Revisión de los diez principales incidentes de seguridad en la historia de los puentes cross-chain
Los puentes cross-chain, como infraestructura fundamental que conecta diferentes redes de blockchain, han sufrido ataques frecuentes en los últimos años, lo que ha generado pérdidas financieras significativas. Este artículo revisa diez importantes incidentes de seguridad que han ocurrido en el campo de los puentes cross-chain, que implican un total de fondos superior a 1,9 mil millones de dólares, de los cuales aproximadamente 1,55 mil millones de dólares han sido recuperados o compensados. Estos incidentes reflejan los desafíos de seguridad que enfrentan los puentes cross-chain y también ofrecen valiosas lecciones y experiencias para la industria.
ChainSwap: pérdidas de aproximadamente 8.8 millones de dólares debido a dos ataques
En julio de 2021, ChainSwap sufrió dos ataques de hackers en un corto periodo de tiempo. El primer ataque causó pérdidas de aproximadamente 800,000 dólares, y el segundo ataque resultó en pérdidas de alrededor de 8,000,000 dólares, afectando a más de 20 proyectos que utilizaban ChainSwap para puentes cross-chain.
La investigación muestra que la causa del ataque es que el protocolo no verificó estrictamente la validez de las firmas, lo que permitió a los atacantes utilizar firmas generadas por ellos mismos para realizar transacciones. Dado que las pérdidas fueron principalmente en los tokens de gobernanza del proyecto, varios proyectos afectados optaron por hacer un snapshot y volver a emitir tokens para compensar a los tenedores de tokens y proveedores de liquidez.
Poly Network: 6.1 millones de dólares en activos robados han sido recuperados en su totalidad
El 10 de agosto de 2021, el protocolo cross-chain Poly Network sufrió un ataque a gran escala, perdiendo aproximadamente 610 millones de dólares en activos en Ethereum, Binance Smart Chain y Polygon.
Los atacantes aprovecharon una vulnerabilidad en la gestión de permisos del contrato de Poly Network, logrando sustituir la dirección del validador de la cadena objetivo por su propia dirección, controlando así la transferencia de activos. A pesar de la magnitud del ataque, los hackers finalmente devolvieron todos los fondos. Poly Network los calificó como hackers "de sombrero blanco" e invitó a uno de ellos a ocupar el cargo de asesor de seguridad principal.
Multichain: Se ha compensado prácticamente la pérdida de 6 millones de dólares por el fallo.
En enero de 2022, Multichain descubrió una vulnerabilidad importante que afectaba a varios tokens. Aunque la vulnerabilidad ha sido corregida, todavía hay activos de usuarios en riesgo. Un informe de investigación un mes después mostró que un total de 7962 direcciones de usuarios se vieron afectadas, lo que resultó en pérdidas de aproximadamente 6,04 millones de dólares.
El análisis de seguridad indica que el problema radica en la negligencia de Multichain al verificar la legitimidad de los tokens enviados por los usuarios. La oficialidad ha recuperado cerca del 50% de los fondos robados y ha propuesto compensar a los usuarios que revocaron la autorización a tiempo.
QBridge: solo se reembolsará el 2% del ataque de 80 millones de dólares
El 28 de enero de 2022, el puente cross-chain QBridge del protocolo de préstamos Qubit fue atacado, con una pérdida de aproximadamente 80 millones de dólares. Los atacantes aprovecharon una vulnerabilidad en QBridge al procesar transferencias de tokens en la lista blanca, logrando acuñar una gran cantidad de tokens xETH en BSC y utilizando estos tokens para pedir prestados otros activos de Qubit.
Actualmente, la tasa de uso de Qubit ha disminuido drásticamente, y los datos oficiales muestran que el 98% de los fondos robados aún no han sido compensados.
Meter.io: Se propone compensar la pérdida de 4,4 millones de dólares con ingresos futuros
El 6 de febrero de 2022, el puente cross-chain Meter Passport fue atacado, causando una pérdida de 4.4 millones de dólares. La oficialidad indicó que el problema radicaba en una "suposición de confianza errónea" en el código base, lo que permitió a los atacantes falsificar transferencias de BNB y ETH.
