Revisión de incidentes de seguridad de puentes cross-chain: más de 1,9 mil millones de dólares en fondos afectados, 1.55 mil millones de dólares compensados o recuperados
Existen numerosas cadenas públicas en el ecosistema de blockchain, pero debido a que la mayoría carece de activos de importancia, es necesario obtener activos a través de puentes cross-chain desde cadenas públicas principales como Ethereum. Recientemente, ha habido una serie de incidentes de seguridad en el ámbito de las finanzas descentralizadas (DeFi), y los puentes cross-chain se han convertido en el principal objetivo de los atacantes debido a su gran movimiento de fondos. Este artículo revisará los 10 incidentes de ataques a puentes cross-chain más significativos que ocurrieron en el pasado, los cuales involucraron un total de más de 1900 millones de dólares en fondos, de los cuales aproximadamente 1550 millones de dólares ya han sido pagados o recuperados.
ChainSwap: Pérdida de 8 millones de dólares, resuelta mediante la reemisión de tokens
En julio de 2021, ChainSwap sufrió dos ataques de hackers en solo 9 días. El primero causó pérdidas de aproximadamente 800,000 dólares, y el segundo fue aún más grave, con pérdidas de hasta 8,000,000 dólares, afectando a más de 20 proyectos que utilizaban ChainSwap para operaciones cross-chain.
La investigación muestra que la causa del accidente se debió a que el protocolo no verificó estrictamente la validez de las firmas, lo que permitió a los atacantes completar transacciones utilizando firmas generadas por ellos mismos. Debido a que las pérdidas involucraron principalmente los tokens de gobernanza del proyecto, varios proyectos afectados, incluyendo ChainSwap, optaron por realizar un snapshot y emitir nuevos tokens para compensar a los tenedores de tokens y proveedores de liquidez.
Poly Network: Se recuperaron todos los fondos robados por un valor de 610 millones de dólares.
El 10 de agosto de 2021, el protocolo de interoperabilidad cross-chain Poly Network sufrió un ataque a gran escala, perdiendo activos por un total de 250 millones de dólares en Ethereum, 270 millones en Binance Smart Chain y 85 millones en la red Polygon, sumando aproximadamente 610 millones de dólares.
El ataque se basó principalmente en una vulnerabilidad en la lógica de gestión de permisos del contrato de Poly Network. El atacante logró modificar la dirección del validador en la cadena objetivo, controlando así las operaciones de transferencia de activos. Aunque el atacante inicialmente utilizó tokens de privacidad para preparar los fondos, finalmente decidió devolver la totalidad de los fondos robados. Poly Network posteriormente lo llamó "hacker de sombrero blanco" y propuso contratarlo como asesor de seguridad principal.
Multichain: pérdida de 6 millones de dólares, parte de los fondos ya ha sido compensada
En enero de 2022, Multichain descubrió una vulnerabilidad importante que afectaba a varios tokens. Aunque la vulnerabilidad ha sido corregida, aún hay activos de algunos usuarios en riesgo. Según el informe oficial, un total de 7962 direcciones de usuarios se vieron afectadas, de las cuales 3101 direcciones no revocaron los permisos a tiempo.
Los fondos robados incluyen 1889.6612 WETH y 833.4191 AVAX, que al precio de ese momento se valoran en aproximadamente 6.04 millones de dólares. El equipo de seguridad analizó y señaló que la vulnerabilidad se debía a una negligencia de Multichain al verificar la legitimidad de los tokens ingresados por los usuarios. Hasta la publicación del informe, se había recuperado cerca del 50% de los fondos robados. Multichain propuso devolver esta parte de los fondos a los usuarios que habían revocado la autorización del contrato, pero no compensará las pérdidas posteriores.
QBridge: 80 millones de dólares en pérdidas, solo el 2% recibe compensación
El 28 de enero de 2022, el puente cross-chain QBridge de la plataforma de préstamos Qubit fue atacado, con pérdidas de aproximadamente 80 millones de dólares. Los atacantes aprovecharon una vulnerabilidad en QBridge que no revisaba una segunda vez la dirección cero al procesar transferencias de tokens en la lista blanca, creando una gran cantidad de tokens xETH de la nada en la red BSC y utilizando estos tokens para pedir prestados otros activos de Qubit.
