Revisión de eventos de seguridad de puentes cross-chain: pérdidas cercanas a 2 mil millones de dólares, más de 1.5 mil millones de dólares ya recuperados o compensados.
En el ecosistema de blockchain existen cientos de cadenas públicas, pero debido a que muchas cadenas carecen de activos de mercado, es necesario obtener activos a través de puentes cross-chain desde cadenas públicas principales como Ethereum. Recientemente, los incidentes de seguridad en el ámbito DeFi han aumentado, y los puentes cross-chain se han convertido en el principal objetivo de los atacantes debido a su alta liquidez de fondos. Este artículo revisará los 10 incidentes más significativos de ataques a puentes cross-chain que han ocurrido en el pasado, resumirá las lecciones aprendidas y recordará a los equipos de desarrollo y a los usuarios que mantengan la vigilancia.
Cabe destacar que los proyectos de puentes cross-chain con un sólido respaldo y suficiente financiamiento, a menudo pueden recuperar activos de manera más efectiva o proporcionar compensación a los usuarios después de sufrir un incidente de seguridad. Por lo tanto, es una decisión sabia que los usuarios consideren la fuerza y la reputación del proyecto al elegir un puente cross-chain.
ChainSwap: Pérdida de 8 millones de dólares, reinicio del proyecto
En julio de 2021, ChainSwap sufrió dos ataques de hackers, con una pérdida total de aproximadamente 8.8 millones de dólares. El segundo ataque tuvo un alcance más amplio, afectando a más de 20 proyectos que utilizan ChainSwap para puentes cross-chain.
La investigación muestra que la causa del ataque fue que el protocolo no verificó estrictamente la validez de las firmas, lo que permitió al atacante utilizar firmas generadas por él mismo para completar las transacciones. Dado que las pérdidas involucraron principalmente los tokens de gobernanza del proyecto, varios proyectos afectados, incluido ChainSwap, optaron por hacer un snapshot y reemitir los tokens para compensar a los titulares de tokens y a los proveedores de liquidez.
Poly Network: 610 millones de dólares robados, recuperados en su totalidad
El 10 de agosto de 2021, el protocolo de interoperabilidad cross-chain Poly Network sufrió un ataque a gran escala, con una pérdida total de aproximadamente 610 millones de dólares en activos en Ethereum, Binance Smart Chain y Polygon.
Los atacantes aprovecharon una vulnerabilidad en la lógica de gestión de permisos del contrato de Poly Network, modificando la dirección del validador en la cadena objetivo y logrando transferir una gran cantidad de activos. A pesar de la sofisticación del método de ataque, el hacker finalmente devolvió todos los fondos robados. Poly Network luego lo llamó "hacker de sombrero blanco" y propuso contratarlo como asesor de seguridad principal.
Multichain: pérdida de 6 millones de dólares, parte ya pagada
En enero de 2022, Multichain descubrió una vulnerabilidad importante que afectaba a varios tokens. Aunque la vulnerabilidad fue reparada, algunos usuarios todavía sufrieron pérdidas debido a que no revocaron sus autorizaciones a tiempo, totalizando aproximadamente 6.04 millones de dólares.
El equipo de seguridad de Slow Mist analizó y señaló que la causa del ataque fue una vulnerabilidad en Multichain al verificar la legitimidad de los tokens ingresados por los usuarios, ya que no tuvo en cuenta que no todos los tokens subyacentes implementan la función permit. Después del incidente, se ha recuperado cerca del 50% de los fondos robados y el equipo del proyecto también ha propuesto un plan de compensación.
QBridge: 80 millones de dólares en pérdidas, el progreso de la compensación es lento
El 28 de enero de 2022, el puentes cross-chain QBridge del protocolo de préstamos Qubit fue atacado, con una pérdida de aproximadamente 80 millones de dólares.