Meter inicialmente planeaba compensar las pérdidas con el token MTRG, pero después de una votación de la comunidad, se decidió emitir un nuevo token PASS para la compensación, y se comprometió a recomprar el PASS con los futuros ingresos. Sin embargo, hasta el momento no se ha realizado ninguna recompra.
Ronin: 6.2 millones de dólares robados después de recibir compensación
En marzo de 2022, la cadena Ronin detrás de Axie Infinity fue atacada, con una pérdida de aproximadamente 620 millones de dólares. La investigación mostró que el ataque se originó en un complejo ataque de ingeniería social, donde los hackers infiltraron el sistema de Ronin a través de reclutamientos falsos, controlando finalmente múltiples nodos de validación.
A pesar de que los fondos robados no pudieron ser recuperados, el desarrollador Sky Mavis completó una financiación de 150 millones de dólares con la participación de Binance, destinada a compensar las pérdidas de los usuarios. A finales de junio, el puente Ronin se volvió a lanzar, y los usuarios pueden recibir compensación, pero debido a la caída del precio de ETH, el valor real de la compensación se ha reducido.
Wormhole: Se compensan completamente las pérdidas por el fallo de 326 millones de dólares
El 3 de febrero de 2022, el protocolo cross-chain Wormhole fue atacado, con pérdidas de aproximadamente 120,000 ETH, valoradas en 326 millones de dólares. La vulnerabilidad se encontraba en el código de verificación de firma del contrato central del lado de Solana, lo que permitió al atacante falsificar mensajes de "guardianes" para acuñar whETH.
Después del incidente, Jump Crypto inyectó rápidamente 120,000 ETH en Wormhole, compensando todas las pérdidas. Wormhole luego reanudó su funcionamiento.
EvoDeFi: se espera una pérdida de más de diez millones de dólares sin ser tratada
En junio de 2022, el USDT en el DEX ValleySwap del ecosistema Oasis se despegó gravemente, causando una gran salida de fondos. El problema se originó en la falta de liquidez en la cadena de origen del puente cross-chain EVODeFi que utilizaba.
Aunque se desconoce la cantidad exacta de las pérdidas, se estima que es de varios millones de dólares. Las partes involucradas no han proporcionado una solución clara para este incidente, y los usuarios aún no han recibido compensación por sus pérdidas.
Horizon: el plan de compensación por pérdidas de casi 100 millones de dólares aún se está elaborando
El 24 de junio de 2022, el puente cross-chain Horizon de Harmony fue atacado, lo que resultó en pérdidas de aproximadamente 100 millones de dólares. La investigación muestra que el ataque puede haber sido provocado por una filtración de claves privadas.
Harmony propuso compensar a los usuarios mediante la emisión de nuevos tokens en un plazo de 3 años, pero no recibió el apoyo de la comunidad. Actualmente, el equipo del proyecto indica que está reestructurando el plan de compensación.
Nomad: 190 millones de dólares robados, parte de los fondos podrían ser recuperados
El 2 de agosto de 2022, el puente cross-chain de Nomad fue atacado, y aproximadamente 190 millones de dólares en fondos fueron robados. El análisis mostró que el problema se debía a un error de inicialización en una actualización de contrato, lo que permitió que cualquier persona pudiera retirar fondos del puente.
El ataque involucra 1251 direcciones ETH, de las cuales las direcciones ENS representan el 38% del monto total. Actualmente, el equipo del proyecto no ha proporcionado un plan de compensación claro, pero algunos hackers éticos ya han expresado su disposición a devolver los fondos.
Estos eventos destacan la alta riesgo de los puentes cross-chain, cualquier puente cross-chain podría enfrentar problemas de seguridad nuevamente. En comparación, los proyectos con un buen historial y un fuerte respaldo financiero suelen tener más capacidad para recuperar activos o compensar en caso de incidentes de seguridad. Además, la supervisión en tiempo real del equipo y la rápida respuesta son clave para prevenir ataques.
Ver originales
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
11 me gusta
Recompensa
11
4
Compartir
Comentar
0/400
0xOverleveraged
· hace9h
Repetir los ensayos todos los días, pero aún así me engañan. Estoy rendido.
Ver originalesResponder0
SchroedingerMiner
· hace9h
La situación ha llegado a los puentes cross-chain. Me voy, me voy.
