Los puentes blockchain KEEP sufriendo ataques. Aquí te explicamos cómo prevenirlos.

Los puentes entre cadenas hacen posible la interoperabilidad dentro del ámbito de la cadena de bloques. Permiten que los protocolos se comuniquen entre sí, compartan datos y creen nuevos y emocionantes casos de uso que impulsan la Web3 hacia nuevas fronteras. Pero como el artículo de este mes... Explosión de la cadena inteligente BNB nos recuerda que son vulnerables a los ataques.

Si queremos aprovechar el potencial que ofrecen los puentes, debemos Aprende a protegerlos.

Los puentes se han ganado con razón la reputación de ser los puentes de la Web3.LINK débilTras una serie de exploits este año. Así como los ladrones prefieren robar activos mientras se transportan en furgonetas (en lugar de encerrarlos en bóvedas bancarias con sofisticados sistemas de seguridad), los hackers se han dado cuenta de que los tokens en tránsito son igualmente vulnerables.

Coby Moran es el investigador principal de Merkle Science, una plataforma predictiva de riesgo e inteligencia de la Web3. Anteriormente, fue analista del Buró Federal de Investigaciones (FBI) de EE. UU.

También saben que importantes fondos están cruzando estas intersecciones. Con activos totales estimados en más de54 mil millones de dólaresLas Finanzas descentralizadas (DeFi) representan un objetivo especialmente atractivo. Incluso antes del ataque a BNB , los puentes de Cripto representaban más de 1.600 millones de dólares de los 2.000 millones de dólares robados de los protocolos DeFi en 2022. La magnitud y la regularidad de estos ataques demuestran por qué los puentes caídos están ganando notoriedad.

• Febrero: Agujero de gusano– 375 millones de dólares
• Marzo: Puente Ronin– 624 millones de dólares
• Agosto: Puente Nómada– 190 millones de dólares
• Septiembre: Mute invernal– 160 millones de dólares

Desde mi experiencia guiando a analistas en la búsqueda de fondos robados (como en el caso dereciente exploit de Wintermute), está claro que la prevención y la defensa son donde la comunidad blockchain debería centrar sus esfuerzos colectivos.

Ver también:Llamar exploit a un ataque minimiza el error Human | Opinión

El FBI ha advertido a los inversores que los ciberdelincuentes se están aprovechando de la complejidad de la funcionalidad entre cadenas. Esto sin duda coincide con la opinión actual de que los puentes no solo son vulnerables, sino también vulnerables.

Pero hay maneras de prevenir los exploits. Como exanalista del FBI con experiencia en el grupo de trabajo contra el cibercrimen en Washington, D.C., puedo decir que los exploits rara vez son extremadamente ingeniosos o sofisticados (como los que se ven en una película de Hollywood). Más bien, suelen ser brechas de seguridad predecibles.

En el mundo de los puentes, que normalmente se explotan tras la introducción de errores de código o la filtración de claves criptográficas, suelen ser bastante sofisticados, pero previsibles. Tomemos como ejemplo exploits como estos:

• Depósitos falsos:Monitoreo de puentes para Eventos de depósito en una blockchain para iniciar una transferencia a otra. Si un agente malicioso genera un evento de depósito sin realizar un depósito real, o realiza un depósito con un token sin valor, puede retirar valor del puente en el otro lado. TheQubit Finanzas incursiónEn enero se dio un buen ejemplo: se engañó al protocolo para que pensara que los atacantes habían depositado dinero cuando no era así.
• Defectos del validador:Los puentes también validan los depósitos antes de permitir las transferencias. Los hackers pueden intentar crear depósitos falsos capaces de evadir este proceso. Esto ocurrió en el hackeo de Wormhole, donde se explotó una falla en la validación de la firma digital. Técnicamente, este fue un ejemplo de un exploit común en los contratos inteligentes. Pero, como estamos aprendiendo, si ocurre en un puente, este es el responsable.
• Adquisición del validador:Este escenario se basa en el control de un número determinado de validadores configurados originalmente para votar a favor o en contra de una transferencia de Criptomonedas . Al controlar la mayoría de los votos, el atacante puede aprobar cualquier transferencia. En el ataque a Ronin Network, por ejemplo, cinco de los nueve validadores del puente se vieron comprometidos de esta manera.

