Mejorando la seguridad en puentes entre cadenas
Este artículo examina las vulnerabilidades de los puentes entre cadenas y sugiere mejoras en la seguridad.
― 8 minilectura
Tabla de contenidos
- ¿Qué Son los Puentes entre Cadenas?
- Situación Actual de los Puentes entre Cadenas
- Entendiendo los Componentes del Puente
- Fallos de Diseño Comunes en los Puentes entre Cadenas
- Filtraciones de Claves Privadas
- Bypass de Autenticación
- Escalación de privilegios
- Pruebas Fraudulentas
- Lógica de Negocios Defectuosa
- Mal Control de Acceso
- Eventos de Contrato Maliciosos
- Ataques de Repetición
- Ataques de Front Running
- Cómo Mejorar la Seguridad en los Puentes entre Cadenas
- Gestión Fuerte de Claves
- Procesos de Autenticación Robustos
- Auditorías de Seguridad Regulares
- Monitoreo Activo y Respuesta Rápida
- Limitar Tamaños de Transacciones
- Funciones de Pausa
- Educación del Usuario
- Colaboración con Intercambios
- Medidas Legales
- Resumen
- Conclusión
- Fuente original
- Enlaces de referencia
Los puentes entre cadenas permiten que diferentes blockchains trabajen juntas. Ayudan a mover activos y datos entre estas blockchains. Sin embargo, muchos de estos puentes no son seguros y han sido atacados, lo que ha resultado en pérdidas de miles de millones de dólares. Este artículo analiza los problemas comunes con los puentes entre cadenas y sugiere maneras de hacerlos más seguros.
¿Qué Son los Puentes entre Cadenas?
Los puentes entre cadenas son sistemas que conectan dos o más blockchains. Permiten a los usuarios transferir activos, como criptomonedas, de una blockchain a otra. Estas transferencias pueden incluir tanto activos fungibles, que son como efectivo, como activos no fungibles, como artículos digitales únicos.
La primera forma en que empezaron a funcionar los puentes fue a través de algo llamado sidechains, introducidas en 2014. En este sistema, los activos se bloquean en una blockchain principal y luego se liberan en otra. A lo largo de los años, se han desarrollado nuevos métodos para mejorar el funcionamiento de los puentes, pero estos métodos también han creado nuevos desafíos de seguridad.
Situación Actual de los Puentes entre Cadenas
A pesar de los posibles beneficios, muchos puentes entre cadenas tienen problemas de seguridad. Solo en 2022, los puentes sufrieron pérdidas de alrededor de 2 mil millones de dólares debido a hackeos. La arquitectura de estos puentes suele ser complicada y carece de claridad, lo que los hace vulnerables a ataques.
Investigaciones muestran que la mayoría de los puentes no tienen una comprensión clara de sus componentes y cómo estas partes se relacionan con las posibles debilidades de seguridad. Hay una necesidad urgente de directrices más claras para ayudar a los desarrolladores a crear puentes seguros.
Entendiendo los Componentes del Puente
Para hacer que los puentes entre cadenas sean más seguros, es importante entender sus componentes. Varios elementos clave componen un puente típico:
- Relayer: Esta parte ayuda a ejecutar operaciones entre blockchains.
- Attester: El attester verifica las transacciones para asegurarse de que sean correctas.
- Custodian: Este componente mantiene los activos bloqueados en la cadena de origen hasta que se liberan en la cadena de destino.
- Debt Issuer: Crea activos sintéticos en la cadena de destino después de que se confirma un depósito en la cadena de origen.
- Liquidity Pool: Estos pools son esenciales para mantener y distribuir activos durante las transferencias.
- Aplicación del Puente: Esta interfaz permite a los usuarios interactuar con el puente.
Estos componentes juegan un papel vital en el funcionamiento de un puente. Cada uno puede ser un objetivo para los atacantes, por lo que es crucial mantenerlos seguros.
Fallos de Diseño Comunes en los Puentes entre Cadenas
El diseño de muchos puentes entre cadenas tiene varias debilidades que los hacen objetivos fáciles para los hackers. A continuación se presentan algunos de los fallos más comunes:
Filtraciones de Claves Privadas
Muchos ataques ocurren debido a una mala gestión de claves privadas. Cuando se filtra una clave privada, los hackers pueden acceder a los componentes del puente y potencialmente robar fondos. Algunos puentes utilizan solo una clave, lo que es un gran riesgo.