El atacante aprovechó una vulnerabilidad en QBridge al no verificar nuevamente la dirección cero al procesar las transferencias de tokens en la lista blanca. Al establecer la dirección del token ERC20 en la dirección cero, el atacante acuñó una gran cantidad de tokens xETH en BSC sin haber depositado ningún token, y utilizó esto como garantía para pedir prestados otros tokens.
Actualmente, la tasa de uso de Qubit ha disminuido drásticamente, y el 98% de los fondos robados aún no ha sido compensado.
Meter.io: pérdida de 4.4 millones de dólares, compromiso de indemnización de futuros ingresos
El 6 de febrero de 2022, el puente cross-chain Meter Passport fue atacado, causando una pérdida de 4.4 millones de dólares.
Meter oficial indicó que el problema radica en la "asunción de confianza errónea" en su código fuente de expansión, lo que permite a los atacantes falsificar transferencias de BNB y ETH. El equipo del proyecto inicialmente planeó compensar las pérdidas con el token MTRG, pero luego decidió emitir un nuevo token PASS como compensación y se comprometió a recomprar estos tokens con los ingresos futuros.
Ronin: 6.2 millones de dólares robados, se ha compensado en su totalidad
En marzo de 2022, la cadena Ronin detrás de Axie Infinity sufrió un grave incidente de seguridad, con pérdidas de aproximadamente 620 millones de dólares. Este ataque ocurrió en realidad el 23 de marzo, pero no fue descubierto hasta seis días después.
Una investigación muestra que los atacantes obtuvieron la confianza de los empleados de Sky Mavis a través de técnicas de ingeniería social, lo que les permitió controlar múltiples nodos de validación de la red Ronin. Aunque los fondos robados no pudieron ser recuperados, Sky Mavis compensó a los usuarios a través de una financiación de 150 millones de dólares.
Wormhole: 326 millones de dólares en pérdidas, ya se ha compensado la totalidad
El 3 de febrero de 2022, el protocolo de interoperabilidad cross-chain Wormhole fue atacado, con una pérdida de aproximadamente 120,000 ETH, valorados en 326 millones de dólares.
La razón del ataque fue una vulnerabilidad en el código de verificación de firmas del contrato central de Wormhole en Solana, que permitió a los atacantes falsificar mensajes de "guardianes" para acuñar whETH. Después del incidente, Jump Crypto rápidamente invirtió 120,000 ETH para compensar las pérdidas, lo que permitió que Wormhole reanudara su funcionamiento.
EvoDeFi: pérdidas estimadas en decenas de millones de dólares, aún no resueltas
El 7 de junio de 2022, el USDT en el DEX ValleySwap del ecosistema Oasis sufrió un grave desanclaje. Este problema se debe a la falta de liquidez en la cadena de origen del puente cross-chain EVODeFi que utiliza.
Aunque se desconoce la cantidad exacta de las pérdidas, se estima que está en el rango de decenas de millones de dólares. Lamentablemente, ni Oasis oficial, ValleySwap ni EVODeFi han podido proporcionar soluciones efectivas para los usuarios.
Horizon: Pérdida de casi 100 millones de dólares, el plan de compensación está en desarrollo
El 24 de junio de 2022, el puente cross-chain Horizon de Harmony fue atacado, lo que resultó en una pérdida de fondos de aproximadamente 100 millones de dólares.
El fundador de Harmony, Stephen Tse, admitió que el ataque podría haber sido causado por la filtración de la clave privada. El equipo del proyecto había propuesto compensar a los usuarios por las pérdidas mediante la emisión adicional de tokens ONE en un plazo de 3 años, pero la propuesta no logró obtener el consenso de la comunidad. Actualmente, se está elaborando un nuevo plan de compensación.
Nomad: 190 millones de dólares robados, parte de los fondos podría recuperarse
El 2 de agosto de 2022, el puente cross-chain de Nomad sufrió un grave accidente de seguridad, lo que resultó en la pérdida de 190 millones de dólares. Este evento también afectó al protocolo de interoperabilidad Layer2 Connext, causando pérdidas de aproximadamente 3.34 millones de dólares.
