– Open Zeppelin, una empresa de ciberseguridad que proporciona herramientas para desarrollar y asegurar aplicaciones descentralizadas (dApps).
– La compañía reveló que la mayor amenaza para las dApps no es la tecnología blockchain, sino las malas intenciones de los piratas informáticos de todo el mundo.
La piratería de blockchain se ha convertido en un problema y amenaza el ecosistema de criptomonedas. Los piratas informáticos pueden violar la seguridad de la cadena de bloques para robar criptomonedas y activos digitales. Esta es la razón por la que las empresas están trabajando en formas innovadoras de proteger sus sistemas de los ataques cibernéticos. Open Zeppelin ha publicado un informe que resume las diez principales técnicas de piratería de blockchain.
¿Cómo plantean amenazas los piratas informáticos a la seguridad de la cadena de bloques?
51% de ataques
Este ataque ocurre cuando un pirata informático obtiene el control de al menos el 51% o más de la potencia informática en una red de cadena de bloques. Esto les dará el poder de controlar el algoritmo de consenso de la red y podrán manipular las transacciones. Esto resultará en un gasto doble, donde el hacker puede repetir la misma transacción. Por ejemplo, Binance es un inversor importante en la memecoin Dogecoin y la stablecoin Zilliqa, y puede manipular fácilmente el criptomercado.
Riesgos de contratos inteligentes
Los contratos inteligentes son programas autoejecutables que se basan en la tecnología blockchain subyacente. Los piratas informáticos pueden piratear el código de los contratos inteligentes y manipularlos para robar información, fondos o activos digitales.
Ataques de Sybil
Tal ataque ocurre cuando un pirata informático ha creado múltiples identidades o nodos falsos en una red de cadena de bloques. Esto les permite obtener el control de una parte importante de la potencia informática de la red. Pueden manipular transacciones en la red para ayudar en el financiamiento del terrorismo u otras actividades ilícitas.
Ataques de malware
Los piratas informáticos pueden implementar malware para obtener acceso a las claves de cifrado o información privada de un usuario, lo que les permite robar de las billeteras. Los piratas informáticos pueden engañar a los usuarios para que revelen sus claves privadas, que pueden utilizarse para obtener acceso no autorizado a sus activos digitales.
¿Cuáles son las 10 mejores técnicas de piratería de blockchain de Open Zeppelin?
Retrospectiva de problemas de integración de TUSD compuesto
Compound es un protocolo financiero descentralizado que ayuda a los usuarios a obtener intereses sobre sus activos digitales tomándolos prestados y prestándolos en la cadena de bloques de Ethereum. TrueUSD es una moneda estable vinculada al USD. Uno de los principales problemas de integración con TUSD estaba relacionado con la transferencia de activos.
Para usar TUSD en un Compuesto, tenía que ser transferible entre direcciones de Ethereum. Sin embargo, se encontró un error en el contrato inteligente de TUSD y algunas transferencias se bloquearon o retrasaron. Esto significaba que los clientes no podían retirar ni depositar TUSD del Complejo. De este modo, se generaron problemas de liquidez y los usuarios perdieron oportunidades de ganar intereses o tomar prestados miles de dólares.
6.2 L2 DAI permite robar problemas en las evaluaciones de código
A fines de febrero de 2021, se descubrió un problema en la evaluación del código de los contratos inteligentes de StarkNet DAI Bridge, que podría haber permitido a cualquier atacante saquear fondos del sistema Layer 2 o L2 DAI. Este problema se encontró durante una auditoría realizada por Certora, una organización de seguridad de blockchain.
El problema en la evaluación del código involucraba una función de depósito vulnerable del contrato, que un pirata informático podría haber utilizado para depositar monedas DAI en el sistema L2 de DAI; sin enviar las monedas. Esto podría permitir que un hacker acuñara una cantidad ilimitada de monedas DAI. Pueden venderlo al mercado para obtener grandes ganancias. El sistema StarkNet ha perdido más de $ 200 millones en monedas encerradas en el momento del descubrimiento.