Bypass de Autenticación
A veces, los atacantes pueden engañar al sistema para que acepte transacciones no válidas. Esto suele suceder cuando el puente no verifica adecuadamente si una transacción es válida antes de procesarla.
Escalación de privilegios
Esto ocurre cuando un atacante puede obtener derechos de acceso más altos de los que debería tener. Por ejemplo, si pueden cambiar las direcciones de los contratos inteligentes y desviar fondos a su propio control.
Pruebas Fraudulentas
Los puentes requieren pruebas para verificar transacciones. Los hackers pueden crear pruebas falsas que engañan al puente para que piense que una transacción es válida, permitiéndoles retirar fondos.
Lógica de Negocios Defectuosa
En algunos casos, la lógica de cómo deberían funcionar las transacciones es defectuosa. Esto puede significar que los atacantes pueden depositar un valor cero y retirar activos.
Mal Control de Acceso
Ciertas funciones solo deberían ser accesibles para usuarios verificados. Si no se implementan estos controles, los usuarios no autorizados pueden acceder a funciones sensibles y potencialmente dañar el puente.
Eventos de Contrato Maliciosos
Debido a que diferentes contratos pueden emitir eventos para señalar transacciones, los atacantes pueden crear sus propios contratos que imiten estos eventos, engañando al sistema para que los acepte como genuinos.
Ataques de Repetición
Este tipo de ataque permite a un atacante reutilizar la misma transacción en otra cadena, lo que puede llevar a que los fondos se gasten dos veces.
Ataques de Front Running
En estos ataques, un hacker puede colocar su transacción por delante de una legítima para obtener una ventaja, a menudo a expensas del usuario original.
Cómo Mejorar la Seguridad en los Puentes entre Cadenas
Para hacer que los puentes entre cadenas sean más seguros, los desarrolladores deberían implementar varias medidas clave. Aquí hay algunas estrategias que pueden ayudar a mitigar riesgos:
Gestión Fuerte de Claves
Los puentes deberían usar un enfoque de múltiples firmas para gestionar claves privadas. Esto significa que se requieren múltiples claves para completar acciones importantes, reduciendo las posibilidades de que una sola clave se vea comprometida.
Procesos de Autenticación Robustos
Los puentes necesitan verificar cuidadosamente las transacciones entrantes y salientes. Deberían comprobar que todas las pruebas y firmas sean válidas, y que las transacciones cumplan con las reglas establecidas por el puente.
Auditorías de Seguridad Regulares
Las auditorías de seguridad regulares pueden ayudar a identificar fallos y vulnerabilidades antes de que puedan ser explotados. Tener a un tercero que evalúe el puente puede descubrir debilidades ocultas.
Monitoreo Activo y Respuesta Rápida
Los puentes deberían tener sistemas de monitoreo para detectar posibles explotaciones. Si se detecta una explotación, los operadores del puente deberían poder responder rápidamente para minimizar daños.
Limitar Tamaños de Transacciones
Establecer límites en el valor de las transacciones puede reducir el impacto de una explotación. Esto significa que incluso si un hacker obtiene acceso, solo podrá robar una cantidad limitada de fondos.
Funciones de Pausa
Los puentes deberían implementar una manera de pausar todas las operaciones durante un ataque sospechoso. Esto permitiría tiempo para la investigación sin que ocurran más pérdidas.
Educación del Usuario
Los puentes deberían informar a los usuarios sobre los riesgos involucrados y proporcionar orientación sobre cómo protegerse. Los usuarios educados son menos propensos a caer en esquemas de phishing u otras tácticas utilizadas por los atacantes.
Colaboración con Intercambios
Las asociaciones con intercambios de criptomonedas pueden ayudar a rastrear fondos robados. Si un intercambio detecta fondos que provienen de un puente hackeado, puede congelar esos activos y evitar que el hacker los retire.