Actualmente, la tasa de uso de Qubit ha disminuido drásticamente, y los datos oficiales muestran que el 98% de los fondos robados aún no han sido compensados.
Meter.io: pérdida de 4,4 millones de dólares, se compromete a compensar con futuros ingresos
El 6 de febrero de 2022, el puente cross-chain Meter Passport sufrió un ataque, causando una pérdida de 4.4 millones de dólares. La oficial indicó que el problema radicaba en la "suposición de confianza errónea" del código base, lo que permitió a los atacantes falsificar transferencias de BNB y ETH.
Meter inicialmente planeó compensar a los usuarios por las pérdidas con el token MTRG, pero luego decidió emitir un nuevo token PASS para la compensación y se comprometió a recomprar estos tokens con los ingresos futuros. Sin embargo, hasta ahora no se ha realizado ninguna operación de recompra.
Ronin: 6.2 millones de dólares en pérdidas, ya se ha pagado la totalidad
A finales de marzo de 2022, la red Ronin detrás del juego blockchain Axie Infinity sufrió un grave incidente de seguridad, con pérdidas de aproximadamente 620 millones de dólares. Los atacantes obtuvieron el control de 5 de los 9 nodos de validación de la red Ronin mediante técnicas de ingeniería social, lo que les permitió manipular la red.
Aunque los fondos robados no pudieron ser recuperados, el desarrollador de Axie Infinity, Sky Mavis, completó una financiación de 150 millones de dólares con la participación principal de Binance, destinada a compensar las pérdidas de los usuarios. A finales de junio, el puente Ronin volvió a estar en línea, y los usuarios pueden recibir compensación. Sin embargo, debido a la fuerte caída del precio de ETH durante este tiempo, el valor real de la compensación ha disminuido considerablemente.
Wormhole: 326 millones de dólares en pérdidas, ya se ha compensado en su totalidad
A principios de febrero de 2022, el protocolo cross-chain Wormhole sufrió un ataque, con una pérdida de aproximadamente 120,000 ETH, valorados en 326 millones de dólares. El atacante aprovechó una vulnerabilidad en la verificación de firmas del contrato principal de Wormhole en Solana para falsificar mensajes de "guardianes" y acuñar una gran cantidad de whETH.
Tras el accidente, Jump Crypto (el adquirente de Certus One, la empresa desarrolladora de Wormhole) inyectó rápidamente 120,000 ETH, cubriendo todas las pérdidas, y Wormhole volvió a funcionar con normalidad.
EvoDeFi: Se estima una pérdida de más de diez millones de dólares, no se ha resuelto.
A principios de junio de 2022, el USDT en el intercambio descentralizado ValleySwap del ecosistema Oasis sufrió una grave desanclaje. Este problema se originó debido a la falta de liquidez en la cadena de origen del puente cross-chain EVODeFi que utilizó. Aunque la cantidad exacta de pérdidas no se ha hecho pública, se estima que está en el rango de decenas de millones de dólares.
Después del accidente, las reacciones de las partes fueron diversas. EVODeFi culpó al pánico del mercado, mientras que el oficial de Oasis enfatizó que no tenía relación con ValleySwap y EvoDeFi, y señaló que EvoDeFi conllevaba altos riesgos. Las pérdidas de los usuarios aún no han recibido ninguna compensación, y parece que las partes relacionadas han detenido sus operaciones.
Horizon: Pérdidas de casi 100 millones de dólares, el plan de compensación aún está en discusión.
El 24 de junio de 2022, el puente cross-chain oficial Horizon de la cadena pública Harmony fue atacado, con pérdidas de aproximadamente 100 millones de dólares. El fundador de Harmony admitió posteriormente que el ataque podría haberse originado por la filtración de una clave privada. Los fondos robados involucraban varios activos en la cadena de Ethereum y BNB.
Harmony propuso inicialmente compensar parcialmente las pérdidas de los usuarios mediante la emisión adicional de tokens ONE durante 3 años, pero no logró obtener el apoyo unánime de la comunidad. Actualmente, el equipo del proyecto está revisando el plan de compensación.