El análisis muestra que el ataque se originó porque Nomad inicializó incorrectamente la raíz de confianza como 0x00 durante una actualización de contrato, lo que permitió a cualquiera extraer fondos fácilmente del puentes cross-chain. Actualmente, algunos hackers éticos han expresado su disposición a devolver los fondos, pero el equipo del proyecto aún no ha presentado un plan de compensación claro.
Conclusión
La frecuencia de los accidentes de seguridad en los puentes cross-chain destaca la alta riesgo de este campo. Incluso proyectos de puentes cross-chain de gran tamaño y bien posicionados, como Multichain, Portal (Wormhole) y Poly Network, han enfrentado problemas de seguridad. Esto nos advierte que cualquier puente cross-chain puede enfrentar amenazas a la seguridad.
Sin embargo, también hemos observado que los proyectos con un sólido respaldo y financiación adecuada suelen ser más efectivos para recuperar activos o proporcionar compensación a los usuarios en caso de incidentes de seguridad. Por ejemplo, Poly Network, Ronin Network y Wormhole, después de sufrir robos masivos de fondos, pudieron recuperar parte de los fondos o realizaron compensaciones adecuadas.
Además, el monitoreo en tiempo real y la respuesta rápida por parte del equipo del proyecto son cruciales. Como Hop Protocol y StarGate, que actuaron rápidamente tras recibir informes de actividades sospechosas, lograron detener ataques potenciales.
Por lo tanto, para los usuarios, al elegir puentes cross-chain, además de considerar factores técnicos, también se debe evaluar el trasfondo del proyecto, la fortaleza financiera y la capacidad de respuesta ante riesgos. Para el equipo de desarrollo, las auditorías de seguridad continuas, la reparación oportuna de vulnerabilidades y un mecanismo de respuesta de emergencia completo son elementos clave para garantizar la seguridad de los puentes cross-chain.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Revisión de seguridad de puentes cross-chain: Pérdida de 2000 millones de dólares, 75% ya recuperado o compensado
Revisión de eventos de seguridad de puentes cross-chain: pérdidas cercanas a 2 mil millones de dólares, más de 1.5 mil millones de dólares ya recuperados o compensados.
En el ecosistema de blockchain existen cientos de cadenas públicas, pero debido a que muchas cadenas carecen de activos de mercado, es necesario obtener activos a través de puentes cross-chain desde cadenas públicas principales como Ethereum. Recientemente, los incidentes de seguridad en el ámbito DeFi han aumentado, y los puentes cross-chain se han convertido en el principal objetivo de los atacantes debido a su alta liquidez de fondos. Este artículo revisará los 10 incidentes más significativos de ataques a puentes cross-chain que han ocurrido en el pasado, resumirá las lecciones aprendidas y recordará a los equipos de desarrollo y a los usuarios que mantengan la vigilancia.
Cabe destacar que los proyectos de puentes cross-chain con un sólido respaldo y suficiente financiamiento, a menudo pueden recuperar activos de manera más efectiva o proporcionar compensación a los usuarios después de sufrir un incidente de seguridad. Por lo tanto, es una decisión sabia que los usuarios consideren la fuerza y la reputación del proyecto al elegir un puente cross-chain.
ChainSwap: Pérdida de 8 millones de dólares, reinicio del proyecto
En julio de 2021, ChainSwap sufrió dos ataques de hackers, con una pérdida total de aproximadamente 8.8 millones de dólares. El segundo ataque tuvo un alcance más amplio, afectando a más de 20 proyectos que utilizan ChainSwap para puentes cross-chain.
La investigación muestra que la causa del ataque fue que el protocolo no verificó estrictamente la validez de las firmas, lo que permitió al atacante utilizar firmas generadas por él mismo para completar las transacciones. Dado que las pérdidas involucraron principalmente los tokens de gobernanza del proyecto, varios proyectos afectados, incluido ChainSwap, optaron por hacer un snapshot y reemitir los tokens para compensar a los titulares de tokens y a los proveedores de liquidez.