Medidas Legales
Trabajar con las fuerzas del orden puede ayudar a recuperar activos robados y responsabilizar a los atacantes. Tener un plan en acción para medidas legales puede actuar como un disuasivo contra futuros ataques.
Resumen
Los puentes entre cadenas tienen un gran potencial para crear un mundo blockchain más interconectado. Sin embargo, sus vulnerabilidades actuales representan riesgos significativos. Al entender los fallos de diseño e implementar medidas de seguridad más sólidas, se pueden reducir considerablemente las posibilidades de ataques exitosos.
El futuro de los puentes entre cadenas dependerá de la capacidad de la industria para adaptarse y mejorar. A medida que más usuarios se involucren con estas tecnologías, garantizar su seguridad debería ser una prioridad para los desarrolladores. Siguiendo las pautas descritas en este artículo, la comunidad blockchain puede trabajar junta para construir sistemas de puentes entre cadenas más seguros y confiables.
Conclusión
Los puentes entre cadenas son una parte vital del paisaje blockchain, permitiendo que diferentes sistemas trabajen juntos. Sin embargo, muchos de estos puentes enfrentan actualmente serios riesgos debido a fallos de diseño. Al reconocer estas debilidades y abordarlas a través de medidas de seguridad mejoradas, los desarrolladores pueden ayudar a proteger a los usuarios y los activos en el cada vez más creciente espacio blockchain. El camino por delante requiere colaboración, educación y un compromiso con la seguridad para fomentar la confianza en estas nuevas tecnologías.
Título: SoK: Cross-Chain Bridging Architectural Design Flaws and Mitigations
Resumen: Cross-chain bridges are solutions that enable interoperability between heterogeneous blockchains. In contrast to the underlying blockchains, the bridges often provide inferior security guarantees and have been targets of hacks causing damage in the range of 1.5 to 2 billion USD in 2022. The current state of bridge architectures is that they are ambiguous, and there is next to no notion of how different architectures and their components are related to different vulnerabilities. Throughout this study, we have analysed 60 different bridges and 34 bridge exploits in the last three years (2021-2023). Our analyses identified 13 architectural components of the bridges. We linked the components to eight types of vulnerabilities, also called design flaws. We identified prevention measures and proposed 11 impact reduction measures based on the existing and possible countermeasures to address the imminent exploits of the design flaws. The results are meant to be used as guidelines for designing and implementing secure cross-chain bridge architectures, preventing design flaws, and mitigating the negative impacts of exploits.
Autores: Jakob Svennevik Notland, Jinguye Li, Mariusz Nowostawski, Peter Halland Haro
Última actualización: 2024-03-01 00:00:00
Idioma: English
Fuente URL: https://arxiv.org/abs/2403.00405
Fuente PDF: https://arxiv.org/pdf/2403.00405
Licencia: https://creativecommons.org/licenses/by/4.0/
Cambios: Este resumen se ha elaborado con la ayuda de AI y puede contener imprecisiones. Para obtener información precisa, consulte los documentos originales enlazados aquí.
Gracias a arxiv por el uso de su interoperabilidad de acceso abierto.