Nomad: 190 millones de dólares en pérdidas, parte de los fondos se espera recuperar
A principios de agosto de 2022, el puente Nomad sufrió de repente una falta de liquidez, con una pérdida de aproximadamente 190 millones de dólares. El análisis mostró que el problema se originó en un error de bajo nivel durante una actualización del contrato, lo que permitió que cualquier persona pudiera retirar fondos del puente.
Este evento afectó a 1251 direcciones de ETH, de las cuales 12 direcciones ENS representan el 38% de la pérdida total. Aunque el equipo del proyecto aún no ha presentado un plan de compensación claro, algunos hackers éticos ya han expresado su disposición a devolver los fondos.
Resumen
La frecuencia de los accidentes de seguridad en los puentes cross-chain resalta la alta riesgo en este campo. Es importante señalar que incluso puentes de alta liquidez como Multichain, Wormhole y Poly Network han enfrentado problemas de seguridad, lo que indica que cualquier puente cross-chain puede enfrentarse a amenazas de seguridad.
Sin embargo, los proyectos con un sólido respaldo y fuerte capacidad financiera a menudo tienen más ventaja al manejar incidentes de seguridad. Por ejemplo, Poly Network, Ronin Network y Wormhole, tras sufrir el robo masivo de fondos, han podido recuperar los fondos o realizar reembolsos completos a través de diversas maneras.
Además, la monitorización en tiempo real y la respuesta rápida son clave para prevenir ataques. Por ejemplo, Hop Protocol y StarGate tomaron medidas rápidamente tras detectar actividades sospechosas, logrando detener ataques potenciales.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
12 me gusta
Recompensa
12
4
Compartir
Comentar
0/400
0xInsomnia
· 07-25 12:27
Mira, ya se decía que los puentes cross-chain son peligrosos.
Ver originalesResponder0
MetaverseVagabond
· 07-23 16:02
Los chicos ya no se atreven a usar cross-chain.
Ver originalesResponder0
blocksnark
· 07-23 15:51
¿Se perdió 1.5 mil millones? Bueno, gran pérdida.
Ver originalesResponder0
WealthCoffee
· 07-23 15:49
Las monedas que recogí en el cubo de basura de la escuela se han perdido por completo.
Resumen del ataque masivo al puente cross-chain: 1,9 mil millones de dólares afectados, 1,55 mil millones ya compensados.
Revisión de incidentes de seguridad de puentes cross-chain: más de 1,9 mil millones de dólares en fondos afectados, 1.55 mil millones de dólares compensados o recuperados
Existen numerosas cadenas públicas en el ecosistema de blockchain, pero debido a que la mayoría carece de activos de importancia, es necesario obtener activos a través de puentes cross-chain desde cadenas públicas principales como Ethereum. Recientemente, ha habido una serie de incidentes de seguridad en el ámbito de las finanzas descentralizadas (DeFi), y los puentes cross-chain se han convertido en el principal objetivo de los atacantes debido a su gran movimiento de fondos. Este artículo revisará los 10 incidentes de ataques a puentes cross-chain más significativos que ocurrieron en el pasado, los cuales involucraron un total de más de 1900 millones de dólares en fondos, de los cuales aproximadamente 1550 millones de dólares ya han sido pagados o recuperados.
ChainSwap: Pérdida de 8 millones de dólares, resuelta mediante la reemisión de tokens
En julio de 2021, ChainSwap sufrió dos ataques de hackers en solo 9 días. El primero causó pérdidas de aproximadamente 800,000 dólares, y el segundo fue aún más grave, con pérdidas de hasta 8,000,000 dólares, afectando a más de 20 proyectos que utilizaban ChainSwap para operaciones cross-chain.
La investigación muestra que la causa del accidente se debió a que el protocolo no verificó estrictamente la validez de las firmas, lo que permitió a los atacantes completar transacciones utilizando firmas generadas por ellos mismos. Debido a que las pérdidas involucraron principalmente los tokens de gobernanza del proyecto, varios proyectos afectados, incluyendo ChainSwap, optaron por realizar un snapshot y emitir nuevos tokens para compensar a los tenedores de tokens y proveedores de liquidez.