El problema fue resuelto por el equipo de StarkNet, quien se asoció con Certora para implementar una nueva versión del contrato inteligente defectuoso. Luego, la nueva versión fue auditada por la empresa y se consideró segura.
Informe de riesgo de $ 350 millones de Avalanche
Este riesgo se refiere a un ataque cibernético que ocurrió en noviembre de 2021, que resultó en la pérdida de tokens por valor de alrededor de $ 350 millones. Este ataque se dirigió a Poly Network, una plataforma DeFi que permite a los usuarios intercambiar criptomonedas. El atacante aprovechó una vulnerabilidad en el código de contrato inteligente de la plataforma, lo que le permitió al pirata informático controlar las billeteras digitales de la plataforma.
Al descubrir el ataque, Poly Network le suplicó al pirata informático que devolviera los activos robados, afirmando que el ataque había afectado a la plataforma y a sus usuarios. Sorprendentemente, el atacante accedió a devolver los activos robados. También afirmó que tenía la intención de exponer las vulnerabilidades en lugar de sacar provecho de ellas. Los ataques destacan la importancia de las auditorías de seguridad y las pruebas de contratos inteligentes para identificar vulnerabilidades antes de que puedan ser explotadas.
¿Cómo robar $ 100 millones de contratos inteligentes impecables?
El 29 de junio de 2022, un individuo noble protegió a Moonbeam Network al revelar una falla crítica en el diseño de los activos digitales, que valían $ 100 millones. Recibió la cantidad máxima de este programa de recompensas por errores de ImmuneF ($ 1M) y un bono (50K) de Moonwell.
Moonriver y Moonbeam son plataformas compatibles con EVM. Hay algunos contratos inteligentes precompilados entre ellos. El desarrollador no tuvo en cuenta la ventaja de la 'llamada de delegado' en EVM. Un hacker malicioso puede pasar su contrato precompilado para hacerse pasar por quien llama. El contrato inteligente no podrá determinar la persona que llama. El atacante puede transferir los fondos disponibles inmediatamente del contrato.
¿Cómo PWNING ahorró 7K ETH y ganó una recompensa por errores de $6 M?
PWNING es un entusiasta de la piratería que se unió recientemente a la tierra de las criptomonedas. Unos meses antes del 14 de junio de 2022, informó un error crítico en el motor Aurora. Al menos 7K Eth estaban en riesgo de ser robados hasta que encontró la vulnerabilidad y ayudó al equipo de Aurora a solucionar el problema. También ganó una recompensa por errores de 6 millones, la segunda más alta de la historia.
Funciones fantasma y sin operaciones de mil millones de dólares
Se trata de dos conceptos relacionados con el desarrollo y la ingeniería de software. Las funciones fantasma son bloques de código presentes en un sistema de software pero que nunca se ejecutan. El 10 de enero, el equipo de Dedaub reveló la vulnerabilidad del proyecto Multi Chain, anteriormente AnySwap. Multichain ha hecho un anuncio público que se centró en el impacto en sus clientes. Este anuncio fue seguido por ataques y una guerra de flash bots, lo que resultó en una pérdida del 0.5 % de los fondos.
Reentrada de solo lectura: una vulnerabilidad responsable de un riesgo de $ 100 millones en fondos
Este ataque es un contrato malicioso que podrá llamarse a sí mismo repetidamente y drenar los fondos del contrato objetivo.
¿Podrían los tokens como WETH ser insolventes?
El WETH es un contrato simple y fundamental en el ecosistema Ethereum. Si se produce la desvinculación, tanto ETH como WETH perderán valor.
Una vulnerabilidad revelada en Profanity
Blasfemia es una vanidad de Ethereum que aborda la herramienta de vanidad. Ahora bien, si esta herramienta generó la dirección de la billetera de un usuario, es posible que no sea seguro que la usen. Blasfemia usó un vector aleatorio de 32 bits para generar la clave privada de 256 bits, que se sospecha que no es segura.
Atacando a Ethereum L2
Se informó un problema de seguridad crítico, que podría ser utilizado por cualquier atacante para replicar dinero en la cadena.