Enlaces de referencia
- https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=9881607
- https://github.com/tornadocash
- https://roninchain.com
- https://multichain.org/
- https://skymavis.com/
- https://badger.com/
- https://medium.com/immunefi/aurora-withdrawal-logic-error-bugfix-review-c5b4e30a9160
- https://dl.acm.org/doi/abs/10.1145/3551349.3559520
- https://www.notion.so/Ethereum-Grant-Proposal-Resisting-MEV-Attacks-via-Privacy-preserving-Techniques-and-Optimized-PBS-caddad881f9d4d9e901971b84275ca4b
- https://uniswap.org
- https://rekt.news
- https://beosin.com/
- https://halborn.com/
- https://github.com/SunWeb3Sec/DeFiHackLabs
- https://certik.com/
- https://immunefi.com/
- https://scopus.com
- https://webofscience.com/
- https://web3sec.notion.site/web3sec/ba459372dc434341b99ec92a932f98dc?v=7fceca7b3da74aa8a99b49c44a2a3916
- https://rekt.news/
- https://www.halborn.com/blog/category/explained-hacks
- https://beosin.com/resources?lang=en-US
- https://crosschainriskframework.github.io/
- https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=9239372
- https://arxiv.org/abs/2210.16209
- https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=9402298
- https://dl.acm.org/doi/pdf/10.1145/3530019.3531345
- https://dl.acm.org/doi/pdf/10.1145/3391195
- https://www.webofscience.com/wos/woscc/summary/cf59482d-1bea-47b5-849a-983fcca13d61-90630243/date-descending/1
- https://www.scopus.com/results/results.uri?sort=plf-f&src=s&sid=e3b3a548af3d3311a192e528d1eff142&sot=a&sdt=a&sl=1148&s=TITLE-ABS-KEY%28%28blockchain+OR+%28distributed+AND+ledger%29+OR+DLT+OR+cryptoasset+OR+cryptocurrency+OR+cryptocurrencies%29+AND+%28%28front+AND+run%29+OR+%28flash+AND+loan%29+OR+%28miner+AND+extracted+AND+value%29+OR+mev+OR+hack+OR+exploit+OR+security+OR+vulnerability+OR+vulnerabilities+OR+incident+OR+attack+OR+manipulate+OR+manipulation%29%29+AND+TITLE%28notary+OR+%28automated+AND+market+AND+maker%29+OR+AMM+OR+%28side+AND+chain%29+OR+HTLC+OR+%28hash+AND+time+AND+lock+AND+contract%29+OR+%28cross+AND+chain%29+OR+%28%28decentralized+OR+decentralised%29+AND+finance%29+OR+DEFI+OR+swap+OR+%28%28crypto+OR+cryptocurrency+OR+cryptocurrencies+OR+cryptoasset+OR+cryptoassets+OR+decentralized+OR+decentralised+OR+centralized+OR+centralised%29+AND+exchange%29+OR+CEX+OR+DEX+OR+bridge+OR+bridging+OR+%28wrapped+AND+token%29+OR+WBTC+OR+WETH+OR+%28liquidity+AND+pool%29+OR+%28inter+AND+chain%29+OR+interoperability+OR+interoperable%29+AND+NOT+TITLE%28seismic+OR+health+OR+healthcare+OR+NFT+OR+supply+OR+%28smart+AND+city%29+OR+EHR+OR+EMR+OR+enterprise+OR+%28data+AND+transfer%29+OR+medical+OR+%28data+AND+sharing%29+OR+e-health+OR+ehealth+OR+pharmaceutical+OR+patient+OR+iot+OR+agriculture+OR+food+OR+%28identity+AND+management%29+OR+scam+OR+fraud%29&origin=savedSearchNewOnly&txGid=6f97a78ed98a57c542b2f2133712cabb&sessionSearchId=e3b3a548af3d3311a192e528d1eff142&limit=10
- https://github.com/immunefi-team/Web3-Security-Library?utm_source=immunefi
- https://wooded-meter-1d8.notion.site/0e85e02c5ed34df3855ea9f3ca40f53b?v=22e5e2c506ef4caeb40b4f78e23517ee
- https://github.com/immunefi-team/Web3-Security-Library/blob/main/BugFixReviews/README.md#2021
- https://github.com/immunefi-team/Web3-Security-Library/blob/main/Vulnerabilities/README.md
- https://github.com/SunWeb3Sec/DeFiVulnLabs
- https://www.certik.com/resources/blog/2aHoafYEoeRguK2gE9fD1s-hack3d-the-web3-security-report-2022
- https://www.certik.com/resources/blog/4Rt6nVfk3RZGuvLGbSCOoK-2022-year-in-review-lending-protocols
- https://www.certik.com/resources
- https://www.halborn.com/blog/category/year-in-review
- https://www.halborn.com/blog/category/month-in-review
- https://go.chainalysis.com/2023-crypto-crime-report-thank-you.html?aliId=eyJpIjoiZUo3OUpiT25xUW9hbElCXC8iLCJ0IjoibzBBeDNHdFhXOEJMbzFPNUlsWEZcL1E9PSJ9
- https://mirror.ctan.org/biblio/bibtex/contrib/doc/
- https://www.michaelshell.org/tex/ieeetran/bibtex/