Desde septiembre de 2020, los protocolos de cadena cruzada (cross-chain) han atraído cada vez más la atención de los ciberdelincuentes. Representan alrededor del 50% de todos los ataques al sector DeFi.
Según el agregador de datos Token Terminal, los hackers han robado más de 2.500 millones de dólares en los últimos dos años utilizando las vulnerabilidades de los puentes cross-chain. Esta cantidad representa aproximadamente la mitad de todos los fondos robados al sector DeFi durante este periodo.
En particular, el último informe de Chainalysis mostró que los hackers consiguieron robar 2.000 millones de dólares de varios protocolos cross-chain en 2022. Así, el 80% de los ataques exitosos a los puentes de cadena cruzada tuvieron lugar sólo este año.
Mitchell Amador, experto en seguridad de DeFi y CEO de Immunefi, cree que la creciente popularidad de los puentes cross-chain está atrayendo la atención de los ciberdelincuentes. Los protocolos de cadena cruzada han permitido a los usuarios mover activos digitales de una cadena a otra, pero la complejidad de su creación y la falta de experiencia de los desarrolladores da lugar a vulnerabilidades que son aprovechadas por los hackers.
A modo de recordatorio, los mayores ataques a los puentes cross-chain de este año fueron:
- Ronin Network por 624 millones de dólares;
- Horizon Bridge por unos 100 millones de dólares;
- BSC Token Hub por más de 100 millones de dólares;
Sin embargo, la popularidad de los puentes cross-chain tiene otra cara. La comunidad está siguiendo activamente la tecnología y cada vez es más difícil para los atacantes pasar desapercibidos. El otro día, por ejemplo, un hacker intentó explotar una vulnerabilidad en el puente BitBTC de la red de capa 2 basada en Ethereum de Optimism. Sin embargo, un usuario del protocolo pudo descubrir la vulnerabilidad y evitar el exploit publicando la información en Twitter.
El atacante se aprovechó de un fallo en el código del puente. Esto le permitió acuñar tokens falsos en L1, que luego podría cambiar por otros auténticos en L2. Sin embargo, esto habría llevado unos 7 días. Gracias a la atención de Lee Bousfield, jefe técnico de Arbitrum, se detectaron las intenciones del ciberdelincuente y el equipo del proyecto tuvo tiempo suficiente para rectificar el error.
Según algunos expertos, las tecnologías de protocolo de cadena cruzada tienen que pasar por una serie de exploits antes de que los desarrolladores puedan adquirir la suficiente experiencia para protegerlas. Esto también es cierto para otros proyectos del mercado DeFi, ya que el sector sigue siendo el más vulnerable a los ataques de los hackers.