Revisión del incidente de ataque a puentes cross-chain: cerca de 2 mil millones de dólares en fondos amenazados, más de 1.55 mil millones de dólares ya recuperados o compensados.

En el ecosistema de blockchain existen numerosas cadenas públicas, pero debido a que los activos principales se concentran en unas pocas cadenas, los puentes cross-chain se han convertido en herramientas importantes para conectar activos de diferentes cadenas públicas. Sin embargo, los recientes incidentes de seguridad en DeFi han generado preocupaciones sobre la seguridad de los puentes cross-chain. Este artículo revisará los 10 incidentes de ataque más significativos a puentes cross-chain en los últimos años, resumirá las lecciones aprendidas y proporcionará referencias para equipos de desarrollo y usuarios.

ChainSwap: pérdidas de aproximadamente 8.8 millones de dólares tras dos ataques

En julio de 2021, ChainSwap sufrió dos ataques de hackers en solo 9 días. El primer ataque causó pérdidas de aproximadamente 800,000 dólares, mientras que el segundo ataque tuvo pérdidas de hasta 8,000,000 dólares, afectando a más de 20 proyectos que utilizaban ChainSwap para puentes cross-chain.

La causa del accidente se debe a que el protocolo no verificó estrictamente la validez de las firmas, lo que permitió al atacante completar la transacción utilizando una firma generada por él mismo. Dado que los activos afectados son principalmente tokens de gobernanza, ChainSwap y varios proyectos afectados han optado por compensar a los titulares y proveedores de liquidez mediante instantáneas y la reemisión de tokens.

Poly Network: 610 millones de dólares en activos robados fueron recuperados en su totalidad

El 10 de agosto de 2021, el protocolo cross-chain Poly Network sufrió un grave ataque, perdiendo aproximadamente 610 millones de dólares en activos en tres redes: Ethereum, Binance Smart Chain y Polygon.

El ataque aprovechó una vulnerabilidad en la gestión de permisos del contrato de Poly Network. El atacante logró reemplazar la dirección del validador de la cadena objetivo por una dirección controlada por él, lo que le permitió firmar y ejecutar la operación de transferencia de activos.

A pesar de que los atacantes planearon cuidadosamente y utilizaron tokens de privacidad para ocultar el origen de los fondos, finalmente decidieron devolver la totalidad de los fondos robados. Poly Network los llamó posteriormente "hackers de sombrero blanco" y propuso contratarlos como asesores de seguridad.

Multichain: $6 millones en activos dañados, casi la mitad ha sido recuperada

En enero de 2022, Multichain descubrió una grave vulnerabilidad que afectaba a varios tokens. A pesar de que la vulnerabilidad fue corregida, cerca de 8000 direcciones de usuarios se vieron afectadas, causando pérdidas de aproximadamente 6.04 millones de dólares.

El análisis del equipo de seguridad indica que la vulnerabilidad se debe a una omisión en Multichain al validar la legitimidad de los tokens ingresados por el usuario, sin considerar que no todos los tokens implementan funciones específicas. Esto provocó que los activos de ciertos usuarios autorizados fueran transferidos a direcciones maliciosas creadas por los atacantes.

Multichain actuó rápidamente, recuperando casi el 50% de los fondos robados en poco tiempo. El equipo luego propuso un plan de compensación, pero solo para los usuarios que revocaron la autorización del contrato antes de la fecha límite establecida.

QBridge: pérdida de 80 millones de dólares, solo se compensará el 2%

A finales de enero de 2022, el puente cross-chain QBridge de la plataforma de préstamos Qubit fue atacado, con pérdidas de hasta 80 millones de dólares.

Los atacantes aprovecharon una vulnerabilidad clave en QBridge al procesar las transferencias de tokens en la lista blanca. Debido a que el sistema no realizó una segunda confirmación para la dirección cero, los atacantes pudieron acuñar grandes cantidades de tokens xETH en la red BSC sin depositar ningún activo real. Estos tokens falsificados se utilizaron posteriormente como garantía para pedir prestados otros tokens de Qubit, lo que llevó al agotamiento de los fondos de la plataforma.

Actualmente, la tasa de uso de Qubit se acerca a cero, los datos oficiales muestran que aún hay un 98% de los fondos robados que no han sido compensados.

Meter.io: Pérdida de 4.4 millones de dólares, promesa de compensación de beneficios futuros

En febrero de 2022, el puente cross-chain Meter Passport sufrió un ataque, lo que resultó en una pérdida de 4.4 millones de dólares.

La explicación oficial indica que el problema radica en la "falsa suposición de confianza" en el código de extensión de Meter, lo que permite a los atacantes falsificar transferencias de BNB y ETH al invocar la función de depósito subyacente.

Meter inicialmente planeaba compensar las pérdidas de los usuarios con el token MTRG, pero después de una votación de la comunidad, se decidió emitir un nuevo token PASS como compensación, y se comprometieron a recomprar estos tokens con los ingresos futuros. Sin embargo, hasta la fecha no se ha realizado ninguna operación de recompra.

Ronin: 6.2 millones de dólares robados, ya se han compensado en su totalidad

En marzo de 2022, la cadena Ronin detrás de Axie Infinity sufrió un grave incidente de seguridad, con pérdidas de aproximadamente 620 millones de dólares. Es importante destacar que el ataque ocurrió el 23 de marzo, pero no se detectó hasta casi una semana después.

La investigación muestra que se trata de un ataque complejo de ingeniería social. Los atacantes engañaron a los empleados de Sky Mavis (desarrollador de Axie Infinity y Ronin) para que descargaran una "carta de aceptación" que contenía malware a través de un proceso de contratación falsificado. De esta manera, los hackers lograron infiltrarse en la red Ronin y controlaron varios nodos de validación.

