2022 ha sido un año rentable para los piratas informáticos que explotan las áreas florecientes de Web3 y finanzas descentralizadas (DeFi), con más de $ 2 mil millones en criptomonedas extraídas en varios ataques de alto perfil hasta la fecha. Los protocolos de cadena cruzada se han visto gravemente afectados, y el pirateo de Ronin Bridge de $ 650 millones de Axie Infinity representó una gran parte de los fondos robados este año.
El saqueo continuó en la segunda mitad de 2022, cuando a la plataforma de cadena cruzada Nomad le robaron $ 190 millones de las billeteras. El ecosistema de Solana fue el siguiente objetivo, donde los piratas informáticos obtuvieron acceso a las claves personales de alrededor de 8000 billeteras, lo que provocó el robo de tokens de Solana (SOL) y Solana Library (SPL) por valor de $ 5 millones.
deBridge Finance logró evadir un intento de ataque de phishing el lunes 600,000 de agosto extrayendo los métodos utilizados por el presunto vector de ataque de largo alcance utilizado por los piratas informáticos norcoreanos Lazarus Group. Solo unos días después, Curve Finance sufrió un exploit en el que los piratas informáticos redirigieron a los usuarios a un sitio web falso, lo que resultó en el robo de USD XNUMX por valor de USD Cash (USDC).
Varias fuentes de error
El equipo de deBridge Finance proporcionó una percepción similar sobre la prevalencia de esos ataques en correspondencia con Cointelegraph, ya que algunos de los miembros de su equipo trabajaron anteriormente para una conocida empresa de antivirus.
El cofundador Alex Smirnov destacó el problema principal detrás de la alineación con los protocolos de cadena cruzada dada su función como agregadores de liquidez que cumplen con las solicitudes de cambio de valor de cadena cruzada. La mayoría de esos protocolos tienen como objetivo acumular tanta liquidez como sea posible mediante la minería de liquidez y otros incentivos, lo que inevitablemente se ha convertido en un honeypot para actores infames:
"Al bloquear una cantidad considerable de liquidez y, sin darse cuenta, ofrecer una amplia gama de vectores de ataque accesibles, los puentes se convierten en un objetivo para los piratas informáticos".
Smirnov agregó que los protocolos de puente son middleware que dependen de los modelos de seguridad de todas las cadenas de bloques admitidas de las que se mezclan, aumentando drásticamente el potencial piso de ataque. Esto hace que sea posible lanzar un ataque en una secuencia para vaciar la liquidez de otros.
Asuntos asociados: ¿Existe un futuro seguro para los puentes entre cadenas?
Smirnov agregó que Web3 y el espacio entre cadenas se encuentran en una etapa incipiente, con un proceso de mejora iterativa en el que los grupos aprenden de los errores de otros. El cofundador de deBridge trazó paralelismos con los primeros dos años en la casa DeFi donde las hazañas fueron desenfrenadas, reconociendo que fue un proceso inicial de:
“El espacio de cadena cruzada es extremadamente nuevo incluso en el contexto de Web3, por lo que estamos viendo el mismo proceso. La cadena cruzada tiene un gran potencial y es inevitable que ingrese capital adicional y los piratas informáticos dediquen más tiempo y activos a descubrir vectores de ataque".
El incidente de secuestro de DNS de Curve Finance también ilustra la cantidad de métodos de ataque disponibles para los actores maliciosos. El CTO de Bitfinex, Paolo Ardoino, instruyó a Cointelegraph que el comercio debe estar alerta ante cualquier amenaza de seguridad:
“Este ataque revela una vez más que el ingenio de los piratas informáticos es un riesgo cercano y siempre presente para nuestra industria. El hecho de que un pirata informático pueda cambiar el informe DNS por el registro, redirigir a los usuarios a un clon falso y aprobar un contrato malicioso dice mucho sobre la vigilancia que se debe ejercer”.
detener la marea
Debido a que los exploits están generalizados, las tareas sin duda contemplarán métodos para mitigar estos peligros. La respuesta dista mucho de ser clara dada la cantidad de opciones que tienen los atacantes. A Smirnov le gusta usar un "modelo de queso suizo" cuando conceptualiza la seguridad de los protocolos de puente, donde la única solución para lanzar un ataque es que si una serie de "agujeros" se encadenan momentáneamente.
"Para que la posibilidad sea insignificante, las dimensiones de la salida en cada capa deben ser tan pequeñas como sea posible y la variedad de capas debe maximizarse".
Una vez más, es una actividad difícil dados los elementos cambiantes involucrados en las plataformas de cadenas cruzadas. La construcción de modelos de seguridad en capas confiables requiere comprender la cantidad de riesgos relacionados con los protocolos de cadena cruzada y los riesgos de las cadenas compatibles.
Las principales amenazas incluyen vulnerabilidades en el algoritmo de consenso y en la base de código de cadenas admitidas, ataques del 51% y reorganizaciones de blockchain. Los peligros para las capas de validación pueden incluir la colusión entre los validadores y la infraestructura comprometida.
Los riesgos en la mejora del software también son otra consideración, ya que las vulnerabilidades o los errores en los contratos inteligentes y los nodos de validación de puentes son las principales áreas de inconvenientes. Por último, deBridge tiene en cuenta los riesgos de administración de registros como las claves de autoridad de registro comprometidas como otra consideración de seguridad.
“Todos esos peligros se suman en breve. Las tareas deben tomar una estrategia multifacética, incorporando numerosas medidas de seguridad y validaciones en el diseño del protocolo en sí, junto con auditorías de seguridad y campañas de recompensas por errores”.
La ingeniería social, mejor conocida como ataques de phishing, es otro punto a considerar. Aunque el equipo de DeBridge logró frustrar este tipo de ataque, sigue siendo una de las amenazas generalizadas para todo el ecosistema. La conciencia y las políticas estrictas de seguridad interna son importantes para evitar ser víctima de aquellos astutos que intentan robar credenciales y secuestrar métodos.
