Redacción NM
Otro día, otro hack, y otro puente blockchain quemado.
Cuando los ladrones robaron un estimado de $ 190 millones de la criptoempresa estadounidense Nomad la semana pasada, fue el séptimo hackeo de 2022 para apuntar a un engranaje cada vez más importante en la criptomáquina: los «puentes» de Blockchain: cadenas de código que ayudan a mover criptomonedas entre diferentes aplicaciones.
En lo que va del año, los piratas informáticos han robado criptografía por valor de unos 1200 millones de dólares de los puentes, según muestran los datos de la firma de análisis de cadenas de bloques con sede en Londres Elliptic, ya más del doble del total del año pasado.
“Esta es una guerra en la que la empresa de seguridad cibernética o el proyecto no pueden ser ganadores”, dijo Ronghui Hu, profesor de informática en la Universidad de Columbia en Nueva York y cofundador de la empresa de seguridad cibernética CertiK.
“Tenemos que proteger tantos proyectos. Para ellos (hackers) cuando miran un proyecto y no hay errores, simplemente pueden pasar al siguiente, hasta que encuentren un punto débil”.
En la actualidad, la mayoría de los tokens digitales se ejecutan en su propia cadena de bloques única, esencialmente un libro de contabilidad digital público que registra las transacciones criptográficas. Eso corre el riesgo de que los proyectos que utilizan estas monedas se conviertan en silos, lo que reduce sus perspectivas de uso generalizado.
Los puentes de cadena de bloques tienen como objetivo derribar estos muros. Los patrocinadores dicen que desempeñarán un papel fundamental en «Web3», la visión muy publicitada de un futuro digital donde las criptomonedas están enredadas en la vida y el comercio en línea.
Sin embargo, los puentes pueden ser el eslabón más débil.
El hack de Nomad fue el octavo robo de criptomonedas más grande registrado. Otros robos de puentes este año incluyen un robo de $ 615 millones en Ronin, utilizado en un popular juego en línea, y un robo de $ 320 millones en Wormhole, utilizado en las llamadas aplicaciones de finanzas descentralizadas.
“Los puentes de cadena de bloques son el terreno más fértil para nuevas vulnerabilidades”, dijo Steve Bassi, cofundador y director ejecutivo del detector de malware PolySwarm.
talon de aquiles
Nomad y otras compañías que fabrican software de puente de cadena de bloques han atraído respaldo.
Solo cinco días antes de que fuera pirateado, Nomad, con sede en San Francisco, dijo que había recaudado $ 22,4 millones de inversores, incluido el importante intercambio Coinbase Global (COIN.O). El CEO y cofundador de Nomad, Pranay Mohan, llamó a su modelo de seguridad el «estándar de oro».
Nomad no respondió a las solicitudes de comentarios.
Ha dicho que está trabajando con las agencias de aplicación de la ley y una firma de análisis de blockchain para rastrear los fondos robados. A fines de la semana pasada, anunció una recompensa de hasta el 10% por la devolución de los fondos pirateados del puente. Dijo el sábado que había recuperado más de $ 32 millones de los fondos pirateados hasta el momento.
“Lo más importante en criptografía es la comunidad, y nuestro objetivo número uno es restaurar los fondos de los usuarios en puente”, dijo Mohan. “Trataremos a cualquier parte que devuelva el 90% o más de los fondos explotados como sombreros blancos. No procesaremos a los sombreros blancos”, dijo, refiriéndose a los llamados hackers éticos.
Varios expertos en seguridad cibernética y blockchain dijeron a Reuters que la complejidad de los puentes significaba que podían representar un talón de Aquiles para los proyectos y aplicaciones que los usaban.
«Una de las razones por las que los piratas informáticos se han centrado en estos puentes de cadena cruzada últimamente es por la inmensa sofisticación técnica involucrada en la creación de este tipo de servicios», dijo Ganesh Swami, director ejecutivo de la empresa de datos de cadena de bloques Covalent en Vancouver, que tenía algunas criptomonedas almacenadas en Nomad. puente cuando fue pirateado.
Por ejemplo, algunos puentes crean versiones de criptomonedas que las hacen compatibles con diferentes cadenas de bloques, manteniendo las monedas originales en reserva. Otros confían en contratos inteligentes, convenios complejos que ejecutan tratos automáticamente.
El código involucrado en todos estos puede contener errores u otras fallas, lo que podría dejar la puerta entreabierta para los piratas informáticos.
Recompensas de errores
Entonces, ¿cuál es la mejor manera de abordar el problema?
Algunos expertos dicen que las auditorías de contratos inteligentes podrían ayudar a protegerse contra los robos cibernéticos, así como los programas de «recompensa de errores» que incentivan las revisiones de código abierto del código de contrato inteligente.
Otros piden una menor concentración del control de los puentes por parte de empresas individuales, algo que, según dicen, podría reforzar la resiliencia y la transparencia del código.
“Los puentes de cadena cruzada son un objetivo atractivo para los piratas informáticos porque a menudo aprovechan una infraestructura centralizada, la mayoría de los cuales bloquean activos”, dijo Victor Young, fundador y arquitecto jefe de la firma estadounidense de cadenas de bloques Analog.
