Explosiones de puentes costaron $2 mil millones en 2022: así podrían haberse evitado

En la evolución hacia un futuro multicadena completo, los puentes siguen siendo más vulnerables a los ataques que las propias redes de Criptomonedas . Solo en 2022, más de 2 mil millones de dólares en activosFue robado de exploits de puentes de tokens. Lo peor es que todos estos ataques podrían haberse evitado empleando múltiples medidas de seguridad.

Al examinar algunos de los ataques de 2022, podemos comprender mejor algunas de las principales fallas del sistema y las medidas de seguridad individuales que existen o se están desarrollando para protegernos contra ellas.

Ingeniería social

Los ataques de ingeniería social son la forma más común de brechas de seguridad. Todos hemos sido víctimas de un ataque de ingeniería social en algún momento de nuestra vida, ya sea mediante phishing o trampas de miel, donde se prometen ofertas "demasiado buenas para ser ciertas" a cambio de información personal.

Martin Köppelmann es cofundador de Gnosis.

Los hackers que participaron en el mayor ataque a un puente de 2022 utilizaron métodos similares para desviar fondos. La cadena de bloques del popular juego de Cripto Axie Infinity fue... hackeado con un esquema de phishingque involucraba ofertas de trabajo falsas en LinkedIn.

El desarrollador del juego, Sky Mavis, afirmó que sus empleados fueron víctimas de ofertas de trabajo falsas e incluso se les pidió que se presentaran a múltiples entrevistas. Cuando los empleados mordieron el anzuelo, los hackers accedieron a sus sistemas y se llevaron 625 millones de dólares de la red Ronin de Sky Mavis. Durante un análisis posterior de lo ocurrido, Sky Mavis afirmó haber sido víctima de ataques avanzados de phishing selectivo.

Claves privadas comprometidas

En septiembre de 2022, Wintermute, un Maker de mercado algorítmico, fue pirateado y recibió 160 millones de dólares, probablemente debido a una debilidad en las claves privadas generadas por la aplicación Profanity.

La clave privada de la billetera HOT fue explotada y utilizada para drenar los fondos. Los informes decían Ya se habían detectado fallos en las direcciones de Profanity, pero la empresa no tomó en serio estos informes.

Una razón similar se informó detrás del hackeo de Slope, lo que resultó en una pérdida de 6 millones de dólares para la empresa.

Errores en los contratos inteligentes

Los contratos inteligentes son programas almacenados en una cadena de bloques que se activan al cumplirse ciertas condiciones predeterminadas. En el comercio electrónico, por ejemplo, son lo que confirma a un sitio web que un artículo debe entregarse una vez añadido al carrito y pagado. Un error en un contrato inteligente puede permitir a los hackers activar ilegítimamente la transferencia de dinero entre cadenas de bloques sin cumplir ninguna condición.

En el caso de Nomad, los piratas informáticos lograron drenarcasi 200 millones de dólaresdesde el puente al descubrir una configuración incorrecta en el contrato inteligente principal que permitía a cualquier persona con un conocimiento básico del código retirar fondos.

Que estos errores y fallos de seguridad fueran explotados tan descaradamente por los piratas informáticos es un pensamiento preocupante, pero lo que es más inquietante todavía es que los sistemas "confiables" que la gente no pensaba en usar eran tan fácilmente explotables.

La solución: múltiples medidas de seguridad

Los estándares de puente son conjuntos de reglas que definen cómo las diferentes redes blockchain pueden comunicarse entre sí, en este caso, a través de un puente entre cadenas. Si bien algunos de estos protocolos, por sí solos, presentan riesgo de explotación, al combinarse, añaden capas de seguridad adicionales muy necesarias.

Al usar varios estándares de puente simultáneamente, los desarrolladores pueden compensar las debilidades de un protocolo con el uso de otro. Analicemos algunos estándares criptográficos que podrían combinarse para añadir capas adicionales de seguridad.

