Un total de 2 millones de Binance Coin, equivalente a casi $ 570 millones ($ 895 millones), fueron efectivamente acuñados y tomados por el pirata informático. Binance dijo en un comunicado que el incidente fue aislado de BNB Chain, sobre el cual no ejerce control. Unos 100 millones de dólares de los fondos robados no se recuperaron, mientras que el resto se congeló, según el comunicado. No se perdieron fondos de los usuarios, agregó Binance.
La incapacidad de hacer que los puentes sean seguros: Chainalysis estima que se han saqueado tokens por valor de $2 mil millones ($3.1 mil millones) de 13 ataques separados, la mayoría de los cuales fueron robados este año, presenta un dilema fundamental porque sin tales plataformas, las principales cadenas de bloques de Ethereum a Solana permanecen en gran medida segregados unos de otros.
La visión detrás de web3, anunciada por los protagonistas como la próxima iteración de Internet, se basa en parte en tokens que fluyen libremente entre varios ecosistemas.
Subrayando la demanda de esta tecnología, los protocolos creados en torno a los puentes de cadena cruzada y la interoperabilidad han recaudado alrededor de 347 millones de dólares (545 millones de dólares) en 30 acuerdos desde 2021, según Kunal Goel, analista de investigación de Messari.
LayerZero tuvo el acuerdo más grande donde recaudó $ 135 millones ($ 212 millones), pero la mayoría de los acuerdos han sido rondas iniciales, dijo Goel.
Pero incluso los puentes bien financiados construidos específicamente para ser «primero la seguridad» no se han salvado. En agosto, uno de esos puentes llamado Nomad, que usa un método para verificar transacciones que, según dice, es más seguro que los que usan otras plataformas de cadenas cruzadas, fue atacado por un hack de $200 millones ($315 millones).
Uno de los principales desafíos en torno a la construcción de puentes seguros es su complejidad, lo que brinda a los piratas informáticos muchos puntos de entrada potenciales. Y hay pocos expertos calificados que puedan construirlos y asegurarlos, dicen los analistas de seguridad y los desarrolladores de blockchain.
Los desarrolladores de puentes no solo deben tener un profundo conocimiento sobre cómo funciona el software, sino también sobre el funcionamiento de las diferentes cadenas de bloques a las que se conecta. Encontrar a alguien con estos conocimientos no es fácil, según analistas y programadores.
“He estudiado computación distribuida y consenso y, sin embargo, debo decir que no entiendo bien los puentes”, dijo Paul Frambot, director ejecutivo de la empresa de criptografía Morpho Labs, que desarrolló un nuevo protocolo. “Esto es muy difícil de entender bien y, por lo tanto, aún más difícil de construir seguros”.
Los puentes son software de código abierto, por lo que su código está disponible para que todos lo vean. Esta es una espada de doble filo: los hace naturalmente más vulnerables a los ataques que las redes financieras tradicionales, como las privadas operadas por los bancos, pero también permite que más personas ayuden a mejorar el código, dijeron los expertos.
“A corto plazo, el código de código abierto permite a los actores malintencionados detectar vulnerabilidades en bibliotecas y paquetes que se han creado y desarrollado recientemente”, dijo David Kroger, científico de datos digitales de Cowen Digital.
“Sin embargo, ser de código abierto permite que las comunidades se unan y expongan las superficies de ataque antes de que se vuelvan perjudiciales”.
Otro problema con los puentes es que la mayoría opera con un pequeño conjunto de custodios o entidades como validadores que son responsables de proteger la red. Esto los hace vulnerables, ya que sacrifican la descentralización en aras de operar a escala.
Insectos molestos
Los errores también son comunes en los puentes, en parte porque la tecnología que se utiliza es muy nueva, dijeron los expertos en seguridad. Pero hay un lado positivo.
“El diseño de puentes seguros sigue siendo un desafío técnico que la industria está tratando de resolver a través de prueba y error”, dijo Adrian Hetman, líder tecnológico de clasificación en el sitio de cazarrecompensas de errores Immunefi. “Con cada nuevo hackeo y error de seguridad encontrado, podemos aprender de los errores y crear mejores soluciones”.
Sin embargo, los desarrolladores todavía no tienen muchas herramientas para crear, depurar o admitir software puente, ni estándares operativos básicos, escribió Chase Devens, analista de investigación de Messari, en un informe de julio.
Además de los desafíos técnicos, los desarrolladores que construyen puentes se enfrentan a enemigos más peligrosos. Lazarus, un grupo de hackers respaldado por el estado de Corea del Norte, fue identificado como el atacante detrás del hackeo del puente Ronin y el robo de 100 millones de dólares del puente Horizon en junio.
Para defenderse de los piratas informáticos inteligentes con vastos recursos y demostrar que pueden ser más que un dolor de cabeza costoso para el sector, los puentes pueden no tener más remedio que intensificar su juego, dijeron los expertos en seguridad.
“Todavía estamos en la etapa inicial”, dice Mudit Gupta, director de seguridad de la información en la solución de escalamiento de Ethereum, Polygon. “Hay mucho más trabajo por hacer”.
Bloomberg
Bloomberg
