ¿Qué puedes Aprende que podría beneficiar tu propio proyecto?

Revisión de cuentas:

  • Asegúrese de que el nuevo código puente sea auditado antes de su lanzamiento y luego probado después.
  • Aumentar el número de validadores.
  • Verifique periódicamente si hay Eventos de depósitos falsos.
  • Establecer un grupo de trabajo de personal para centrarse en la seguridad.
  • Considere la posibilidad de utilizar expertos para realizar una auditoría. Pregunte si utilizan las últimas herramientas de seguimiento entre cadenas.
  • Ofrecer recompensas por errores te ayudará a cubrir más terreno.
  • Asegúrese de que las direcciones de contratos inteligentes se supervisen continuamente.

La conclusión es que las Cripto en su conjunto sufren un golpe financiero y de reputación cada vez que un exploit causa Waves. La respuesta es Aprende de los errores que los piratas informáticos nos enseñan una y otra vez, siendo más proactivos en nuestros esfuerzos por evitar que se repitan los errores.

Los puentes son piezas vitales de la infraestructura Web3 de las que actualmente no podemos prescindir. Y necesitamos defenderlos más eficazmente.

Disclosure

Tenga en cuenta que nuestra política de privacidad, condiciones de uso, cookies, y no vender mis datos personales ha sido actualizada.

CoinDesk es un galardonado medio de comunicación que cubre la industria de la criptomoneda. Sus periodistas siguen un conjunto estricto de políticas editoriales. En noviembre de 2023, CoinDesk fue adquirido por el grupo Bullish, propietario de Bullish, un intercambio de activos digitales regulado. El grupo Bullish es mayoritariamente propiedad de Block.one; ambas empresas tienen intereses en una variedad de negocios de blockchain y activos digitales y tenencias significativas de activos digitales, incluido bitcoin. CoinDesk opera como una subsidiaria independiente con un comité editorial para proteger la independencia periodística. Los empleados de CoinDesk, incluidos los periodistas, pueden recibir opciones en el grupo Bullish como parte de su compensación.

Learn more about Consensus 2024, CoinDesk's longest-running and most influential event that brings together all sides of crypto, blockchain and Web3. Head to consensus.coindesk.com to register and buy your pass now.