2022 ha sido un año lucrativo para los piratas informáticos que se aprovechan de los espacios nacientes de Web3 y finanzas descentralizadas (DeFi), con más de $ 2 mil millones en criptomonedas robadas en varios ataques de alto perfil hasta la fecha. Los protocolos de cadena cruzada se han visto particularmente afectados, ya que el pirateo de $ 650 millones de Ronin Bridge de Axie Infinity representó una parte significativa de los fondos robados este año.
El saqueo continuó en la segunda mitad de 2022 cuando la plataforma de cadena cruzada Nomad vio drenar $ 190 millones de las billeteras. El ecosistema de Solana fue el siguiente objetivo, con piratas informáticos que obtuvieron acceso a las claves privadas de unas 8000 billeteras que resultaron en el robo de tokens de Solana (SOL) y Solana Program Library (SPL) por valor de $ 5 millones.
deBridge Finance logró eludir un intento de ataque de phishing el lunes 8 de agosto, revelando los métodos utilizados por lo que la firma sospecha que es un vector de ataque de amplio alcance utilizado por los piratas informáticos del Grupo Lazarus de Corea del Norte. Solo unos días después, Curve Finance sufrió un exploit que vio a los piratas redirigir a los usuarios a una página web falsificada que resultó en el robo de USD Coin (USDC) por valor de $ 600,000.
Múltiples puntos de falla
El equipo de deBridge Finance ofreció algunas ideas pertinentes sobre la prevalencia de estos ataques en correspondencia con Cointelegraph, dado que varios de los miembros de su equipo trabajaron anteriormente para una destacada empresa de antivirus.
El cofundador Alex Smirnov destacó el factor impulsor detrás de la orientación de los protocolos de cadena cruzada, dado su papel como agregadores de liquidez que cumplen con las solicitudes de transferencia de valor de cadena cruzada. La mayoría de estos protocolos buscan agregar tanta liquidez como sea posible a través de la minería de liquidez y otros incentivos, lo que inevitablemente se ha convertido en un crisol para los actores nefastos:
“Al bloquear una gran cantidad de liquidez y, sin darse cuenta, proporcionar un conjunto diverso de métodos de ataque disponibles, los puentes se están convirtiendo en un objetivo para los piratas informáticos”.
Smirnov agregó que los protocolos de puente son middleware que se basan en los modelos de seguridad de todas las cadenas de bloques compatibles desde las que se agregan, lo que aumenta drásticamente la superficie de ataque potencial. Esto también permite realizar un ataque en una cadena para extraer liquidez de otras.
Relacionado: ¿Existe un futuro seguro para los puentes entre cadenas?
Smirnov agregó que Web3 y el espacio de cadenas cruzadas se encuentran en un período incipiente, con un proceso iterativo de desarrollo en el que los equipos aprenden de los errores de los demás. Trazando paralelismos con los primeros dos años en el espacio DeFi donde abundaban las hazañas, el cofundador de deBridge admitió que este fue un proceso natural de dentición:
“El espacio entre cadenas es extremadamente joven incluso dentro del contexto de Web3, por lo que estamos viendo cómo se desarrolla este mismo proceso. La cadena cruzada tiene un potencial tremendo y es inevitable que fluya más capital, y los piratas informáticos asignan más tiempo y recursos para encontrar vectores de ataque”.
El incidente de secuestro de DNS de Curve Finance también ilustra la variedad de métodos de ataque disponibles para los infames actores. El director de tecnología de Bitfinex, Paolo Ardoino, le dijo a Cointelegraph que la industria debe estar en guardia contra todas las amenazas a la seguridad:
“Este ataque demuestra una vez más que el ingenio de los piratas informáticos presenta un peligro cercano y siempre presente para nuestra industria. El hecho de que un pirata informático pueda cambiar la entrada DNS del protocolo, reenviar a los usuarios a un clon falso y aprobar un contrato malicioso dice mucho sobre la vigilancia que se debe ejercer”.
Deteniendo la marea
Con los exploits cada vez más abundantes, los proyectos sin duda considerarán formas de mitigar estos riesgos. La respuesta está lejos de ser clara, dada la variedad de vías que los atacantes tienen a su disposición. A Smirnov le gusta usar un “modelo de queso suizo” cuando conceptualiza la seguridad de los protocolos puente, con la única forma de ejecutar un ataque si se alinean momentáneamente varios “agujeros”.
“Para que el nivel de riesgo sea insignificante, el tamaño del agujero en cada capa debe ser el mínimo posible y la cantidad de capas debe maximizarse”.
Nuevamente, esta es una tarea complicada, dadas las partes móviles involucradas en las plataformas de cadena cruzada. La creación de modelos de seguridad multinivel confiables requiere comprender la diversidad de riesgos asociados con los protocolos entre cadenas y los riesgos de las cadenas admitidas.
Las principales amenazas incluyen vulnerabilidades con el algoritmo de consenso y la base de código de las cadenas admitidas, ataques del 51 % y reorganizaciones de la cadena de bloques. Los riesgos para las capas de validación podrían incluir la colusión de validadores e infraestructura comprometida.
Los riesgos de desarrollo de software también son otra consideración con vulnerabilidades o errores en contratos inteligentes y nodos de validación de puentes, áreas clave de preocupación. Por último, deBridge señala los riesgos de administración de protocolos, como las claves de autoridad de protocolo comprometidas, como otra consideración de seguridad.
“Todos estos riesgos se agravan rápidamente. Los proyectos deben adoptar un enfoque multifacético y, además de las auditorías de seguridad y las campañas de recompensas por errores, deben incluir varias medidas de seguridad y validaciones en el diseño del protocolo en sí”.
La ingeniería social, más comúnmente conocida como ataques de phishing, es otro punto a considerar. Si bien el equipo de deBridge logró frustrar este tipo de ataque, sigue siendo una de las amenazas más frecuentes para el ecosistema en general. La educación y las estrictas políticas de seguridad interna son vitales para evitar ser presa de estos astutos intentos de robar credenciales y secuestrar sistemas.