Las mayores vulnerabilidades DeFi en la Web3: Cómo prevenir brechas de seguridad similares

Los protocolos de finanzas descentralizadas (DeFi) ofrecen servicios financieros descentralizados a los usuarios, permitiéndoles realizar transacciones y firmar acuerdos con otros participantes. Si bien el objetivo de los protocolos DeFi es proporcionar una plataforma segura y confiable para sus usuarios, varias vulnerabilidades de seguridad en los últimos años han causado pérdidas significativas de fondos. Este artículo analizará algunas de las vulnerabilidades de seguridad más extensas DeFi ocurridas recientemente.

Aquí están las 8 principales vulnerabilidades DeFi en la Web3 después de deducir los fondos devueltos:

Cadena Ronin – 600 millones de dólares

Marzo de 2023 fue un mes lleno de acontecimientos para el espacio de las criptomonedas, con el hackeo del puente Ronin de Axie Infinity encabezando la lista con $612 millones.

Ronin Bridge es una cadena lateral Ethereum utilizada en el popular juego de jugar para ganar Axie Infinity.

El grupo de ciberdelincuencia Lazarus, sospechoso de tener conexiones con Corea del Norte, logró acceder a las claves privadas de nueve validadores de transacciones, lo que les permitió aprobar dos grandes transacciones y transferir los fondos desde su dirección de billetera. Afortunadamente, la colaboración entre autoridades, empresas de seguridad y plataformas de intercambio de criptomonedas permitió tracalgunos de estos fondos después de que los hackers los trasladaran a Tornado cash (un mezclador de criptomonedas de código abierto) y a otras plataformas de intercambio.

Puente de agujero de gusano: 323 millones de dólares

En febrero de 2022, ocurrió un desafortunadodent cuando piratas informáticos explotaron el código de un agujero de gusano para llevarse criptomonedas por un valor de 326 millones de dólares.

Un agujero de gusano es un puente de tokens entre Solana y Ethereum, que lamentablemente no logró prevenir el ataque. Esto fue posible gracias a una función insegura obsoleta o inactiva que eludía la verificación de firmas y habilitaba la cadena de delegaciones de firmas.

Expertos en ciberseguridad sugieren que los desarrolladores podrían haber evitado el ataque si hubieran implementado prácticas de codificación segura, que exigen la verificación de todos los parámetros. Esta verificación podría haber garantizado la autenticación de direcciones válidas y, por lo tanto, haber descartado el acceso de fuentes ilegítimas a los activos de la cadena.

Beanstalk – 181 millones de dólares

En un fatídico fin de semana de abril de 2022, un hacker desató un ataque que sacudió a la comunidad cripto. Mediante un préstamo flash —una característica de los protocolos de finanzas descentralizadas (DeFi)—, lograron robar 182 millones de dólares en ETH, la stablecoin BEAN y otros activos del protocolo de la stablecoin Beanstalk.

Los hackers presentaron dos propuestas maliciosas a la DAO Beanstalk mediante su función de confirmación de emergencia, que requiere ⅔ de votos antes de su implementación después de 24 horas. El atacante utilizó tecnología de préstamos flash para obtener el control del 79% de los tokens y aprobar ambas propuestas y ejecutar su plan con éxito.

Los fondos se enviaron desde el protocolo para liquidar el préstamo relámpago, y el resto se destinó a una dirección asociada a un fondo de emergencia con sede en Ucrania. En total, el responsable de este valiente acto se ha apropiado de hasta 76 millones de dólares.

Nómada – 155 millones de dólares

El desconcertante hackeo del puente Nomad fue noticia cuando ocurrió el 1 de agosto de 2022. Conmocionó a muchos entusiastas de blockchain cuando los atacantes aprovecharon una vulnerabilidad para drenar más de $190 millones en activos basados ​​en Ethereumalmacenados en el puente cruzado multicadena.

Los hackers actuaron con rapidez y furia, involucrando a cientos de billeteras en 960 transacciones que resultaron en 1175 retiros individuales del Valor Total Bloqueado ( TVL ) del puente . Todo en cuestión de horas.

Un aspecto desconcertante de este ataque fue que todo lo que los usuarios tenían que hacer para piratear los fondos del puente era copiar y pegar los datos de la llamada de transacción del pirata informático original, reemplazar la dirección original por una personal y la transacción se completaría.

El hackeo causó conmoción en toda la comunidad de finanzas descentralizadas (DeFi), demostrando que los hackers van un paso por delante al explotar vulnerabilidades en el código. El puente Nomad ofrece un ejemplo ilustrativo de la importancia de las prácticas de codificación seguras y refuerza por qué la seguridad sigue siendo un desafío constante para los proyectos blockchain hoy en día.

CREAM Finance – 130,8 millones de dólares

Si bien el ataque a CREAM en octubre de 2021 fue uno de los mayores robos de préstamos flash, ciertamente no fue undentaislado. Los ataques de préstamos flash implican el uso de un "préstamo flash" de liquidez, la obtención de un préstamo y el impago de esta financiación rápida, todo en una sola transacción.

