Las explotaciones de puentes costarán 2.000 millones de dólares en 2022, así es como podrían haberse evitado

En la evolución hacia un futuro multicadena completo, los puentes siguen siendo más vulnerables a los ataques que las propias redes de Criptomonedas . Solo en 2022, se robaron más de 2 mil millones de dólares en activos a partir de exploits de puentes simbólicos. Lo peor es que todos podrían haberse evitado empleando múltiples medidas de seguridad.

Al examinar algunos de los ataques de 2022, podemos comprender mejor algunas de las principales fallas del sistema y las medidas de seguridad individuales que existen o se están desarrollando para protegerse contra ellas.

Los ataques de ingeniería social son la forma más común de violaciones de seguridad. Todo el mundo ha sido objeto de un ataque de ingeniería social en algún momento de su vida, ya sea a través de phishing o trampas de miel, donde se prometen “ofertas demasiado buenas para ser verdad” a cambio de información personal.

Martin Köppelmann es cofundador de Gnosis .

Los piratas informáticos que participaron en el mayor exploit puente de 2022 utilizaron métodos similares para desviar fondos. La cadena de bloques del Cripto de alto perfil Axie Infinity fue pirateada con un esquema de phishing que involucraba ofertas de trabajo falsas en LinkedIn.

El desarrollador del juego, Sky Mavis, dijo que sus empleados recibieron ofertas de trabajo falsas e incluso se les pidió que se presentaran a múltiples rondas de entrevistas de trabajo. Cuando los empleados mordieron el anzuelo, los piratas informáticos accedieron a sus sistemas y se llevaron 625 millones de dólares de la red Ronin de Sky Mavis. Durante un análisis post mortem de lo que salió mal, Sky Mavis dijo que había sido víctima de ataques avanzados de phishing.

En septiembre de 2022, Wintermute, un Maker de mercado algorítmico, fue pirateado por 160 millones de dólares, probablemente debido a una debilidad en las claves privadas generadas por la aplicación Profanity.

La clave privada de la billetera HOT fue explotada y utilizada para drenar los fondos. Los informes decían que se detectaron fallas previamente en las direcciones de Profanity, pero la compañía no tomó estos informes en serio.

Se informó una razón similar detrás del hackeo de Slope, que resultó en una pérdida de 6 millones de dólares para la empresa.

Los contratos inteligentes son programas almacenados en una cadena de bloques que se activan cuando se cumplen ciertas condiciones predeterminadas. En términos de comercio electrónico, por ejemplo, es lo que confirma a un sitio web que un artículo debe entregarse una vez que lo ha agregado a su carrito y lo ha pagado. Por lo tanto, un error en un contrato inteligente puede permitir a los piratas informáticos activar ilegítimamente la transferencia de dinero entre cadenas de bloques sin cumplir ninguna condición.

En el caso de Nomad, los piratas informáticos pudieron drenar casi 200 millones de dólares del puente al descubrir una configuración errónea en el contrato inteligente principal que permitía a cualquier persona con un conocimiento básico del código retirar fondos.

Que estos errores y fallas de seguridad hayan sido explotados tan descaradamente por los piratas informáticos es un pensamiento preocupante, pero lo que es aún más preocupante es que los sistemas "confiables" que la gente no pensó en utilizar fueran tan fácilmente explotables.

Los estándares de puente son conjuntos de reglas que definen cómo las diferentes redes blockchain pueden comunicarse entre sí, en este caso, a través de un puente entre cadenas. Si bien algunos de estos protocolos, por sí solos, corren el riesgo de ser explotados, cuando se combinan añaden capas adicionales de seguridad muy necesarias.

Al utilizar múltiples estándares de puente al mismo tiempo, los desarrolladores pueden compensar las debilidades mostradas en un protocolo con el uso de otro protocolo. Veamos algunos estándares criptográficos que podrían usarse en combinación para agregar capas adicionales de seguridad.

