De todos los ataques de blockchain, los puentes entre cadenas son uno de los más atacados. Apenas la semana pasada, Binance perdió $ 570 millones como resultado de un exploit en el Token Hub Bridge de Binance Smart Chain. Incluso Binance, una de las plataformas de criptomonedas seguras y de buena reputación del mundo, fue víctima de un hackeo de puente de cadena cruzada. Esto nos lleva a una pregunta importante: ¿Por qué los puentes de cadena cruzada siguen siendo pirateados?y ¿Por qué la gente todavía los usa a pesar de su riesgo de seguridad?
¿Por qué la gente usa puentes entre cadenas?
Una de las mayores limitaciones de las cadenas de bloques ha sido su incapacidad para trabajar juntas. Cada blockchain tiene sus propios protocolos o contratos inteligentes que no son compatibles con otras blockchains a nivel programable. Como resultado, no puede gastar Bitcoin en la red Ethereum, por ejemplo. Aquí es donde entran en juego los puentes entre cadenas para proporcionar interoperabilidad.
Un puente entre cadenas conecta dos cadenas de bloques, lo que permite a los usuarios transferir datos y liquidez de una cadena a otra. También permite a los usuarios acceder a nuevos protocolos en otras cadenas, lo que permite que los desarrolladores de diferentes comunidades de blockchain puedan colaborar juntos. Además, con la componibilidad similar a Lego de las aplicaciones de finanzas descentralizadas (DeFi), los puentes entre cadenas pueden potencialmente abrir un mundo completamente nuevo de servicios y productos financieros eficientes y creativos para los usuarios.
Sin puentes entre cadenas, la industria de la criptografía se vería obstaculizada por las congestiones de la red, ya que no hay un puente para descargar datos y ejecutar transacciones.
¿Por qué los puentes entre cadenas son vulnerables?
Cuando conecta un activo a otra cadena de bloques, no se «envía» exactamente. En cambio, a través de la ejecución de contratos inteligentes, los activos primero se depositan, bloquean o queman en una cadena de bloques. Posteriormente, se acreditan, desbloquean o acuñan en la otra cadena de bloques en forma de token envuelto.
Sin embargo, esta conversión de activos no está garantizada. Esto se debe a que los puentes entre cadenas son entidades independientes que no pertenecen a ninguna cadena de bloques. Esto significa que ninguna cadena de bloques puede verificar que algún activo esté puenteado, ya que no pueden acceder a información fuera de la cadena. El proceso de transición se basa principalmente en dos partes para garantizar una transferencia exitosa:
- Oracles de terceros que interpretan datos fuera de la cadena para uso dentro de la cadena.
- Validadores o custodios (DAO o contrato inteligente) que custodian el activo original y liberan el activo envuelto.
Como puede ver, hay varios niveles de confianza, no solo durante el intercambio de tokens, sino durante todo el proceso de conexión. Además, los usuarios deben seguir confiando en que podrán unir el token envuelto en el futuro en una base de 1:1. Aquí radica la vulnerabilidad de los puentes entre cadenas: con múltiples procesos y participación de terceros, hay un breve período de tiempo en el que los piratas informáticos pueden apuntar a cualquiera de estas acciones de forma aislada, sin mencionar posibles errores o fallas en la codificación del contrato inteligente que los piratas informáticos pueden explotar.
¿Cómo se piratean los puentes entre cadenas?
Un hack de puente de cadena cruzada exitoso generalmente termina con tokens acuñados en una cadena de bloques sin un depósito correspondiente en la otra. Hay tres tipos de exploits para lograr esto:
Depósitos falsos
Durante el proceso de vinculación, cada depósito debe validarse antes de permitir que se realice una transferencia. Si un pirata informático puede crear un depósito falso que se valida como uno real, puede engañar al sistema para que acumule tokens gratuitos sin ingresar dinero.
Esto sucede principalmente debido a una falla en la lógica de la codificación del contrato inteligente, donde ambos tokens comparten la misma prueba de evento. Esto permitiría al atacante llamar a la función para depositar un token con datos falsos que pueden generar pruebas para retirar el otro token en la otra cadena de bloques.
Esto es lo que le sucedió a Binance cuando el atacante logró falsificar mensajes de prueba de tokens inexistentes que luego fueron aceptados por el puente BSC Token Hub.
Omisión de verificación de firma
Una firma digital es un proceso para verificar transacciones, utilizando la clave privada para firmar la transacción y su correspondiente clave pública para autorizar al remitente. Sin embargo, si el contrato inteligente utiliza una función obsoleta, es posible que no pueda verificar la exactitud de ciertas instrucciones. Como resultado, un atacante podría crear una cuenta de entrada con datos maliciosos para falsificar firmas digitales previamente válidas. Esto les permitiría omitir el paso de verificación y generar mensajes de prueba para acuñar tokens gratuitos.
El hackeo de Wormhole es un ejemplo de este ataque, en el que el hacker omitió el paso de verificación al inyectar una cuenta SYSVAR falsificada, lo que les permitió acuñar libremente 120 000 wETH (por un valor de $326 millones en ese momento).
Ataque mayoritario del validador
Algunos puentes entre cadenas tienen validadores que votan si aprueban o no ciertas transferencias. Similar a un ataque del 51%, si un atacante controla la mayoría de los validadores, puede aprobar cualquier transacción, lo que le permite retirar dinero gratis. Un caso infame de esto es el pirateo de Ronin Network, donde el atacante tomó el control de cinco de los nueve nodos de validación y robó $ 620 millones.
Relacionado
Si quiere puede hacernos una donación por el trabajo que hacemos, lo apreciaremos mucho.
Direcciones de Billetera:
- BTC: 14xsuQRtT3Abek4zgDWZxJXs9VRdwxyPUS
- USDT: TQmV9FyrcpeaZMro3M1yeEHnNjv7xKZDNe
- BNB: 0x2fdb9034507b6d505d351a6f59d877040d0edb0f
- DOGE: D5SZesmFQGYVkE5trYYLF8hNPBgXgYcmrx
También puede seguirnos en nuestras Redes sociales para mantenerse al tanto de los últimos post de la web:
- Telegram
Disclaimer: En Cryptoshitcompra.com no nos hacemos responsables de ninguna inversión de ningún visitante, nosotros simplemente damos información sobre Tokens, juegos NFT y criptomonedas, no recomendamos inversiones