Como sugieren estos ejemplos, centrarse en las deficiencias de los puentes sin abordar las medidas de seguridad a nivel del suelo no es el camino a seguir. Los puentes en sí no son el problema; después de todo, la Tecnología es agnóstica. El factor más común en los exploits es el error Human . Las investigaciones posteriores al ataque informático y las correcciones posteriores a menudo sirven para poner de relieve nuestra vieja tendencia a cerrar la puerta del establo solo cuando un caballo se ha desbocado.

Problemas Human

Al realizar investigaciones, solemos hablar con los miembros del equipo del proyecto, ya que, a menudo, son el objetivo de exploits. Los hackers rara vez hacen algo totalmente nuevo con cada exploit, sino que recurren a una serie de trucos clásicos.

La ingeniería social, o el ataque a personas para obtener acceso a cuentas privilegiadas, es un ejemplo clásico. Se puede hacer amistad con las personas y bajar la guardia, o acosarlas con tantas preguntas que revelen un Secret.

Tomemos como ejemplo el Puente Ronin, una cadena lateral de Ethereum creada para Axie Infinity que permitía a los usuarios transferir activos a la red principal de Ethereum . Cinco de los nueve nodos validadores del puente se vieron comprometidos en un ataque de phishing. Posteriormente, Ronin anunció planes para aumentar esta cifra, tuiteando que «la causa principal de nuestro ataque fue el pequeño conjunto de validadores, lo que facilitó la vulneración de la red».

Allí van esas puertas del granero, cerrándose.

También observamos que las limitaciones Human afectan la capacidad de crear código adecuado para su propósito. Un proceso continuo escasez de desarrolladores Significa que simplemente no hay suficientes expertos capaces de construir y analizar puentes. Al revisar el incidente de Wormhole, vemos que fue propiciado por un fallo de código que permitió a los hackers configurar un conjunto de firmas fraudulentas que autorizaban transacciones para acuñar ether (ETH).

Si esto se hubiera descubierto antes, esta vía de ataque podría haberse cerrado. Huelga decir que Wormhole tenía un número reducido de colaboradores. (Para lo contrario, cabe destacar que Ethereum, con sus numerosos y grandes equipos de desarrolladores, ha evitado hasta ahora un ataque importante).

Ver también:¿Son seguros los puentes de blockchain? ¿Por qué son blanco de ataques informáticos?

Los puentes son blancos fáciles —puntos centrales donde se almacenan grandes sumas sin una protección robusta— y seguirán siendo atacados. Pero debemos tener en cuenta que no solo los puentes son vulnerables; las cadenas de bloques de ambos lados se ven amenazadas por conexiones mal protegidas. Es hora de informarse y auditarse.

Educación:

• Considere tomar una clase certificada en seguridad blockchain.
• KEEP actualizado con la actualidad en el espacio.
• Cuando un exploit aparezca en las noticias, investiga por tu cuenta. ¿Qué puedes Aprende que pueda beneficiar a tu proyecto?

Revisión de cuentas:

• Asegúrese de que el nuevo código del puente sea auditado antes de su lanzamiento y luego probado posteriormente.
• Aumentar el número de validadores.
• Verifique periódicamente si hay Eventos de depósitos falsos.
• Crear un grupo de trabajo del personal para centrarse en la seguridad
• Considere contratar expertos para realizar una auditoría. Pregunte si utilizan las herramientas de seguimiento entre cadenas más recientes.
• Ofrecer recompensas por errores te ayudará a cubrir más terreno.
• Asegúrese de que las direcciones de contratos inteligentes se monitoreen continuamente.

En definitiva, las Cripto, en su conjunto, sufren un impacto negativo en su reputación y sus finanzas cada vez que un exploit causa WAVES. La respuesta es Aprende de los errores que los hackers nos enseñan una y otra vez y ser más proactivos en nuestros esfuerzos para evitar que se repitan.

Los puentes son piezas vitales de la infraestructura Web3 de las que actualmente no podemos prescindir. Y necesitamos defenderlos con mayor eficacia.