Revisión de incidentes de seguridad de puentes cross-chain: los diez ataques involucraron más de 1.9 mil millones de dólares.

Los puentes cross-chain, como infraestructura clave que conecta diferentes redes de blockchain, han sido objeto de ataques frecuentes en los últimos años, resultando en pérdidas significativas de fondos. Este artículo revisa diez incidentes de seguridad importantes relacionados con puentes cross-chain, que en total implicaron más de 1,9 mil millones de dólares, de los cuales aproximadamente 1,55 mil millones de dólares han sido recuperados o compensados. Estos casos destacan los desafíos de seguridad que enfrentan los puentes cross-chain y ofrecen valiosas lecciones para la industria.

ChainSwap: pérdidas de aproximadamente 8 millones de dólares tras dos ataques

En julio de 2021, ChainSwap sufrió dos ataques en solo 9 días. La primera pérdida fue de aproximadamente 800,000 dólares, y la segunda pérdida se amplió a 8 millones de dólares, afectando a más de 20 proyectos que utilizaban ChainSwap para puentes cross-chain.

La razón del ataque radica en que el protocolo no verificó estrictamente la validez de las firmas, lo que permitió a los atacantes completar transacciones utilizando firmas generadas por ellos mismos. Dado que los tokens de gobernanza fueron los más afectados, varios proyectos optaron por tomar un snapshot y reemitir tokens para compensar a los poseedores.

Poly Network: 610 millones de dólares en fondos robados recuperados en su totalidad

En agosto de 2021, el protocolo cross-chain Poly Network sufrió un ataque significativo, perdiendo aproximadamente 610 millones de dólares en activos en Ethereum, Binance Smart Chain y Polygon.

El ataque aprovechó una vulnerabilidad en la gestión de permisos del contrato, y el atacante logró modificar la dirección del validador en la cadena de destino. A pesar de una preparación inicial adecuada, el hacker finalmente decidió devolver todos los fondos, y Poly Network también lo calificó como un hacker "de sombrero blanco".

Multichain: se han pagado 6 millones de dólares en pérdidas por vulnerabilidades.

En enero de 2022, Multichain descubrió una vulnerabilidad importante que afecta a varios tokens. Aproximadamente 7962 direcciones de usuario se vieron afectadas, lo que resultó en una pérdida de 6,04 millones de dólares.

La vulnerabilidad se debe a la falta de verificación adecuada de la validez del Token ingresado por el usuario. La oficialidad ha recuperado cerca del 50% de los fondos robados y ha propuesto un plan de compensación, pero este se limita a los usuarios que revocaron su autorización a tiempo.

QBridge: pérdida de 80 millones de dólares solo reembolsa el 2%

A finales de enero de 2022, el puente cross-chain QBridge de la plataforma de préstamos Qubit fue atacado, con una pérdida de aproximadamente 80 millones de dólares.

Los atacantes aprovecharon la vulnerabilidad de QBridge al procesar transferencias de tokens en la lista blanca, logrando acuñar una gran cantidad de xETH en BSC y vaciar las garantías de Qubit. Actualmente, la tasa de uso de Qubit es baja y el 98% de los fondos robados aún no han sido compensados.

Meter.io: Pérdida de 4.4 millones de dólares compensada con ingresos futuros

En febrero de 2022, el puente cross-chain Meter Passport fue atacado, causando una pérdida de 4,4 millones de dólares.

El problema radica en la "suposición de confianza errónea" en el código subyacente, que permite a los atacantes falsificar transferencias de BNB y ETH. Meter compensa emitiendo un nuevo token PASS, prometiendo recomprarlo con ingresos futuros, pero aún no se ha implementado.

Ronin: compensación total tras el robo de 620 millones de dólares

En marzo de 2022, la cadena Ronin utilizada por Axie Infinity sufrió un ataque importante de 620 millones de dólares.

El ataque se originó en técnicas de ingeniería social, donde los hackers infiltraron el sistema a través de ofertas de trabajo falsas y finalmente controlaron múltiples nodos de validación. A pesar de que los fondos robados no pudieron ser recuperados, los desarrolladores de Sky Mavis lograron recaudar 150 millones de dólares a través de financiamiento para compensar las pérdidas de los usuarios.

Wormhole: Pérdida de 326 millones de dólares recibida como compensación inmediata

En febrero de 2022, el protocolo cross-chain Wormhole fue atacado, con pérdidas de aproximadamente 326 millones de dólares.

El ataque aprovechó una vulnerabilidad de verificación de firmas en el contrato de Solana. La empresa adquiriente, Jump Crypto, rápidamente reabasteció con ETH equivalente, lo que permitió que Wormhole reanudara sus operaciones.

EvoDeFi: presunto backdoor para robar activos de usuarios

En junio de 2022, USDT en el DEX ValleySwap del ecosistema Oasis se desancló gravemente, causando pérdidas estimadas en decenas de millones de dólares.

El problema se debe a la falta de liquidez en la cadena de origen del puente cross-chain EVODeFi utilizado. Se especula que podría ser un robo de activos de los usuarios a través de una puerta trasera. Actualmente, las partes involucradas no han ofrecido una solución, y las pérdidas de los usuarios no se pueden recuperar.

Horizon: Pérdida de casi 100 millones de dólares, el plan de compensación aún se está elaborando

En junio de 2022, el puente cross-chain Horizon de Harmony fue atacado, causando pérdidas de aproximadamente 100 millones de dólares.

La oficialidad admite que el ataque podría haber sido causado por la filtración de claves privadas. Actualmente se están negociando nuevos planes de compensación con la comunidad.

Nomad: 190 millones de dólares robados, parte de los fondos podría ser recuperada

En agosto de 2022, el puente cross-chain de Nomad sufrió un ataque significativo de 190 millones de dólares.

El ataque se originó en un error de inicialización durante una actualización de contrato. Aún no hay un plan de compensación claro, pero algunos hackers éticos ya han expresado su disposición a devolver los fondos.

Resumen

Estos casos muestran que incluso los proyectos de puentes cross-chain líderes enfrentan serias amenazas de seguridad. En comparación, los proyectos con un sólido respaldo tienen una ventaja en la gestión de crisis, a menudo siendo capaces de proteger mejor los intereses de los usuarios. Al mismo tiempo, la monitorización efectiva en tiempo real y los mecanismos de respuesta rápida son clave para prevenir ataques. Los problemas de seguridad de los puentes cross-chain aún requieren la atención y mejora continua de la industria.