Al explotar errores de cálculo de precios, los hackers pueden obtener ganancias rápidamente de sus préstamos. Por ejemplo, en el caso de CREAM, dos direcciones diferentes interactuaron con su yUSDVault para acuñar una gran cantidad de tokens crYUSD. Aprovecharon una vulnerabilidad que duplicaría el valor de estas acciones. Si bien lograron obtener fondos por valor de 130 millones de dólares, los aproximadamente 1000 millones de dólares en garantías disponibles podrían alcanzar una cantidad mucho mayor. 

Los ataques de préstamos flash son cada vez más frecuentes y la comunidad debería preguntarse cómo pueden prevenir más violaciones de seguridad en el futuro.

Centro de tokens BSC: 127 millones de dólares

En octubre de 2022, unos piratas informáticos que explotaron una vulnerabilidad crítica en el código del puente cruzado BSC Beacon se llevaron activos criptográficos por un total de 570 millones de dólares.

La cadena BSc Beacon, también conocida como Token Hub, es un puente entre cadenas que conecta la BNB Beacon Chain (BEP2) y la BNB Chain (BEP20/BSC).

El hacker falsificó pruebas criptográficas llamadas pruebas Merkle, diseñadas para confirmar la validez de datos como las transacciones. A su vez, utilizó estas falsas pruebas Merkle para transferir fondos desde el puente cruzado de BSC Beacon a otras cadenas.

Tan pronto como Tether bloqueó las direcciones de los atacantes, se tomó una acción rápida y se congelaron más de $7 millones transferidos de la cadena BNB , confiscando la mayor parte de sus fondos mal habidos.

Harmony Horizon – 100 millones de dólares

En junio de 2022, el proyecto Harmony Horizon Bridge se vio comprometido cuando los piratas informáticos robaron dos de sus cinco claves privadas de validación, lo que permitió a los estafadores transferir tokens por valor de 100 millones de dólares.

Este problema de seguridad se debía a la configuración del puente, con un esquema de validación de 2 de 5. Como resultado, el atacante solo necesitaba dos aprobaciones para validar cualquier transacción maliciosa. Para ocultar su trac, los atacantes utilizaron Tornado Cash para blanquear parte de sus ganancias ilícitas. 

Aunque esta configuración puede haber parecido segura inicialmente, resultó ser un objetivo lucrativo para los malos actores y una costosa lección sobre seguridad de blockchain para aquellos atrapados.

Rari- 91 millones de dólares

Los ataques de reentrada han existido desde los inicios de Ethereum. Han aprovechado vulnerabilidadestracpara retirar fondos repetidamente antes de que la transacción original sea aprobada o rechazada.

En mayo de 2022, dos plataformas financieras descentralizadas se vieron comprometidas de esta manera, y hackers robaron 90 millones de dólares. Jack Longarzo, de Rari Capital, afirmó que el atacante explotó a la empresa, y Fei Protocol, que se fusionó con Rari Capital, ofreció al hacker una recompensa de 10 millones de dólares.

La empresa de seguridad blockchain BlockSec explicó que los piratas informáticos aprovecharon una vulnerabilidad de reentrada. 

Los desarrolladores pueden prevenir este tipo de ataques probando y auditando adecuadamente lostracantes de implementarlos en la cadena de bloques Ethereum .

Cómo protegerse de las vulnerabilidades DeFi

Los protocolos DeFi se han vuelto cada vez más populares y complejos, lo que los convierte en objetivostracpara los hackers. A continuación, se presentan siete consejos para ayudarle a protegerse de las vulnerabilidades DeFi :

1. Realice una investigación exhaustiva de cualquier proyecto antes de invertir. Revise el código, el sitio web, los miembros del equipo y las redes sociales de la plataforma para detectar posibles señales de alerta.
2. Asegúrese de que una fuente confiable audite lostraccon los que interactúa y que los resultados de la auditoría estén disponibles públicamente.
3. No almacene grandes cantidades de fondos en untracDeFi , lo que lo hace más vulnerable a ataques.
4. Manténgase actualizado con las últimas noticias de seguridad para conocer nuevos exploits.
5. Implementar procedimientos de autenticación y autorización adecuados para todas las cuentas que interactúan con los protocolos DeFi .
6. Asegúrese de que su billetera esté segura y utilice la autenticación de dos factores siempre que sea posible.
7. Monitoree periódicamente sus fondos y transacciones en la cadena de bloques para detectar cualquier actividad sospechosa o retiros no autorizados.

Seguir estos consejos puede ayudarte a protegerte de las vulnerabilidades DeFi y garantizar la seguridad de tus fondos al interactuar con protocolos financieros descentralizados. Sin embargo, también es importante recordar que ningún sistema es infalible, por lo que siempre es recomendable extremar las precauciones al operar con activos digitales.

Conclusión

En general, la seguridad es una de las consideraciones más importantes al trabajar con criptomonedas y protocolos DeFi . Desafortunadamente, a medida que la industria crece, también lo hacen los riesgos de actividad maliciosa. Si bien es imposible garantizar la seguridad total, seguir estos consejos puede ayudarte a protegerte de las vulnerabilidades DeFi y a mantener tus fondos seguros. 

Al mantenerse actualizado sobre los últimos avances en seguridad de blockchain y garantizar que existan procedimientos de autenticación adecuados para todas las cuentas, puede ayudar a garantizar que sus activos digitales permanezcan seguros.