Si vieras las pérdidas, llegarías a la conclusión de que los puentes cross-chain están acabados.
En caída libre. En caída catastrófica, incluso.
Desde su creación, la tecnología blockchain ha sido reconocida durante mucho tiempo por su potencial de seguridad inigualable respaldado por la descentralización. Si bien su capacidad de seguridad ha estado a la altura de las expectativas, las garantías de seguridad de la infraestructura relacionada con las blockchains han mostrado grandes grietas. Desafortunadamente, la infraestructura más vulnerable en Web3 también es una de las más cruciales dentro del ecosistema blockchain.
Entonces, ¿cuál es esta pieza de infraestructura de alto riesgo pero lucrativa?
Los más entendidos que lograron pasar la primera línea de este artículo ya saben la respuesta.
Son los puentes cross-chain.
Y han perdido más de 2.5 mil millones de dólares debido a exploits, convirtiéndose en los objetivos más lucrativos para los hackers en Web3.
Los Hackeos Crosschain Más Viles de la Historia
Entonces, ¿qué tan mal está realmente la industria cross-chain?
Acompáñame y descubre el lado oscuro del ecosistema cross-chain.
ChainSwap Hack 2021
El colapso de ChainSwap ocurrió después de que un hacker explotara una vulnerabilidad en el contrato inteligente del protocolo. Debido a que era una plataforma cross-chain, el atacante pudo acuñar tokens en múltiples proyectos que utilizaban el puente. Nueve días después del hackeo inicial, ocurrió un segundo ataque al protocolo ChainSwap que resultó en aproximadamente 4 millones de dólares en pérdidas.
Multichain Hack 2021 / 2023
En 2021, el DEX cross-chain AnySwap, basado en el protocolo Fusion Network, sufrió un hackeo que resultó en la pérdida de 10 millones de dólares en USDC y $MIM. Este exploit ocurrió cuando un hacker firmó dos transacciones del router V3 bajo la cuenta MPC del router V3 en BSC, donde ambas transacciones tenían la misma firma con valor R. Con esto, el atacante logró exponer la clave privada de la cuenta MPC. En otras palabras, un generador de números aleatorios falló al crear una nueva cadena de credenciales utilizadas para desbloquear la clave privada. Al darse cuenta de esto, el hacker utilizó ese conocimiento para hacer ingeniería inversa de la clave privada y robar los fondos de los usuarios desde la cuenta MPC.
Después de que AnySwap se rebrandeara a MultiChain, la plataforma fue hackeada OTRA VEZ en 2023, lo que resultó en más de 120 millones de dólares en pérdidas. Este evento llevó rápidamente al arresto del fundador por parte de la policía china. Tras el arresto, se descubrió que los servidores de nodos del protocolo estaban funcionando en la cuenta personal de nube del propio fundador, lo que socavaba completamente la integridad, la seguridad y la descentralización del servicio de cross-chain bridging.
Wormhole Hack 2022
El hackeo de Wormhole resultó en una pérdida de 321 millones de dólares, convirtiéndose en uno de los primeros grandes ataques de 2022. En este caso, el hacker logró falsificar una firma válida para una transacción, lo que le permitió acuñar libremente 120,000 wETH en el lado de Solana del puente. Afortunadamente, solo los activos en el lado de Solana fueron liquidados, mientras que los demás permanecieron intactos.
Ronin Hack 2022
Ronin Network, una sidechain basada en Ethereum desarrollada por Sky Mavis de Axie Infinity, anunció que su puente fue hackeado por casi 600 millones de dólares en Ethereum y USDC. Según un comunicado oficial, los atacantes utilizaron claves privadas comprometidas para falsificar retiros desde el contrato del puente Ronin en dos transacciones. Como medida de seguridad, Ronin requiere firmas de 5 de los 9 nodos validadores existentes para procesar transacciones de retiro y depósito. El comunicado señala que el atacante encontró una puerta trasera a través del nodo RPC sin gas (gas-free). Aprovecharon esto para obtener la firma del validador Axie DAO.
Si bien es fácil culpar al hacker por el exploit, algunos de los elementos clave que hicieron posible este ataque recaen en el propio protocolo Ronin. Debido a un aumento en la demanda en noviembre, Sky Mavis creó una puerta trasera para procesar transacciones más rápido. Aunque esto mejoró la escalabilidad de la plataforma, el aumento de la centralización creó un punto único de fallo, ya que el atacante pudo obtener rápidamente 5 de las 9 firmas al mismo tiempo. En general, el giro hacia la centralización de Ronin dejó sus medidas de seguridad prácticamente inútiles. Este hack del Ronin Bridge se posiciona entre los más costosos en la historia del crypto, junto con el hack de Poly Network.