Poly Network: 610 millones de dólares robados, recuperados en su totalidad
El 10 de agosto de 2021, el protocolo de interoperabilidad cross-chain Poly Network sufrió un ataque a gran escala, con una pérdida total de aproximadamente 610 millones de dólares en activos en Ethereum, Binance Smart Chain y Polygon.
Los atacantes aprovecharon una vulnerabilidad en la lógica de gestión de permisos del contrato de Poly Network, modificando la dirección del validador en la cadena objetivo y logrando transferir una gran cantidad de activos. A pesar de la sofisticación del método de ataque, el hacker finalmente devolvió todos los fondos robados. Poly Network luego lo llamó "hacker de sombrero blanco" y propuso contratarlo como asesor de seguridad principal.
Multichain: pérdida de 6 millones de dólares, parte ya pagada
En enero de 2022, Multichain descubrió una vulnerabilidad importante que afectaba a varios tokens. Aunque la vulnerabilidad fue reparada, algunos usuarios todavía sufrieron pérdidas debido a que no revocaron sus autorizaciones a tiempo, totalizando aproximadamente 6.04 millones de dólares.
El equipo de seguridad de Slow Mist analizó y señaló que la causa del ataque fue una vulnerabilidad en Multichain al verificar la legitimidad de los tokens ingresados por los usuarios, ya que no tuvo en cuenta que no todos los tokens subyacentes implementan la función permit. Después del incidente, se ha recuperado cerca del 50% de los fondos robados y el equipo del proyecto también ha propuesto un plan de compensación.
QBridge: 80 millones de dólares en pérdidas, el progreso de la compensación es lento
El 28 de enero de 2022, el puentes cross-chain QBridge del protocolo de préstamos Qubit fue atacado, con una pérdida de aproximadamente 80 millones de dólares.
El atacante aprovechó una vulnerabilidad en QBridge al no verificar nuevamente la dirección cero al procesar las transferencias de tokens en la lista blanca. Al establecer la dirección del token ERC20 en la dirección cero, el atacante acuñó una gran cantidad de tokens xETH en BSC sin haber depositado ningún token, y utilizó esto como garantía para pedir prestados otros tokens.
Actualmente, la tasa de uso de Qubit ha disminuido drásticamente, y el 98% de los fondos robados aún no ha sido compensado.
Meter.io: pérdida de 4.4 millones de dólares, compromiso de indemnización de futuros ingresos
El 6 de febrero de 2022, el puente cross-chain Meter Passport fue atacado, causando una pérdida de 4.4 millones de dólares.
Meter oficial indicó que el problema radica en la "asunción de confianza errónea" en su código fuente de expansión, lo que permite a los atacantes falsificar transferencias de BNB y ETH. El equipo del proyecto inicialmente planeó compensar las pérdidas con el token MTRG, pero luego decidió emitir un nuevo token PASS como compensación y se comprometió a recomprar estos tokens con los ingresos futuros.
Ronin: 6.2 millones de dólares robados, se ha compensado en su totalidad
En marzo de 2022, la cadena Ronin detrás de Axie Infinity sufrió un grave incidente de seguridad, con pérdidas de aproximadamente 620 millones de dólares. Este ataque ocurrió en realidad el 23 de marzo, pero no fue descubierto hasta seis días después.
Una investigación muestra que los atacantes obtuvieron la confianza de los empleados de Sky Mavis a través de técnicas de ingeniería social, lo que les permitió controlar múltiples nodos de validación de la red Ronin. Aunque los fondos robados no pudieron ser recuperados, Sky Mavis compensó a los usuarios a través de una financiación de 150 millones de dólares.
Wormhole: 326 millones de dólares en pérdidas, ya se ha compensado la totalidad
El 3 de febrero de 2022, el protocolo de interoperabilidad cross-chain Wormhole fue atacado, con una pérdida de aproximadamente 120,000 ETH, valorados en 326 millones de dólares.