Poly Network: Se recuperaron todos los fondos robados por un valor de 610 millones de dólares.
El 10 de agosto de 2021, el protocolo de interoperabilidad cross-chain Poly Network sufrió un ataque a gran escala, perdiendo activos por un total de 250 millones de dólares en Ethereum, 270 millones en Binance Smart Chain y 85 millones en la red Polygon, sumando aproximadamente 610 millones de dólares.
El ataque se basó principalmente en una vulnerabilidad en la lógica de gestión de permisos del contrato de Poly Network. El atacante logró modificar la dirección del validador en la cadena objetivo, controlando así las operaciones de transferencia de activos. Aunque el atacante inicialmente utilizó tokens de privacidad para preparar los fondos, finalmente decidió devolver la totalidad de los fondos robados. Poly Network posteriormente lo llamó "hacker de sombrero blanco" y propuso contratarlo como asesor de seguridad principal.
Multichain: pérdida de 6 millones de dólares, parte de los fondos ya ha sido compensada
En enero de 2022, Multichain descubrió una vulnerabilidad importante que afectaba a varios tokens. Aunque la vulnerabilidad ha sido corregida, aún hay activos de algunos usuarios en riesgo. Según el informe oficial, un total de 7962 direcciones de usuarios se vieron afectadas, de las cuales 3101 direcciones no revocaron los permisos a tiempo.
Los fondos robados incluyen 1889.6612 WETH y 833.4191 AVAX, que al precio de ese momento se valoran en aproximadamente 6.04 millones de dólares. El equipo de seguridad analizó y señaló que la vulnerabilidad se debía a una negligencia de Multichain al verificar la legitimidad de los tokens ingresados por los usuarios. Hasta la publicación del informe, se había recuperado cerca del 50% de los fondos robados. Multichain propuso devolver esta parte de los fondos a los usuarios que habían revocado la autorización del contrato, pero no compensará las pérdidas posteriores.
QBridge: 80 millones de dólares en pérdidas, solo el 2% recibe compensación
El 28 de enero de 2022, el puente cross-chain QBridge de la plataforma de préstamos Qubit fue atacado, con pérdidas de aproximadamente 80 millones de dólares. Los atacantes aprovecharon una vulnerabilidad en QBridge que no revisaba una segunda vez la dirección cero al procesar transferencias de tokens en la lista blanca, creando una gran cantidad de tokens xETH de la nada en la red BSC y utilizando estos tokens para pedir prestados otros activos de Qubit.
Actualmente, la tasa de uso de Qubit ha disminuido drásticamente, y los datos oficiales muestran que el 98% de los fondos robados aún no han sido compensados.
Meter.io: pérdida de 4,4 millones de dólares, se compromete a compensar con futuros ingresos
El 6 de febrero de 2022, el puente cross-chain Meter Passport sufrió un ataque, causando una pérdida de 4.4 millones de dólares. La oficial indicó que el problema radicaba en la "suposición de confianza errónea" del código base, lo que permitió a los atacantes falsificar transferencias de BNB y ETH.
Meter inicialmente planeó compensar a los usuarios por las pérdidas con el token MTRG, pero luego decidió emitir un nuevo token PASS para la compensación y se comprometió a recomprar estos tokens con los ingresos futuros. Sin embargo, hasta ahora no se ha realizado ninguna operación de recompra.
Ronin: 6.2 millones de dólares en pérdidas, ya se ha pagado la totalidad
A finales de marzo de 2022, la red Ronin detrás del juego blockchain Axie Infinity sufrió un grave incidente de seguridad, con pérdidas de aproximadamente 620 millones de dólares. Los atacantes obtuvieron el control de 5 de los 9 nodos de validación de la red Ronin mediante técnicas de ingeniería social, lo que les permitió manipular la red.
Aunque los fondos robados no pudieron ser recuperados, el desarrollador de Axie Infinity, Sky Mavis, completó una financiación de 150 millones de dólares con la participación principal de Binance, destinada a compensar las pérdidas de los usuarios. A finales de junio, el puente Ronin volvió a estar en línea, y los usuarios pueden recibir compensación. Sin embargo, debido a la fuerte caída del precio de ETH durante este tiempo, el valor real de la compensación ha disminuido considerablemente.