Multi-firma y comité

La Tecnología multifirma requiere la firma o aprobación de varias partes antes de ejecutar una transacción. Permite evitar el acceso no autorizado a las redes y garantizar que ninguna parte tenga el control total.

Un estándar de puente de comité utiliza un grupo de entidades de confianza, o un comité, para gestionar la seguridad de un puente de red. Los miembros son responsables de aprobar y supervisar las transacciones de red. Los comités son beneficiosos cuando varias organizaciones comparten el acceso a una red.

Conocimiento cero

Zero Knowledge (ZK) es una técnica criptográfica que permite que dos partes intercambien información entre sí sin necesidad de revelar información adicional más allá de la absolutamente necesaria.

La integración de los modelos ZK elimina la necesidad del modelo de comité, permitiendo a los desarrolladores utilizar clientes ligeros en la cadena. Mediante el uso de sistemas de Prueba de Conocimiento Cero y, en particular, la propiedad de "Concisión" de un ZK-SNARK, es posible realizar este proceso de verificación de forma eficiente utilizando clientes ligeros en la cadena. También es posible verificar tanto las transiciones de estado como el consenso en la cadena para lograr la máxima seguridad, de forma similar a la ejecución de un nodo completo.

Para ello, el cliente ligero en cadena utiliza sistemas ZKP para demostrar la validez del estado de la cadena de origen. Esto se logra generando una prueba que la cadena de destino puede verificar sin necesidad de conocer el estado completo de la cadena de origen. El uso de clientes ligeros en cadena puede ayudar a mejorar la seguridad y la escalabilidad de las cadenas de bloques. Al verificar el estado de la cadena de origen en la cadena de destino, esta puede tener mayor confianza en la precisión del estado de la cadena de origen. Esto puede ayudar a prevenir el fraude y otras actividades maliciosas, a la vez que se trabaja para escalar la red. Como ejemplo práctico, ZK puede utilizarse para demostrar que una transacción ha sido autorizada por el propietario de una billetera específica sin revelar la clave privada.

Optimista

Algunos puentes utilizan un enfoque optimista para la verificación de transacciones. En lugar de verificar inmediatamente cada transacción en la blockchain de destino, los puentes optimistas asumen que cada transacción es válida e incentivan a otros participantes a señalar transacciones fraudulentas a cambio de una recompensa. Los fondos solo se liberan una vez transcurrido este periodo de prueba. Esto significa que los puentes optimistas son seguros desde el punto de vista de la teoría de juegos, pero no desde el punto de vista matemático; dependen de que terceros estén al tanto de lo que ocurre. Todo esto suele quedar oculto al usuario mediante proveedores de liquidez adicionales que verifican de forma independiente la veracidad de las afirmaciones del puente y ponen los fondos inmediatamente a disposición en la otra cadena a cambio de una comisión de unos pocos puntos básicos.

Los puentes optimistas pueden ser bastante seguros aunque no verifiquen inmediatamente cada transacción. Esto se debe a que utilizan el método de "desafío y disputa"; si un usuario cree que una transacción se ha procesado incorrectamente, puede impugnarla y el puente la investigará.

Desafíos de la implementación de múltiples estándares de puentes

Al fin y al cabo, la mejor seguridad se consigue utilizando uncombinación de estándaresDe esta manera, si la implementación de un puente experimenta un error o una debilidad de seguridad, los otros estándares aún pueden proteger la red.

Cabe señalar que, por supuesto, los puentes aún dependen de los mecanismos de consenso de las redes que los conectan. Un puente nunca puede ser más seguro que las redes que conecta.

Acceder de forma segura a un mundo multicadena

Los puentes son necesarios para brindar acceso sin restricciones a nuestro mundo multicadena, pero debemos fortalecerlos de maneras innovadoras para reducir los puntos de ataque. La Tecnología blockchain está diseñada a medida para permitir que personas desconocidas se reúnan y tomen decisiones directas e inmutables, y cuanto más nos centremos en aprovechar al máximo el alcance de las redes a nuestra disposición, más fuertes serán nuestros puentes.