Revisión de incidentes de seguridad de puentes cross-chain: involucrando más de 1.9 mil millones de dólares, la mayoría ha sido compensada o recuperada

En el ecosistema de blockchain existen numerosas cadenas públicas, pero debido a que los activos más importantes están concentrados en unas pocas cadenas, los puentes cross-chain se han convertido en la infraestructura clave para conectar diferentes cadenas. Sin embargo, los puentes cross-chain, debido a su característica de gestionar grandes cantidades de fondos, se convierten con frecuencia en el objetivo de ataques de hackers. Este artículo revisa los diez principales incidentes de seguridad de puentes cross-chain que ocurrieron recientemente, involucrando un monto total de fondos superior a 1.9 mil millones de dólares, de los cuales aproximadamente 1.55 mil millones de dólares ya han sido recuperados o indemnizados.

ChainSwap: Pérdida de 8 millones de dólares, resuelta mediante la reemisión de tokens

En julio de 2021, ChainSwap sufrió dos ataques en un corto período de tiempo, el segundo de los cuales causó pérdidas de aproximadamente 8 millones de dólares, afectando a más de 20 proyectos que utilizaban sus servicios. La causa del incidente fue que el protocolo no verificó estrictamente la validez de las firmas. ChainSwap y los proyectos afectados compensaron a los poseedores mediante instantáneas y la reemisión de tokens.

Poly Network: 610 millones de dólares robados, todos recuperados

En agosto de 2021, Poly Network sufrió un ataque, perdiendo aproximadamente 610 millones de dólares en activos en Ethereum, Binance Smart Chain y Polygon. El atacante aprovechó una vulnerabilidad en la gestión de permisos del contrato, reemplazando con éxito la dirección del validador en la cadena objetivo. A pesar de la sofisticación del ataque, el hacker finalmente devolvió todos los fondos, y Poly Network incluso lo invitó a convertirse en asesor de seguridad.

Multichain: 6 millones de dólares afectados, ya se han compensado parcialmente.

En enero de 2022, Multichain descubrió una vulnerabilidad significativa que afectaba a varios tokens. Aunque la vulnerabilidad fue reparada, aproximadamente 6.04 millones de dólares en activos fueron robados. La razón fue una omisión en la verificación de la entrada del usuario en el contrato. Multichain recuperó cerca de la mitad de los fondos robados y compensó a los usuarios que revocaron la autorización a tiempo.

QBridge: pérdida de 80 millones de dólares, solo un pequeño reembolso

A finales de enero de 2022, el puente cross-chain QBridge de Qubit fue atacado, con pérdidas de aproximadamente 80 millones de dólares. Los atacantes aprovecharon una vulnerabilidad en el contrato que no verificaba nuevamente la dirección cero, creando una gran cantidad de tokens en BSC de la nada. Actualmente, el uso de Qubit es muy bajo y la mayor parte de los fondos robados aún no ha sido compensada.

Meter.io: Pérdida de 4.4 millones de dólares, se compromete a compensar con ingresos futuros

En febrero de 2022, el puente cross-chain Meter Passport fue atacado debido a una "suposición de confianza errónea" en el código, lo que resultó en una pérdida de 4,4 millones de dólares. Meter decidió emitir un nuevo token PASS para compensar a los usuarios y prometió recomprarlo con futuras ganancias, pero hasta ahora no ha comenzado la recompra.

Ronin: 620 millones de dólares robados, ya se ha compensado en su totalidad

En marzo de 2022, la cadena Ronin de Axie Infinity sufrió una pérdida significativa de 620 millones de dólares. Los atacantes obtuvieron acceso al sistema mediante técnicas de ingeniería social. Aunque los fondos robados no pudieron ser recuperados, los desarrolladores de Sky Mavis recaudaron 150 millones de dólares en una nueva ronda de financiación para compensar a los usuarios.

Wormhole: pérdida de 326 millones de dólares, ya compensada

En febrero de 2022, Wormhole fue atacado debido a una vulnerabilidad en la verificación de contratos en la red de Solana, con pérdidas de aproximadamente 326 millones de dólares. Jump Crypto inyectó rápidamente fondos equivalentes en Wormhole para garantizar la seguridad de los activos de los usuarios.

EvoDeFi: Se estima una pérdida de más de diez millones de dólares, sin ser atendida.

En junio de 2022, el DEX ValleySwap en el ecosistema Oasis experimentó una grave desanclaje de USDT, debido a la falta de liquidez del puente cross-chain EvoDeFi que utilizaba. La cantidad exacta de las pérdidas es desconocida, pero se estima que está en el rango de millones de dólares. Las partes involucradas no han proporcionado ninguna solución, y las pérdidas de los usuarios aún no han sido compensadas.

Horizon: Pérdidas cercanas a 100 millones de dólares, se está elaborando un plan de compensación

En junio de 2022, el puente cross-chain Horizon de Harmony fue atacado, con pérdidas de aproximadamente 100 millones de dólares. El fundador admitió que podría haber sido debido a la filtración de claves privadas. Actualmente, Harmony está discutiendo con la comunidad la elaboración de un plan de compensación razonable.

Nomad: 190 millones de dólares robados, parte de los fondos podría ser recuperada

En agosto de 2022, Nomad sufrió el robo de 190 millones de dólares debido a un error en la actualización del contrato. El ataque afectó a 1251 direcciones, de las cuales el 38% correspondía a direcciones ENS. Algunos hackers de sombrero blanco expresaron su disposición a devolver los fondos, pero aún no se ha determinado un plan de compensación específico.

Resumen

Los accidentes de seguridad en los puentes cross-chain son frecuentes y nos recuerdan que debemos mantener la vigilancia. Incluso los puentes cross-chain con un alto ranking de liquidez han tenido problemas de seguridad. En comparación, los proyectos con un fuerte respaldo tienen más capacidad para recuperar activos o realizar compensaciones cuando se manejan accidentes de seguridad. La monitorización en tiempo real y la respuesta rápida son cruciales para prevenir ataques, como Hop Protocol y StarGate, que han logrado detener ataques potenciales. Los usuarios deben ser cautelosos al elegir puentes cross-chain y priorizar proyectos sólidos para reducir riesgos.