La aparición de puentes de criptomonedas promete ser un gran avance en la interoperabilidad de blockchain, proporcionando transferencias de activos fluidas entre varias redes de blockchain. Estos puentes facilitan las transacciones entre cadenas, pero a medida que aumentan, también aumentan los riesgos de seguridad.
Las vulnerabilidades en estos puentes son una mina de oro para los piratas informáticos, que han perdido miles de millones de dólares con puentes multicadena y representan aproximadamente el 70% de los ciberataques a blockchain. Este artículo proporciona una guía completa para ayudarle a comprender los tipos de puentes de criptomonedas, por qué son susceptibles a los piratas informáticos y cómo tomar medidas preventivas.
Definición de un puente de criptomonedas entre cadenas
Un puente entre cadenas es un protocolo o plataforma que facilita la transferencia de activos digitales entre diferentes cadenas de bloques. Los métodos tradicionales de transferencia de activos implican un proceso tedioso en los intercambios centralizados, pero Crypto Bridge evita este proceso con transferencias directas.
Los tokens de criptomonedas generalmente están bloqueados en un protocolo, con versiones sintéticas o envueltas emitidas en la cadena de bloques de destino. Este avance tecnológico podría impulsar la liquidez en las finanzas descentralizadas (DeFi).
Tipos de puentes de criptomonedas: confiables versus no confiables
Un puente confiable
Los puentes confiables, también conocidos como puentes de custodia, ponen el control de los activos en manos de una entidad centralizada. Binance Bridge es un ejemplo de ello. Si bien estos puentes pueden brindar cierta seguridad, la centralización los vuelve frágiles. Un ataque contra estas entidades confiables podría agotar todos los activos de custodia, lo que convertiría a los fideicomisos en una propuesta de alto riesgo.
puente de desconfianza
Por el contrario, los puentes sin confianza operan sin una autoridad central y dependen en cambio de contratos inteligentes. Los contratos inteligentes brindan a los usuarios más control, pero también crean problemas. Todavía son una tecnología madura y los errores de codificación pueden crear importantes vulnerabilidades de seguridad. Los ataques contra Arbitrum y Snowbridge son excelentes ejemplos de vulnerabilidades en sistemas que no son de confianza.
¿Por qué están proliferando los hackeos de puentes de criptomonedas?
Los hackeos de puentes de criptomonedas se han vuelto muy frecuentes debido a varias razones clave:
1. Metas rentables
Los puentes de criptomonedas son esenciales para transferir grandes cantidades de activos digitales entre cadenas de bloques o redes. Como tales, suelen tener una gran cantidad de valor en un momento dado, lo que los hace extremadamente atractivos para los actores maliciosos. Además, la exageración que rodea a las criptomonedas a menudo conduce a un comportamiento “apresurado”, en el que los usuarios arrojan activos en puentes con la esperanza de obtener un retorno rápido. Este aumento crea mayores incentivos para los piratas informáticos.
2. Defectos de código
Estos puentes suelen operar basándose en contratos inteligentes y condiciones codificadas que deben cumplir las transacciones. Estos contratos pueden ser muy complejos, lo que dificulta identificar y solucionar todas las vulnerabilidades potenciales. Si bien algunos contratos inteligentes se someten a una verificación formal (prueba matemática para garantizar que funcionan como se espera), la mayoría no lo hace. La falta de pruebas rigurosas aumenta la probabilidad de que se produzcan vulnerabilidades.
3. Transparencia del código abierto
La codificación de código abierto fomenta la participación de la comunidad y genera confianza, pero también permite que cualquiera revise el código, incluidos aquellos con intenciones maliciosas. A veces los desarrolladores “bifurcan” o copian proyectos de código abierto para crear nuevos proyectos. Si hay vulnerabilidades en el proyecto original, estas vulnerabilidades a menudo se transfieren al nuevo proyecto.
4. Falta de supervisión
El panorama descentralizado y en gran medida desregulado de DeFi (finanzas descentralizadas) significa que hay poca regulación. Si bien muchos en la comunidad de criptomonedas ven esto como una ventaja, también significa que las vías de recurso legal a menudo no están claras o son inexistentes. Sin una jurisdicción u órgano rector claro, procesar a los perpetradores es difícil, especialmente cuando los piratas informáticos suelen cruzar fronteras internacionales.
Hackeo memorable del puente de criptomonedas
El ecosistema de las criptomonedas se ha visto afectado por una serie de hackeos de puentes de alto perfil que expusieron vulnerabilidades en la tecnología y erosionaron la confianza de los inversores. Estos eventos son un claro recordatorio de los desafíos de seguridad que enfrentan las finanzas descentralizadas (DeFi) y la tecnología blockchain. Los puentes de criptomonedas sujetos a ataques de alto perfil incluyen:
Puente Nómada
Nomad Bridge, un facilitador clave de transferencias de activos, se vio comprometido debido a una vulnerabilidad en el código. En este fiasco se perdieron aproximadamente 200 millones de dólares en activos, lo que sacudió la confianza de inversores y usuarios. El incidente se produjo debido a una falla en el contrato inteligente que permitió a los piratas informáticos manipular el sistema. La vulnerabilidad se pasó por alto durante el proceso de revisión del código, lo que destaca la urgencia de desarrollar procedimientos de auditoría más sólidos para los contratos inteligentes.