Aunque los fondos robados no pudieron recuperarse directamente, Sky Mavis completó rápidamente una ronda de financiamiento de 150 millones de dólares para compensar las pérdidas de los usuarios. A finales de junio, el puente Ronin volvió a abrir, y los usuarios pudieron recibir compensación. Sin embargo, debido a la fuerte caída del precio de ETH durante este tiempo, el valor real de la compensación se ha reducido en aproximadamente dos tercios.

Wormhole: 3.26 millones de dólares en pérdidas, ya se ha reembolsado la cantidad total

A principios de febrero de 2022, el protocolo cross-chain Wormhole fue atacado, perdiendo alrededor de 120,000 ETH, valorados en 326 millones de dólares.

El ataque aprovechó una vulnerabilidad en el código de verificación de firma del contrato central de Wormhole en la red Solana. El atacante logró falsificar el mensaje de "guardianes", lo que le permitió acuñar una gran cantidad de whETH y retirar ETH equivalente de Ethereum.

Afortunadamente, la empresa matriz de Wormhole, Jump Crypto, inyectó rápidamente 120,000 ETH, compensando todas las pérdidas y permitiendo que Wormhole reanudara sus operaciones rápidamente.

EvoDeFi: se estima una pérdida de más de diez millones de dólares, sin ser atendida

En junio de 2022, el USDT en ValleySwap, el DEX más grande del ecosistema Oasis, se desenganchó gravemente, lo que provocó una gran pérdida de fondos. Aunque la cantidad exacta de la pérdida no se ha hecho pública, se estima en el rango de decenas de millones de dólares.

El problema radica en que el puente cross-chain EVODeFi utilizado por ValleySwap tiene una grave falta de liquidez en la cadena de origen. Aunque EVODeFi atribuye el problema al pánico del mercado, esta explicación no es convincente. Oasis, por su parte, enfatiza que no tiene relación con ValleySwap y EvoDeFi, y señala que EvoDeFi conlleva altos riesgos.

Lamentablemente, las pérdidas de los usuarios aún no han recibido ninguna solución sustancial. Las partes involucradas parecen haber optado por eludir su responsabilidad, y las redes sociales oficiales de ValleySwap y EVODeFi han dejado de actualizarse desde el incidente.

Horizon: pérdidas cercanas a 100 millones de dólares, el plan de compensación aún está en discusión.

El 24 de junio de 2022, el puente cross-chain Horizon de Harmony sufrió un ataque, lo que resultó en pérdidas de fondos de aproximadamente 100 millones de dólares.

El fundador de Harmony, Stephen Tse, admitió que el ataque probablemente fue causado por una filtración de la clave privada. El ataque involucró varios activos en la cadena de Ethereum y BNB. Después del evento, Horizon aumentó el umbral de múltiples firmas, pasando de 5 de 2 a 5 de 4.

Harmony propuso compensar parcialmente las pérdidas de los usuarios mediante la emisión adicional de tokens ONE durante un periodo de 3 años, pero no logró obtener el apoyo unánime de la comunidad. Actualmente, el equipo está revisando el plan de compensación.

Nomad: 1.9 millones de dólares en liquidez vaciada, se espera recuperar parte de los fondos

A principios de agosto de 2022, el puente cross-chain de Nomad sufrió un grave incidente de seguridad que resultó en la rápida pérdida de 190 millones de dólares en liquidez. Este evento también afectó indirectamente al protocolo de interoperabilidad Layer2 Connext, causando pérdidas de aproximadamente 3.34 millones de dólares.

La causa del accidente se debió a que Nomad inicializó incorrectamente la raíz de confianza como 0x00 durante una actualización de contrato. Esto permitió a cualquier persona extraer fondos del puentes cross-chain simplemente modificando los parámetros de la transacción.

Según el análisis, este ataque involucró 1251 direcciones ETH, de las cuales 12 direcciones ENS representan el 38% del monto total perdido. Aunque el equipo del proyecto aún no ha presentado un plan de compensación claro, algunos hackers éticos ya han expresado su disposición a devolver los fondos, lo que trae esperanza para recuperar parte de las pérdidas.

Resumen y Reflexiones

La frecuencia de accidentes de seguridad en los puentes cross-chain resalta la alta peligrosidad de este campo. Incluso los puentes cross-chain reconocidos y con alta liquidez como Multichain, Wormhole y Poly Network han enfrentado problemas de seguridad, lo que nos advierte que cualquier puente cross-chain puede estar expuesto a amenazas de seguridad.

Sin embargo, también hemos observado que los proyectos con un sólido respaldo y fuertes recursos financieros, tras sufrir incidentes de seguridad, a menudo pueden recuperar activos o compensar a los usuarios de manera más efectiva. Proyectos como Poly Network, Ronin Network y Wormhole, tras sufrir el robo de grandes sumas de dinero, han logrado realizar reembolsos totales o en su mayoría a través de diferentes métodos.

Además, la capacidad de monitoreo en tiempo real y respuesta rápida del equipo también es crucial. Por ejemplo, Hop Protocol y StarGate tomaron medidas rápidamente tras recibir informes de actividad sospechosa, deteniendo con éxito ataques potenciales.

Estas lecciones nos recuerdan que, al elegir puentes cross-chain, no solo debemos considerar su fortaleza técnica, sino también prestar atención al trasfondo del equipo del proyecto, la solidez financiera y la capacidad de gestión de riesgos. Al mismo tiempo, los usuarios también deben mantenerse alerta, revisar regularmente el estado de autorización y operar con precaución al utilizar servicios cross-chain.