- Lamentablemente, el pirateo de puentes entre cadenas es un riesgo que todos corremos al usarlas
- Ese peligro tiene que ver con el intento de los piratas informáticos de hacerse con activos ajenos
- ¿Cuáles fueron los hackeos más importantes y cómo utilizar los puentes para evitar problemas?
Un puente entre cadenas es una tecnología que permite la interacción entre redes de cadenas de bloques separadas, facilitando la transferencia y el intercambio de activos, entre muchas otras tareas que se realizan a través de ellas. Justamente por eso, por la importancia de la comunicación entre redes de cadenas de bloques separadas, debemos saber cómo es el pirateo de puentes entre cadenas para llevar a cabo las labores de prevención.
Como decíamos, los puentes entre cadenas son los que permiten a los usuarios transferir activos de una red a otra. Por ejemplo, si tienes activos en Bitcoin y quieres gastarlos en Ethereum, debes recurrir a puentes entre cadenas. También los profesionales creen que los casos de uso se multiplicarán por las nuevas cadenas de bloques.
Dicho esto, la primera recomendación que podemos hacerte es que si no estás demasiado familiarizado con ellas, tienes que evitar utilizarlas porque estarás expuesto a peligros que podrían dejarte básicamente sin activos.
Esto se debe a que los ataques de piratas informáticos son constantes en los últimos tiempos, así que es obvio que tenemos que permanecer atentos a todas las advertencias que podrían indicar que hay riesgo en alguna acción.
Hackeos importantes a puentes sobre cadenas
Si hablamos del pirateo de puentes entre cadenas, nada mejor que repasar los episodios que marcaron al sector.
- Ataques de Nomad – 200 millones de dólares: en agosto, los piratas explotaron a Nomad para robar millones de dólares. La causa de este ataque fue que el contrato inteligente de Nomad no validó debidamente la entrada.
- Puente BSC – 568 millones de dólares: el 7 de octubre pasado, un exploit afectó al puente de cadena cruzada nativo llamado «BSC Token Hub». El error estaba en el verificador de prueba del puente. Se retiraron un total de dos millones de BNB y Binance pausó temporalmente la red BSC para evitar más daños, aunque los fondos retirados de BSC se estiman entre 100 y 110 millones de dólares, lo que no se sabe todavía con certeza.
- Poly Network – 600 millones de dólares: el 10 de agosto de 2021, Poly Network sufrió un ataque que provocó una pérdida de más de millones de dólares. El hackeo ocurrió en numerosas cadenas de bloques, incluidas Ethereum, Binance Smart Chain y Polygon. Este es el hack criptográfico más grande hasta el momento.
Pero, ¿cómo se hackean estos puentes?
Eventos falsos
A menudo, un puente entre cadenas monitoreará los eventos de depósito en una cadena de bloques para iniciar una transferencia a la otra. Si un atacante puede crear un evento de depósito sin hacer el depósito o depositando con un token sin valor, entonces puede retirar valor del puente en el otro extremo. Y rastrearlo es imposible.
Errores de verificación de mensajes
Los puentes de cadena cruzada realizan la validación de un depósito o retiro antes de realizar cualquier transferencia. Pero ha habido muchos casos en el pasado en los que la falta de una validación adecuada de la firma conduce a hackeos por millones de dólares. El evento de la cadena BSC es una buena muestra de lo que explicamos.
Falta de control de acceso entre contratos
Es imprescindible contar con validaciones de control de acceso sobre funciones críticas que ejecutan acciones como modificaciones de titulares, transferencias de fondos y tokens, pausa y reinicio de contratos, etc.
Aprobación de los validadores
Algunos puentes entre cadenas tienen un conjunto de validadores que votan si se aprueba o no una transferencia. Son profesionales más formados que la media de usuarios, evidentemente, pero si el atacante controla la mayoría de estos validadores, puede aprobar transferencias falsas, como pasó en el hackeo de Ronin Network, en el que el atacante controlaba a cinco de los nueve validadores, aprobándose a sí mismo esa operación fraudulenta.
Pérdidas de claves privadas de los administradores
Si se filtra la clave de administración del contrato inteligente, los fondos y la operación quedarán a merced de los ciberdelincuentes. El evento del puente Harmony fue producido mediante el robo de claves privadas, dos de ellas en concreto, que se filtraron en un episodio que, claro está, significó un descuido millonario para la red.