más de 1 mil millones de $$$ robados a través de puentes solo en 2022
necesitamos mejores soluciones
por eso @union_build está desarrollando el puente más seguro que tenemos en cripto
para entenderlo, necesitamos ver cómo ocurren la mayoría de los hacks de puentes y qué está haciendo Union de manera diferente
un hilo 🧵
hay 4 vulnerabilidades comunes en los puentes que han sido explotadas, vamos a revisarlas 👇🏻
1. Compromiso de Multisig
algunos puentes dependían de un pequeño conjunto de claves (a menudo 3 de 5 o 5 de 9 multisigs) para validar transferencias entre cadenas
si estas claves son comprometidas (a través de phishing, trabajos internos, etc.), el atacante puede acuñar o drenar fondos
el hackeo de $625M del Ronin Bridge es un ejemplo perfecto
el atacante tomó control de las claves de los validadores y autorizó retiros falsos a sus propias cuentas
fue uno de los mayores hackeos en la historia de las criptomonedas 🚨
2. Manipulación de Oracle / Relayer
cuando dependes de terceros fuera de la cadena (oráculos, relayers) para verificar información en la cadena, eres vulnerable
si estos actores se desvían, pueden mentir sobre el estado de la cadena, causando un comportamiento incorrecto en la cadena objetivo
en 2022, LayerZero enfrentó críticas del investigador de seguridad @samczsun porque sus contratos tenían relayers + oráculos actualizables, controlados por el equipo
esta era una vulnerabilidad masiva y, si se comprometía, los atacantes podrían robar todos los fondos que pasaban a través del protocolo
3. Errores en contratos inteligentes
la mayoría de los puentes tienen contratos inteligentes complejos con muchas posibles vulnerabilidades
cualquier pequeño error puede permitir a los atacantes eludir la validación o drenar liquidez
el exploit del puente Nomad de $190M es el mejor ejemplo
fue un defecto en el contrato sorprendentemente simple
una actualización rutinaria configuró erróneamente la verificación de validación para que siempre devolviera 'verdadero'
cualquiera podía copiar y pegar una transacción antigua y mover los fondos del puente a sus propias cuentas
toda la comunidad cripto vio a la gente copiando y pegando código de ataque de Twitter, fue pura locura
4. Riesgos de Tokens Envueltos
muchos puentes utilizan activos envueltos, que son tan buenos como el puente que los respalda
si el puente se ve comprometido, los tokens envueltos no valen nada, no hay ETH real para canjear
en un hackeo de $321 millones, el atacante explotó un error en el contrato inteligente de Wormhole que les permitió acuñar 120,000 WETH en Solana sin depositar ningún ETH en Ethereum
engañaron al sistema haciéndole creer que se había depositado ETH
Wormhole perdió $321 millones en fondos reales y tuvo que pagar a los usuarios de su propio bolsillo
sin entrar en detalles técnicos (soy demasiado retrasado para eso) esto es lo que @union_build hace de manera diferente:
- sin multisigs ni oráculos
- ZK-Proofs para validación
- activos nativos, no tokens envueltos
¿es el puente de Union absolutamente inhackeable? no, nada lo es
pero su tecnología elimina la mayoría de los puntos de fallo centralizados, reemplaza la confianza con prueba criptográfica, elimina oráculos/multisigs y evita el riesgo de envoltura
es lo más cerca que podemos llegar a la seguridad total hoy 🗿
3,15 mil
135
El contenido de esta página lo proporcionan terceros. A menos que se indique lo contrario, OKX no es el autor de los artículos citados y no reclama ningún derecho de autor sobre los materiales. El contenido se proporciona únicamente con fines informativos y no representa las opiniones de OKX. No pretende ser un respaldo de ningún tipo y no debe ser considerado como un consejo de inversión o una solicitud para comprar o vender activos digitales. En la medida en que la IA generativa se utiliza para proporcionar resúmenes u otra información, dicho contenido generado por IA puede ser inexacto o incoherente. Lee el artículo vinculado para obtener más detalles e información. OKX no es responsable del contenido alojado en sitios de terceros. El holding de activos digitales, incluyendo stablecoins y NFT, implican un alto grado de riesgo y pueden fluctuar en gran medida. Debes considerar cuidadosamente si el trading o holding de activos digitales es adecuado para ti a la luz de tu situación financiera.