Paso elevado de armonía
Harmony Horizon Bridge, otro actor clave en el espacio blockchain, se vio comprometido cuando su validador fue pirateado, lo que resultó en una pérdida de aproximadamente $100 millones. A diferencia de Nomad Bridge, donde el error estaba en el código, Harmony Horizon fue víctima de su validador comprometido. Estos validadores son nodos confiables que confirman transacciones. En este caso, los hackers se aprovecharon de sus privilegios y transfirieron grandes sumas de dinero a sus cuentas.
Puente Ronin
El más dañino de estos hacks fue Ronin Bridge, donde los piratas informáticos accedieron a 5 de 9 validadores y robaron la asombrosa cantidad de 625 millones de dólares. El talón de Aquiles del sistema es el número limitado de validadores, que proporciona a los ciberdelincuentes una pequeña superficie de ataque.
Medidas y precauciones de seguridad.
A pesar de los riesgos, algunas prácticas pueden reducir la probabilidad de ser víctima de un ataque de puente:
debida diligencia
La debida diligencia es la piedra angular para garantizar su seguridad frente a los piratas informáticos de puentes. El historial de un puente, las métricas de desempeño y los incidentes de seguridad pasados deben examinarse cuidadosamente antes de realizar cualquier transacción. Los datos históricos pueden proporcionar información valiosa sobre la confiabilidad de una plataforma. También es aconsejable evaluar las opiniones y calificaciones de los usuarios, ya que suelen ser los primeros indicadores de posibles riesgos de seguridad.
Informe de auditoría
La credibilidad de un puente a menudo puede medirse mediante informes de auditoría. Una auditoría realizada por una organización externa acreditada es un sello de aprobación para las medidas de seguridad del puente. Los informes proporcionan una evaluación detallada de los protocolos de seguridad del puente y deberían estar disponibles para la inspección pública. La falta de un informe de auditoría de un tercero debe considerarse una señal de alerta.
Uniendo la descentralización y la centralización: evaluación de riesgos
Comprender las diferencias entre puentes descentralizados y centralizados le ayudará a tomar una decisión basada en su apetito por el riesgo. Los puentes descentralizados operan sin un único punto de control y generalmente se consideran más seguros, pero carecen de supervisión. Por otro lado, las entidades individuales operan puentes centralizados y pueden proporcionar características de seguridad adicionales, como seguros, pero también se convierten en objetivos rentables para los piratas informáticos.
KYC y regulación
La mayoría de los puentes no requieren verificación KYC (Conozca a su cliente), lo cual es tanto una ventaja como una desventaja. Si bien esto garantiza el anonimato del usuario, también deja espacio para actividades maliciosas. Por lo tanto, se recomienda elegir un puente que cumpla con los estándares regulatorios e incluso pueda requerir KYC. Además, la supervisión regulatoria agrega una capa adicional de seguridad, lo que hace que sea menos probable que la plataforma participe en estafas o haga un uso indebido de sus datos.
en conclusión
Aunque los puentes de criptomonedas son una innovación en DeFi, no se pueden ignorar los riesgos que conllevan. Los recientes ataques de piratería han hecho sonar la alarma en el campo DeFi emergente y en rápido desarrollo. Tanto los desarrolladores como los usuarios deben actuar con precaución, comprender los riesgos involucrados y tomar las precauciones necesarias para proteger los activos. A medida que la tecnología madure, esperamos ver puentes de criptomonedas más seguros y eficientes, pero hasta entonces, la consigna es la precaución.
Tokenhell ofrece exposición de contenido a más de 5000 empresas de criptomonedas y usted puede ser una de ellas. Si tiene alguna pregunta, comuníquese con [email protected]. Las criptomonedas son muy volátiles; haga su propia investigación antes de tomar cualquier decisión de inversión. Algunas publicaciones en este sitio son publicaciones de invitados o publicaciones pagas escritas por autores que no pertenecen a Tokenhell (es decir, Crypto Cable, artículos patrocinados y contenido de comunicados de prensa), y las opiniones expresadas en este tipo de publicaciones no reflejan las opiniones de este sitio. Tokenhell no es responsable del contenido, exactitud, calidad, publicidad, productos o cualquier otro contenido o banners (espacio publicitario) publicados en el sitio web. Lea los términos y condiciones completos/descargo de responsabilidad.
Fuente de información: recopilada de TOKENHELL mediante información 0x.Los derechos de autor pertenecen al autor Curtis Dye y no pueden reproducirse sin permiso.