La razón del ataque fue una vulnerabilidad en el código de verificación de firmas del contrato central de Wormhole en Solana, que permitió a los atacantes falsificar mensajes de "guardianes" para acuñar whETH. Después del incidente, Jump Crypto rápidamente invirtió 120,000 ETH para compensar las pérdidas, lo que permitió que Wormhole reanudara su funcionamiento.
EvoDeFi: pérdidas estimadas en decenas de millones de dólares, aún no resueltas
El 7 de junio de 2022, el USDT en el DEX ValleySwap del ecosistema Oasis sufrió un grave desanclaje. Este problema se debe a la falta de liquidez en la cadena de origen del puente cross-chain EVODeFi que utiliza.
Aunque se desconoce la cantidad exacta de las pérdidas, se estima que está en el rango de decenas de millones de dólares. Lamentablemente, ni Oasis oficial, ValleySwap ni EVODeFi han podido proporcionar soluciones efectivas para los usuarios.
Horizon: Pérdida de casi 100 millones de dólares, el plan de compensación está en desarrollo
El 24 de junio de 2022, el puente cross-chain Horizon de Harmony fue atacado, lo que resultó en una pérdida de fondos de aproximadamente 100 millones de dólares.
El fundador de Harmony, Stephen Tse, admitió que el ataque podría haber sido causado por la filtración de la clave privada. El equipo del proyecto había propuesto compensar a los usuarios por las pérdidas mediante la emisión adicional de tokens ONE en un plazo de 3 años, pero la propuesta no logró obtener el consenso de la comunidad. Actualmente, se está elaborando un nuevo plan de compensación.
Nomad: 190 millones de dólares robados, parte de los fondos podría recuperarse
El 2 de agosto de 2022, el puente cross-chain de Nomad sufrió un grave accidente de seguridad, lo que resultó en la pérdida de 190 millones de dólares. Este evento también afectó al protocolo de interoperabilidad Layer2 Connext, causando pérdidas de aproximadamente 3.34 millones de dólares.
El análisis muestra que el ataque se originó porque Nomad inicializó incorrectamente la raíz de confianza como 0x00 durante una actualización de contrato, lo que permitió a cualquiera extraer fondos fácilmente del puentes cross-chain. Actualmente, algunos hackers éticos han expresado su disposición a devolver los fondos, pero el equipo del proyecto aún no ha presentado un plan de compensación claro.
Conclusión
La frecuencia de los accidentes de seguridad en los puentes cross-chain destaca la alta riesgo de este campo. Incluso proyectos de puentes cross-chain de gran tamaño y bien posicionados, como Multichain, Portal (Wormhole) y Poly Network, han enfrentado problemas de seguridad. Esto nos advierte que cualquier puente cross-chain puede enfrentar amenazas a la seguridad.
Sin embargo, también hemos observado que los proyectos con un sólido respaldo y financiación adecuada suelen ser más efectivos para recuperar activos o proporcionar compensación a los usuarios en caso de incidentes de seguridad. Por ejemplo, Poly Network, Ronin Network y Wormhole, después de sufrir robos masivos de fondos, pudieron recuperar parte de los fondos o realizaron compensaciones adecuadas.
Además, el monitoreo en tiempo real y la respuesta rápida por parte del equipo del proyecto son cruciales. Como Hop Protocol y StarGate, que actuaron rápidamente tras recibir informes de actividades sospechosas, lograron detener ataques potenciales.
Por lo tanto, para los usuarios, al elegir puentes cross-chain, además de considerar factores técnicos, también se debe evaluar el trasfondo del proyecto, la fortaleza financiera y la capacidad de respuesta ante riesgos. Para el equipo de desarrollo, las auditorías de seguridad continuas, la reparación oportuna de vulnerabilidades y un mecanismo de respuesta de emergencia completo son elementos clave para garantizar la seguridad de los puentes cross-chain.