Análisis de seguridad de Finanzas descentralizadas: Revisión de eventos significativos de 2022

En 2022, la industria de Web3 enfrentó varios incidentes de seguridad significativos, con un monto total de hasta 4.3 mil millones de dólares. Este artículo analizará en profundidad ocho casos típicos, la mayoría de los cuales implicaron pérdidas de más de 100 millones de dólares.

Evento Ronin Bridge

En marzo de 2022, la cadena lateral de Axie Infinity, Ronin Network, fue pirateada, con una pérdida de 173,600 ETH y 25.5 millones USD, con un valor total de casi 600 millones de dólares. Según la investigación, la organización de hackers de Corea del Norte, Lazarus, está relacionada con este evento.

Los atacantes obtuvieron la confianza de los empleados internos mediante técnicas de ingeniería social, lo que les permitió infiltrarse en el sistema y controlar múltiples nodos de validación. Este tipo de amenaza persistente avanzada (APT) es común en el ámbito de la seguridad tradicional y ahora también comienza a aparecer en proyectos de blockchain.

Este evento expone las graves deficiencias del equipo del proyecto en cuanto a la conciencia de seguridad de los empleados y el sistema de seguridad interno.

Evento Wormhole

El puente cross-chain Wormhole fue atacado debido a un error en el código de verificación de firma del contrato en Solana, con una pérdida de aproximadamente 120,000 ETH. Los atacantes aprovecharon una vulnerabilidad en una función obsoleta.

Esto recuerda a los desarrolladores que deben utilizar la versión más reciente del repositorio de código, evitando las funciones de versiones antiguas con problemas conocidos.

Evento Nomad Bridge

El puente cruzado Nomad fue atacado debido a un problema en la configuración de inicialización, con pérdidas de aproximadamente 190 millones de dólares. Los atacantes extrajeron fondos al reproducir transacciones válidas.

Este evento se convirtió en una "guerra por el dinero", con múltiples direcciones participando. Aunque parte de los fondos fueron recuperados, la mayor parte aún no ha sido encontrada. Esto destaca el efecto de doble filo que trae la apertura del código de los contratos inteligentes.

Evento Beanstalk

El proyecto de stablecoin algorítmico Beanstalk fue atacado mediante un préstamo relámpago, con pérdidas de aproximadamente 182 millones de dólares. El atacante aprovechó una vulnerabilidad en el mecanismo de gobernanza del proyecto para llevar a cabo el ataque.

Esto refleja los riesgos existentes en la gobernanza descentralizada, y el equipo del proyecto debe realizar un diseño más cuidadoso en aspectos como la revisión de propuestas, los mecanismos de votación y los bloqueos de tiempo de ejecución.

Evento Wintermute

El creador de mercado Wintermute fue atacado debido al uso de la herramienta de generación de direcciones con vulnerabilidades Profanity. El atacante logró descifrar la clave privada de la dirección del propietario del contrato.

Esto nos recuerda que debemos ser cautelosos al usar herramientas de código abierto y realizar una evaluación de seguridad adecuada.

Evento de Harmony Bridge

El puente entre cadenas Horizon de Harmony ha perdido más de 100 millones de dólares, supuestamente por un grupo de hackers norcoreanos. Los detalles específicos no se han hecho públicos, pero el método de ataque podría ser similar al incidente de Ronin Bridge.

Evento Ankr

Ankr sufrió un sabotaje interno por parte de empleados, lo que provocó que se acuñaran grandes cantidades de tokens de la nada. Esto expone graves defectos en la gestión de permisos y el control interno del proyecto.

Evento Mango

La plataforma de intercambio Mango sufrió un ataque de manipulación del mercado, con pérdidas de aproximadamente 115 millones de dólares. Los atacantes aprovecharon las vulnerabilidades en el modelo de negocio de la plataforma para obtener ganancias manipulando los precios de los tokens de baja capitalización.

Esto recuerda a los promotores del proyecto que deben considerar de manera integral diversas situaciones extremas, y los usuarios también deben estar atentos a los riesgos comerciales potenciales.

En general, los eventos de 2022 reflejan que los proyectos de Finanzas descentralizadas aún tienen deficiencias en varios aspectos como la seguridad del código, la gestión de permisos y los mecanismos de gobernanza. Tanto los desarrolladores como los usuarios necesitan aumentar su conciencia de seguridad y adoptar medidas de prevención más estrictas.