Ver originalesResponder0
DancingCandles
· hace9h
Otra vez un puente se ha liquidado. No me siento seguro ni un día sin ser robado.
Ver originalesResponder0
GasWaster
· hace9h
Si ni siquiera se puede bloquear 🔒, entonces no hagas ningún puente.
Revisión de los diez principales eventos de seguridad de puentes cross-chain: lecciones y enseñanzas de una pérdida de 1,9 mil millones de dólares.
Revisión de los diez principales incidentes de seguridad en la historia de los puentes cross-chain
Los puentes cross-chain, como infraestructura fundamental que conecta diferentes redes de blockchain, han sufrido ataques frecuentes en los últimos años, lo que ha generado pérdidas financieras significativas. Este artículo revisa diez importantes incidentes de seguridad que han ocurrido en el campo de los puentes cross-chain, que implican un total de fondos superior a 1,9 mil millones de dólares, de los cuales aproximadamente 1,55 mil millones de dólares han sido recuperados o compensados. Estos incidentes reflejan los desafíos de seguridad que enfrentan los puentes cross-chain y también ofrecen valiosas lecciones y experiencias para la industria.
ChainSwap: pérdidas de aproximadamente 8.8 millones de dólares debido a dos ataques
En julio de 2021, ChainSwap sufrió dos ataques de hackers en un corto periodo de tiempo. El primer ataque causó pérdidas de aproximadamente 800,000 dólares, y el segundo ataque resultó en pérdidas de alrededor de 8,000,000 dólares, afectando a más de 20 proyectos que utilizaban ChainSwap para puentes cross-chain.
La investigación muestra que la causa del ataque es que el protocolo no verificó estrictamente la validez de las firmas, lo que permitió a los atacantes utilizar firmas generadas por ellos mismos para realizar transacciones. Dado que las pérdidas fueron principalmente en los tokens de gobernanza del proyecto, varios proyectos afectados optaron por hacer un snapshot y volver a emitir tokens para compensar a los tenedores de tokens y proveedores de liquidez.
Poly Network: 6.1 millones de dólares en activos robados han sido recuperados en su totalidad
El 10 de agosto de 2021, el protocolo cross-chain Poly Network sufrió un ataque a gran escala, perdiendo aproximadamente 610 millones de dólares en activos en Ethereum, Binance Smart Chain y Polygon.
Los atacantes aprovecharon una vulnerabilidad en la gestión de permisos del contrato de Poly Network, logrando sustituir la dirección del validador de la cadena objetivo por su propia dirección, controlando así la transferencia de activos. A pesar de la magnitud del ataque, los hackers finalmente devolvieron todos los fondos. Poly Network los calificó como hackers "de sombrero blanco" e invitó a uno de ellos a ocupar el cargo de asesor de seguridad principal.
Multichain: Se ha compensado prácticamente la pérdida de 6 millones de dólares por el fallo.
En enero de 2022, Multichain descubrió una vulnerabilidad importante que afectaba a varios tokens. Aunque la vulnerabilidad ha sido corregida, todavía hay activos de usuarios en riesgo. Un informe de investigación un mes después mostró que un total de 7962 direcciones de usuarios se vieron afectadas, lo que resultó en pérdidas de aproximadamente 6,04 millones de dólares.
El análisis de seguridad indica que el problema radica en la negligencia de Multichain al verificar la legitimidad de los tokens enviados por los usuarios. La oficialidad ha recuperado cerca del 50% de los fondos robados y ha propuesto compensar a los usuarios que revocaron la autorización a tiempo.
QBridge: solo se reembolsará el 2% del ataque de 80 millones de dólares
El 28 de enero de 2022, el puente cross-chain QBridge del protocolo de préstamos Qubit fue atacado, con una pérdida de aproximadamente 80 millones de dólares. Los atacantes aprovecharon una vulnerabilidad en QBridge al procesar transferencias de tokens en la lista blanca, logrando acuñar una gran cantidad de tokens xETH en BSC y utilizando estos tokens para pedir prestados otros activos de Qubit.
Actualmente, la tasa de uso de Qubit ha disminuido drásticamente, y los datos oficiales muestran que el 98% de los fondos robados aún no han sido compensados.