La Tecnología de firma múltiple requiere la firma o aprobación de varias partes antes de que se pueda ejecutar una transacción. Puede impedir el acceso no autorizado a las redes y garantizar que ninguna parte tenga el control total.

Un estándar de puente de comité utiliza un grupo de entidades de confianza, o un comité, para gestionar la seguridad de un puente de red. Los miembros son responsables de aprobar y supervisar las transacciones de la red. Los comités son beneficiosos cuando varias organizaciones comparten el acceso a una red.

Zero Knowledge (ZK) es una técnica criptográfica que permite a dos partes intercambiar información entre sí sin la necesidad de revelar ninguna información adicional más allá de lo absolutamente necesario.

La integración de los modelos ZK elimina la necesidad del modelo de comité al permitir a los desarrolladores utilizar clientes ligeros en la cadena. Al utilizar los sistemas Zero Knowledge Proof y específicamente la propiedad de "Concisión" de un ZK-SNARK, es posible realizar de manera eficiente este proceso de verificación utilizando clientes ligeros en cadena. También es posible verificar tanto las transiciones de estado como el consenso en la cadena para lograr la máxima seguridad, similar a ejecutar un nodo completo.

Para hacer esto, el cliente ligero en cadena utiliza sistemas ZKP para demostrar que el estado de la cadena de origen es válido. Esto se hace generando una prueba que la cadena de destino puede verificar sin necesidad de conocer el estado completo de la cadena de origen. El uso de clientes ligeros en cadena puede ayudar a mejorar la seguridad y escalabilidad de las cadenas de bloques. Al verificar el estado de la cadena de origen en la cadena de destino, la cadena de destino puede tener más confianza en que el estado de la cadena de origen es preciso. Esto puede ayudar a prevenir fraudes y otras actividades maliciosas mientras se sigue trabajando para escalar la red. Como ejemplo práctico, ZK se puede utilizar para demostrar que una transacción ha sido autorizada por el propietario de una billetera en particular sin revelar la clave privada.

Algunos puentes utilizan un enfoque "optimista" para la verificación de transacciones en el que, en lugar de verificar inmediatamente cada transacción en la cadena de bloques objetivo, los puentes optimistas asumen que cada transacción es válida y luego incentivan a participantes adicionales a señalar transacciones fraudulentas para obtener una recompensa. Los fondos sólo se liquidan una vez transcurrido este período de impugnación. Esto significa que los puentes optimistas son seguros en teoría de juegos, pero no matemáticamente: dependen de que terceros presten atención a lo que está sucediendo. Todo esto a menudo se le escapa al usuario a través de proveedores de liquidez adicionales que verifican de forma independiente la veracidad de las reclamaciones puente y ponen los fondos a disposición inmediatamente en la otra cadena a cambio de una comisión de unos pocos puntos básicos.

Los puentes optimistas pueden seguir siendo bastante seguros aunque no verifiquen inmediatamente cada transacción. Esto se debe a que utilizan el método de “impugnación y disputa”; Si un usuario cree que una transacción se ha procesado incorrectamente, puede impugnar la transacción y el puente la investigará.

Al fin y al cabo, la mejor seguridad se consigue utilizando una combinación de estándares . De esta manera, si la implementación de un puente experimenta un error o una debilidad de seguridad, los otros estándares aún pueden proteger la red.

Cabe señalar que, por supuesto, los puentes todavía dependen de los mecanismos de consenso de las redes de conexión. Un puente nunca puede ser más seguro que las redes que conecta.

Los puentes son necesarios para proporcionar acceso sin restricciones a nuestro mundo de múltiples cadenas, pero tenemos que fortalecerlos de manera ingeniosa para reducir los puntos de ataque. La Tecnología Blockchain está diseñada a medida para permitir que extraños se reúnan y tomen decisiones directas e inmutables y cuanto más nos centremos en utilizar todo el alcance de las redes a nuestra disposición, más fuertes se volverán nuestros puentes.