Análisis del mayor ataque hacker en la historia de Web3

El 21 de febrero de 2025, un conocido intercambio de criptomonedas sufrió un grave incidente de seguridad en su billetera fría de Ethereum, lo que provocó la transferencia de aproximadamente 1,460 millones de dólares en activos criptográficos a una dirección desconocida. Este evento se considera uno de los ataques de hacker más grandes en la historia de Web3, lo que ha suscitado una amplia preocupación en la industria sobre problemas de seguridad.

Revisión del proceso de ataque

El atacante, a través de medios de phishing cuidadosamente diseñados, indujo a los firmantes de la billetera de múltiples firmas a aprobar una transacción maliciosa. Los pasos específicos son los siguientes:

1. Desplegar previamente contratos maliciosos que contengan puertas traseras para la transferencia de fondos.
2. Manipular la interfaz frontal de Safe, de modo que la información de la transacción que ve el firmante no coincida con los datos enviados realmente a la billetera de hardware.
3. Obtener tres firmas válidas a través de una interfaz falsificada, reemplazar el contrato de implementación de la billetera multi-firma Safe por una versión maliciosa.
4. Controlar la billetera fría y transferir grandes cantidades de activos criptográficos.

Investigación revela

La empresa de seguridad Sygnia, encargada de realizar la investigación forense, ha publicado un informe preliminar, cuyos hallazgos principales incluyen:

• Se encontró código JavaScript malicioso inyectado en el bucket AWS S3 de Safe.
• El análisis del código muestra que su objetivo principal es alterar el contenido de la transacción durante el proceso de firma.
• La fuente del ataque parece provenir de la infraestructura de AWS de Safe, y no del propio sistema de la plataforma de intercambio.
• Poco después de completar la transacción, el código malicioso fue eliminado del bucket S3.

La investigación aún está en curso para confirmar estos hallazgos preliminares.

Análisis de vulnerabilidades de seguridad

Este incidente expuso varias vulnerabilidades de seguridad clave:

1. Seguridad de almacenamiento en la nube: El bucket de AWS S3 fue hackeado, lo que provocó la alteración del código JavaScript.
2. Validación del lado del cliente insuficiente: El frontend de Safe no ha implementado la validación básica de SRI( de integridad de los subrecursos).
3. Limitaciones de la billetera de hardware: incapaz de analizar y mostrar datos de transacción complejos, lo que lleva al riesgo de "firma ciega".
4. Mecanismo de firma múltiple ineficaz: no logró prevenir eficazmente la ejecución de transacciones maliciosas.

Nuevos desafíos de seguridad en el frontend de Web3

Con el desarrollo de la tecnología Web3, los límites entre la seguridad del frontend y la seguridad de la blockchain son cada vez más difusos. Las vulnerabilidades tradicionales del frontend adquieren nuevas dimensiones de ataque en el entorno Web3, mientras que las vulnerabilidades de los contratos inteligentes y los problemas de gestión de claves privadas amplifican aún más el riesgo.

Escenario uno: modificación de parámetros de la transacción

Los atacantes pueden manipular el código del front-end para hacer que la información de la transacción mostrada en la interfaz de usuario no coincida con las operaciones realmente ejecutadas. Por ejemplo, el usuario ve una operación de transferencia, mientras que la operación realmente ejecutada es una de autorización.

Solución: utilizar la verificación de firmas estructuradas EIP-712 para garantizar que los datos generados en el front-end puedan ser verificados en el contrato inteligente, evitando la alteración de parámetros.

Escenario dos: secuestro de firma ciega

Los atacantes pueden inducir a los usuarios a firmar transacciones que parecen inofensivas pero que en realidad son peligrosas, alterando las reglas de análisis de la billetera de hardware.

Solución: actualizar el firmware de la billetera de hardware para soportar EIP-712 e implementar un emparejamiento semántico obligatorio en la cadena para asegurar la coherencia y seguridad del contenido de la transacción.

Sugerencias de seguridad

1. Implementar un mecanismo de verificación de seguridad en múltiples niveles, que incluya el frontend, billeteras de hardware y contratos inteligentes.
2. Fortalecer la gestión de la seguridad del almacenamiento en la nube y de la infraestructura.
3. Mejorar la capacidad de análisis y visualización de transacciones de las billeteras de hardware.
4. Realizar auditorías de seguridad y escaneos de vulnerabilidades de forma regular.
5. Fomentar la conciencia de seguridad en los usuarios, estar alerta a diversas técnicas de phishing y fraudes.

Conclusión

El ataque masivo de hackers que sufrió Bybit destaca los problemas profundos en la gestión de la seguridad y la arquitectura técnica de la industria de las criptomonedas. Con la evolución constante de los métodos de ataque, la industria necesita mejorar integralmente su capacidad de defensa en múltiples niveles, desde la seguridad de los dispositivos, la validación de transacciones hasta los mecanismos de control de riesgos. Los desarrolladores front-end deben realizar una verificación estricta en cada etapa, como el acceso a DApp, la conexión de billeteras, la firma de mensajes y la firma de transacciones, logrando una transición de la defensa pasiva a la inmunidad activa. Solo así se puede proteger verdaderamente el valor de cada transacción y la confianza de los usuarios en el mundo abierto de Web3.