Revisión de incidentes de seguridad de puentes cross-chain: 10 grandes ataques causaron pérdidas cercanas a 2000 millones de dólares

Los puentes cross-chain desempeñan un papel importante en el ecosistema blockchain, pero los ataques frecuentes también ponen de manifiesto sus riesgos de seguridad. Este artículo revisa 10 importantes incidentes de ataques a puentes cross-chain ocurridos en los últimos años, con un monto total de fondos involucrados cercano a los 2000 millones de dólares, de los cuales aproximadamente 1550 millones de dólares han sido recuperados o compensados. Estos casos destacan la importancia de la seguridad de los puentes cross-chain y brindan valiosas experiencias para la industria.

ChainSwap: pérdidas de 8 millones de dólares en dos ataques

En julio de 2021, ChainSwap sufrió dos ataques en solo 9 días; el primero resultó en una pérdida de aproximadamente 800,000 dólares, y el segundo en una pérdida de aproximadamente 8,000,000 dólares. El segundo ataque tuvo un impacto más amplio, afectando a más de 20 proyectos que utilizaron ChainSwap para realizar puentes cross-chain.

La investigación muestra que el ataque aprovechó una vulnerabilidad en el protocolo en la verificación de la validez de las firmas. Para compensar las pérdidas, varios proyectos como ChainSwap compensaron a los usuarios mediante instantáneas y la reemisión de tokens.

Poly Network: 6.1 millones de dólares fueron robados y recuperados en su totalidad

En agosto de 2021, el protocolo cross-chain Poly Network sufrió un ataque masivo, con pérdidas de activos en Ethereum, Binance Smart Chain y Polygon que totalizaron aproximadamente 610 millones de dólares.

Los atacantes aprovecharon una vulnerabilidad en la gestión de permisos del contrato de Poly Network y lograron modificar la dirección del validador en la cadena objetivo. A pesar de la magnitud del ataque, los hackers finalmente devolvieron todos los fondos robados. Poly Network los llamó "hackers de sombrero blanco" y los invitó a actuar como asesores de seguridad.

Multichain: Se ha compensado una pérdida de 600 millones de dólares por un fallo.

En enero de 2022, Multichain descubrió una vulnerabilidad importante que afectaba a varios tokens. Aunque la vulnerabilidad ha sido reparada, aún hay algunos activos de los usuarios que enfrentan riesgos. Al final, aproximadamente 6,04 millones de dólares en activos fueron robados, involucrando 7962 direcciones de usuarios.

El análisis muestra que la vulnerabilidad se originó en la negligencia de Multichain al verificar la legitimidad de los tokens enviados por los usuarios. La oficina ha recuperado casi el 50% de los fondos robados y ha iniciado una propuesta para compensar a los usuarios a quienes se les revocó la autorización.

QBridge: solo se indemniza el 2% de la pérdida de 80 millones de dólares

En enero de 2022, el puente cross-chain QBridge del protocolo de préstamos Qubit fue atacado, con pérdidas de aproximadamente 80 millones de dólares. Los atacantes aprovecharon una vulnerabilidad en el manejo de transferencias de tokens en la lista blanca de QBridge, logrando acuñar una gran cantidad de tokens falsos y agotando las garantías de Qubit.

Actualmente, la tasa de uso de Qubit ha disminuido drásticamente, el 98% de los fondos robados aún no ha sido compensado.

Meter.io: Compromiso de compensar la pérdida de 4.4 millones de dólares con ingresos futuros

En febrero de 2022, el puente cross-chain Meter Passport fue atacado, causando una pérdida de 4.4 millones de dólares. Las autoridades afirmaron que el problema radicaba en la "hipótesis de confianza errónea" en el código subyacente.

Meter inicialmente planeó compensar con el token MTRG, pero luego cambió a emitir un nuevo token PASS y prometió recomprar con los ingresos futuros. Sin embargo, hasta ahora no se ha realizado ninguna recompra.

Ronin: Financiación completa tras el robo de 620 millones de dólares

En marzo de 2022, la cadena Ronin detrás de Axie Infinity sufrió un importante ataque de 620 millones de dólares. La investigación mostró que los atacantes obtuvieron acceso al sistema mediante técnicas de ingeniería social.

El desarrollador Sky Mavis obtuvo una financiación de 150 millones de dólares liderada por Binance, destinada a compensar las pérdidas de los usuarios. A finales de junio, el puente Ronin volvió a estar en línea, y los usuarios pueden recibir compensación. Sin embargo, debido a la fuerte caída del precio de ETH, el valor real de la compensación ha disminuido.

Wormhole: 3.26 millones de dólares en pérdidas recibieron compensación inmediata

En febrero de 2022, el protocolo cross-chain Wormhole fue atacado, con pérdidas de aproximadamente 326 millones de dólares. La vulnerabilidad se originó en un error de verificación de firma en el contrato del lado de Solana.

Jump Crypto inyectó rápidamente 120,000 ETH en Wormhole, compensando todas las pérdidas. Wormhole volvió a funcionar rápidamente.

EvoDeFi: se estima que las pérdidas superan los diez millones de dólares sin ser tratadas

En junio de 2022, debido a problemas con el puente cross-chain de EVO DeFi, el USDT de ValleySwap, un DEX en la cadena Oasis, se despegó gravemente. La cantidad exacta de las pérdidas es desconocida, pero se estima que está en el rango de decenas de millones de dólares.

La causa del evento podría ser que EVO DeFi robó los activos de los usuarios a través de una puerta trasera. Las partes involucradas están ansiosas por desvincularse, y las pérdidas de los usuarios no han sido resueltas hasta ahora.

Horizon: Se está elaborando un plan de compensación por pérdidas de cerca de 100 millones de dólares.

En junio de 2022, el puente oficial de Harmony, Horizon, fue atacado, con pérdidas de aproximadamente 100 millones de dólares. La oficial reconoció que podría haber sido causado por la filtración de claves privadas.

Harmony propuso compensar a través de la emisión adicional de tokens durante 3 años, pero no obtuvo el apoyo de la comunidad. Actualmente se está reformulando el plan de compensación.

Nomad: 1.9 millones de dólares robados, parte de los fondos podría ser recuperada

En agosto de 2022, el puente Nomad sufrió un ataque de 190 millones de dólares. El análisis muestra que la vulnerabilidad se originó en un error de configuración de parámetros durante una actualización del contrato.

El ataque involucró 1251 direcciones, de las cuales las direcciones ENS representan el 38% del monto total. Algunos hackers de sombrero blanco han expresado su disposición a devolver los fondos, pero el equipo del proyecto aún no ha proporcionado un plan de compensación claro.

Resumen

Los puentes cross-chain son frecuentemente atacados, lo que resalta su alta naturaleza de riesgo. Incluso los proyectos más destacados tienen dificultades para evitar completamente los riesgos de seguridad. En comparación, los proyectos con un fuerte respaldo y capital tienen un mejor desempeño en la gestión de crisis, y son más capaces de recuperar activos o compensar a los usuarios.

Es crucial detectar y gestionar rápidamente actividades sospechosas. Protocolos como Hop y StarGate han logrado detener ataques de hackers. La seguridad de los puentes cross-chain aún requiere el esfuerzo continuo de todos los actores de la industria para seguir mejorando.