Meter.io: Se propone compensar la pérdida de 4,4 millones de dólares con ingresos futuros
El 6 de febrero de 2022, el puente cross-chain Meter Passport fue atacado, causando una pérdida de 4.4 millones de dólares. La oficialidad indicó que el problema radicaba en una "suposición de confianza errónea" en el código base, lo que permitió a los atacantes falsificar transferencias de BNB y ETH.
Meter inicialmente planeaba compensar las pérdidas con el token MTRG, pero después de una votación de la comunidad, se decidió emitir un nuevo token PASS para la compensación, y se comprometió a recomprar el PASS con los futuros ingresos. Sin embargo, hasta el momento no se ha realizado ninguna recompra.
Ronin: 6.2 millones de dólares robados después de recibir compensación
En marzo de 2022, la cadena Ronin detrás de Axie Infinity fue atacada, con una pérdida de aproximadamente 620 millones de dólares. La investigación mostró que el ataque se originó en un complejo ataque de ingeniería social, donde los hackers infiltraron el sistema de Ronin a través de reclutamientos falsos, controlando finalmente múltiples nodos de validación.
A pesar de que los fondos robados no pudieron ser recuperados, el desarrollador Sky Mavis completó una financiación de 150 millones de dólares con la participación de Binance, destinada a compensar las pérdidas de los usuarios. A finales de junio, el puente Ronin se volvió a lanzar, y los usuarios pueden recibir compensación, pero debido a la caída del precio de ETH, el valor real de la compensación se ha reducido.
Wormhole: Se compensan completamente las pérdidas por el fallo de 326 millones de dólares
El 3 de febrero de 2022, el protocolo cross-chain Wormhole fue atacado, con pérdidas de aproximadamente 120,000 ETH, valoradas en 326 millones de dólares. La vulnerabilidad se encontraba en el código de verificación de firma del contrato central del lado de Solana, lo que permitió al atacante falsificar mensajes de "guardianes" para acuñar whETH.
Después del incidente, Jump Crypto inyectó rápidamente 120,000 ETH en Wormhole, compensando todas las pérdidas. Wormhole luego reanudó su funcionamiento.
EvoDeFi: se espera una pérdida de más de diez millones de dólares sin ser tratada
En junio de 2022, el USDT en el DEX ValleySwap del ecosistema Oasis se despegó gravemente, causando una gran salida de fondos. El problema se originó en la falta de liquidez en la cadena de origen del puente cross-chain EVODeFi que utilizaba.
Aunque se desconoce la cantidad exacta de las pérdidas, se estima que es de varios millones de dólares. Las partes involucradas no han proporcionado una solución clara para este incidente, y los usuarios aún no han recibido compensación por sus pérdidas.
Horizon: el plan de compensación por pérdidas de casi 100 millones de dólares aún se está elaborando
El 24 de junio de 2022, el puente cross-chain Horizon de Harmony fue atacado, lo que resultó en pérdidas de aproximadamente 100 millones de dólares. La investigación muestra que el ataque puede haber sido provocado por una filtración de claves privadas.
Harmony propuso compensar a los usuarios mediante la emisión de nuevos tokens en un plazo de 3 años, pero no recibió el apoyo de la comunidad. Actualmente, el equipo del proyecto indica que está reestructurando el plan de compensación.
Nomad: 190 millones de dólares robados, parte de los fondos podrían ser recuperados
El 2 de agosto de 2022, el puente cross-chain de Nomad fue atacado, y aproximadamente 190 millones de dólares en fondos fueron robados. El análisis mostró que el problema se debía a un error de inicialización en una actualización de contrato, lo que permitió que cualquier persona pudiera retirar fondos del puente.
El ataque involucra 1251 direcciones ETH, de las cuales las direcciones ENS representan el 38% del monto total. Actualmente, el equipo del proyecto no ha proporcionado un plan de compensación claro, pero algunos hackers éticos ya han expresado su disposición a devolver los fondos.
Estos eventos destacan la alta riesgo de los puentes cross-chain, cualquier puente cross-chain podría enfrentar problemas de seguridad nuevamente. En comparación, los proyectos con un buen historial y un fuerte respaldo financiero suelen tener más capacidad para recuperar activos o compensar en caso de incidentes de seguridad. Además, la supervisión en tiempo real del equipo y la rápida respuesta son clave para prevenir ataques.