¿Cuál es el maldito problema?
Un tema recurrente entre estos exploits refleja el equilibrio inconsistente entre seguridad y descentralización. Esta falta de descentralización y de seguridad en general se origina desde la base técnica sobre la que están construidas estas plataformas cross-chain.
Lo verdaderamente preocupante de estos ataques es que revelan la naturaleza de los hacks en protocolos cross-chain. Cuando estas plataformas se ven comprometidas, sus efectos se extienden a diferentes protocolos, servicios de Web3 y blockchains.
Wanchain – El Único Puente No Hackeado en 8 Años
Afortunadamente, no todo es pesimismo. Existe una plataforma de puentes que, en particular, ha estado maximizando la seguridad desde su creación. Esto ha dado como resultado un historial de seguridad inigualable que ha resistido la prueba del tiempo durante más de 8 años.
Solo hay un proyecto en la historia que ha logrado esto.
Ese proyecto no es otro que @wanchain_org, es decir, Wanchain.
Sin hacks. Sin exploits. Sin tiempo de inactividad durante más de 8 años.
Así es como funciona:
El protocolo de Wanchain utiliza una red única de nodos Storeman descentralizados que gestionan los activos intercambiados entre blockchains de manera que los fondos no quedan en manos de una entidad centralizada. Este sistema permite a los usuarios transaccionar e interactuar entre diferentes blockchains y aplicaciones DeFi, moviéndose de un lado a otro a través de diversas plataformas blockchain.
El sistema de nodos Storeman de Wanchain es el núcleo de su tecnología cross-chain. Los nodos Storeman son los encargados de verificar las transacciones entre cadenas y garantizar una transferencia de valor fluida y segura entre blockchains heterogéneas.
Mediante el uso de computación multipartita (MPC) y el reparto de secretos por umbrales, los nodos Storeman trabajan en conjunto para ejecutar transacciones cross-chain sin revelar las claves privadas de las cuentas involucradas.
Además, los nodos Storeman operan bajo un sistema de delegación activa por turnos, lo que significa que ningún nodo individual puede mantener el control durante demasiado tiempo. Existen múltiples nodos Storeman, cada uno con una firma única, que se agrupan y se asignan de forma aleatoria para garantizar una mayor descentralización y la máxima seguridad frente a posibles actores maliciosos.
Cada vez que se realiza un swap cross-chain, una amplia mayoría de los nodos Storeman debe estar de acuerdo, y se utiliza una cantidad determinada de firmas para confirmar la operación. Este mecanismo se conoce como esquema de firma por umbral (threshold signature scheme).
Explotar los nodos para robar fondos es prácticamente imposible, ya que tal tarea requeriría atacar a una gran mayoría de todos los nodos Storeman para obtener simultáneamente la cantidad necesaria de firmas de cada uno.
Para simplificarlo para la gente común, hay dos ingredientes clave que juegan un papel crucial en la legendaria seguridad de Wanchain:
- Alto umbral de firmas – Wanchain requiere 17 de 25 firmas para alcanzar consenso. Más firmas significan mayor descentralización y también más firmas que un atacante tendría que comprometer.
- Nodos rotativos – Existen múltiples nodos Storeman, cada uno con una firma única, que se agrupan y se delegan de forma aleatoria para garantizar mayor descentralización y máxima seguridad. Esta rotación aleatoria hace que sea casi imposible para un atacante predecir qué nodo será seleccionado y en qué momento.
Conclusión: ¡Confía solo en la buena tecnología!
Ahora que conoces la compleja historia de la tecnología de interoperabilidad en Web3, entiendes por qué es crucial utilizar únicamente proyectos cross-chain que hayan hecho de la seguridad y la descentralización el núcleo de su filosofía y protocolo.
(suponiendo que estás en el grupo de usuarios de Web3 que prefieren no ser “rekt” por un hack cross-chain)
Pero este énfasis en la seguridad es precisamente la razón por la que Wanchain sigue siendo el único puente cross-chain en el mundo que ha permanecido sin hackeos durante más de 8 años.
Y esta seguridad viene acompañada de cobertura completa en sus más de 48 cadenas, incluyendo tanto EVM como populares cadenas no-EVM (Bitcoin, Solana, Sui, Cardano, XRPL).