Revisión de incidentes de seguridad de puentes cross-chain: las diez principales pérdidas de ataques superan los 1.9 mil millones de dólares

En los últimos años, los puentes cross-chain se han convertido en un objetivo popular para los ataques de hackers. Dado que los puentes cross-chain gestionan grandes cantidades de fondos y a menudo presentan vulnerabilidades de seguridad, se han convertido en áreas de alto riesgo. Este artículo revisa diez incidentes significativos de ataques a puentes cross-chain, que involucran un total de fondos superior a 1,9 mil millones de dólares, de los cuales aproximadamente 1,55 mil millones han sido recuperados o compensados.

1. ChainSwap: pérdidas de aproximadamente 8.8 millones de dólares debido a dos ataques

En julio de 2021, ChainSwap sufrió dos ataques en un corto período de tiempo, el primero con una pérdida de aproximadamente 800,000 dólares, y el segundo con una pérdida de aproximadamente 8,000,000 dólares. El segundo ataque afectó a más de 20 proyectos que utilizaban ChainSwap para puentes cross-chain.

Análisis de causas: el protocolo no pudo verificar estrictamente la validez de la firma, lo que permitió a los atacantes autorizar transacciones utilizando firmas generadas por ellos mismos.

Solución: varios proyectos afectados realizaron un snapshot y emitieron nuevos tokens para compensar a los poseedores y proveedores de liquidez.

2. Poly Network: perdió en un momento 610 millones de dólares, se recuperó la totalidad.

En agosto de 2021, Poly Network perdió aproximadamente 610 millones de dólares en activos en Ethereum, Binance Smart Chain y Polygon.

Técnica de ataque: aprovechando una vulnerabilidad en la gestión de permisos del contrato, el atacante modificó la dirección del validador de la cadena objetivo, controlando así la transferencia de activos.

Resultado: El atacante finalmente devolvió todos los fondos, y el equipo del proyecto lo llamó "hacker de sombrero blanco" y lo invitó a ser asesor de seguridad principal.

3. Multichain: 6 millones de dólares en pérdidas, parte ya pagada.

En enero de 2022, Multichain descubrió una importante vulnerabilidad que afectaba a seis tokens, con aproximadamente 6.04 millones de dólares en activos robados.

Causas de la vulnerabilidad: el contrato tuvo problemas al verificar la validez de los tokens ingresados por el usuario, sin considerar que no todos los tokens implementan la función permit.

Proceso: aproximadamente el 50% de los fondos robados han sido recuperados, el equipo propone devolver los fondos a los usuarios que han revocado la autorización, pero no se compensará por las pérdidas posteriores.

4. QBridge: pérdida de 80 millones de dólares, solo se reembolsó el 2%

A finales de enero de 2022, el puente cross-chain QBridge del protocolo de préstamo Qubit fue atacado, con pérdidas de aproximadamente 80 millones de dólares.

Principio del ataque: QBridge no verifica nuevamente la dirección cero, el atacante aprovecha esta vulnerabilidad para acuñar una gran cantidad de tokens xETH en BSC.

Situación: La tasa de uso de Qubit es extremadamente baja, el 98% de los fondos robados aún no han sido compensados.

5. Meter.io: pérdida de 4.4 millones de dólares, promete compensar con ingresos futuros

En febrero de 2022, el puente cross-chain Meter Passport fue atacado, causando una pérdida de 4.4 millones de dólares.

Razón: En el código de extensión de Meter existe una "suposición de confianza errónea", lo que permite a los atacantes falsificar transferencias de BNB y ETH.

Plan de compensación: emitir un nuevo token PASS para compensar a los usuarios, con el compromiso de recomprar con los ingresos futuros, pero aún no se ha implementado.

6. Ronin: pérdida de 620 millones de dólares, ya se ha compensado en su totalidad

En marzo de 2022, la cadena Ronin de Axie Infinity fue atacada, perdiendo aproximadamente 620 millones de dólares.

Técnica de ataque: obtener información de empleados de Sky Mavis a través de ingeniería social para controlar múltiples nodos de validación.

Solución: El desarrollador Sky Mavis financió 150 millones de dólares para compensar, pero la caída en el precio de ETH provocó que el valor real de la compensación disminuyera.

7. Wormhole: pérdida de 326 millones de dólares, ya compensado

En febrero de 2022, Wormhole fue atacado, perdiendo aproximadamente 120,000 ETH, por un valor de 326 millones de dólares.

Vulnerabilidad: error en la verificación de firma del contrato central de Solana, los atacantes pueden falsificar el mensaje de "guardian" para acuñar whETH.

Proceso: Jump Crypto inyecta 120,000 ETH en Wormhole para compensar las pérdidas.

8. EvoDeFi: se estima una pérdida de más de diez millones de dólares, sin resolver

En junio de 2022, USDT se desancló gravemente en el DEX ValleySwap del ecosistema Oasis, con pérdidas estimadas en millones de dólares.

Razón: la falta de liquidez en la cadena fuente del puente cross-chain EVODeFi puede permitir la existencia de una puerta trasera para robar los activos de los usuarios.

Situación: Las partes involucradas no han proporcionado una solución, sospechamos de una posible fuga.

9. Horizon: Pérdida de casi 100 millones de dólares, plan de compensación en elaboración

En junio de 2022, el puente cross-chain Horizon de Harmony fue atacado, con pérdidas de aproximadamente 100 millones de dólares.

Razón: posible filtración de la clave privada.

Progreso: se está reestructurando el plan de compensación, aún no se ha alcanzado un consenso.

10. Nomad: pérdida de 190 millones de dólares, en proceso

En agosto de 2022, la liquidez de Nomad se agotó rápidamente, con una pérdida de 190 millones de dólares.

Vulnerabilidad: la raíz de confianza fue inicializada incorrectamente durante la actualización del contrato, lo que permite que cualquier persona pueda extraer fondos.

Situación: algunos hackers de sombrero blanco han expresado su disposición a devolver los fondos, pero el plan de compensación específico aún no está definido.

Conclusión

Los accidentes de seguridad en los puentes cross-chain son frecuentes, incluso los grandes proyectos no pueden escapar de ellos. Sin embargo, los proyectos con un sólido respaldo suelen tener más ventajas en la gestión de crisis, pudiendo recuperar fondos o realizar compensaciones. Al elegir un puente cross-chain, los usuarios deben priorizar proyectos con una fuerte capacidad técnica y de respuesta a riesgos para reducir el riesgo de pérdidas potenciales.