Wormhole: 326 millones de dólares en pérdidas, ya se ha compensado en su totalidad
A principios de febrero de 2022, el protocolo cross-chain Wormhole sufrió un ataque, con una pérdida de aproximadamente 120,000 ETH, valorados en 326 millones de dólares. El atacante aprovechó una vulnerabilidad en la verificación de firmas del contrato principal de Wormhole en Solana para falsificar mensajes de "guardianes" y acuñar una gran cantidad de whETH.
Tras el accidente, Jump Crypto (el adquirente de Certus One, la empresa desarrolladora de Wormhole) inyectó rápidamente 120,000 ETH, cubriendo todas las pérdidas, y Wormhole volvió a funcionar con normalidad.
EvoDeFi: Se estima una pérdida de más de diez millones de dólares, no se ha resuelto.
A principios de junio de 2022, el USDT en el intercambio descentralizado ValleySwap del ecosistema Oasis sufrió una grave desanclaje. Este problema se originó debido a la falta de liquidez en la cadena de origen del puente cross-chain EVODeFi que utilizó. Aunque la cantidad exacta de pérdidas no se ha hecho pública, se estima que está en el rango de decenas de millones de dólares.
Después del accidente, las reacciones de las partes fueron diversas. EVODeFi culpó al pánico del mercado, mientras que el oficial de Oasis enfatizó que no tenía relación con ValleySwap y EvoDeFi, y señaló que EvoDeFi conllevaba altos riesgos. Las pérdidas de los usuarios aún no han recibido ninguna compensación, y parece que las partes relacionadas han detenido sus operaciones.
Horizon: Pérdidas de casi 100 millones de dólares, el plan de compensación aún está en discusión.
El 24 de junio de 2022, el puente cross-chain oficial Horizon de la cadena pública Harmony fue atacado, con pérdidas de aproximadamente 100 millones de dólares. El fundador de Harmony admitió posteriormente que el ataque podría haberse originado por la filtración de una clave privada. Los fondos robados involucraban varios activos en la cadena de Ethereum y BNB.
Harmony propuso inicialmente compensar parcialmente las pérdidas de los usuarios mediante la emisión adicional de tokens ONE durante 3 años, pero no logró obtener el apoyo unánime de la comunidad. Actualmente, el equipo del proyecto está revisando el plan de compensación.
Nomad: 190 millones de dólares en pérdidas, parte de los fondos se espera recuperar
A principios de agosto de 2022, el puente Nomad sufrió de repente una falta de liquidez, con una pérdida de aproximadamente 190 millones de dólares. El análisis mostró que el problema se originó en un error de bajo nivel durante una actualización del contrato, lo que permitió que cualquier persona pudiera retirar fondos del puente.
Este evento afectó a 1251 direcciones de ETH, de las cuales 12 direcciones ENS representan el 38% de la pérdida total. Aunque el equipo del proyecto aún no ha presentado un plan de compensación claro, algunos hackers éticos ya han expresado su disposición a devolver los fondos.
Resumen
La frecuencia de los accidentes de seguridad en los puentes cross-chain resalta la alta riesgo en este campo. Es importante señalar que incluso puentes de alta liquidez como Multichain, Wormhole y Poly Network han enfrentado problemas de seguridad, lo que indica que cualquier puente cross-chain puede enfrentarse a amenazas de seguridad.
Sin embargo, los proyectos con un sólido respaldo y fuerte capacidad financiera a menudo tienen más ventaja al manejar incidentes de seguridad. Por ejemplo, Poly Network, Ronin Network y Wormhole, tras sufrir el robo masivo de fondos, han podido recuperar los fondos o realizar reembolsos completos a través de diversas maneras.
Además, la monitorización en tiempo real y la respuesta rápida son clave para prevenir ataques. Por ejemplo, Hop Protocol y StarGate tomaron medidas rápidamente tras detectar actividades sospechosas, logrando detener ataques potenciales.