Esta serie de artículos, extraída de la "Última Estrategia de Escape" coorganizada por OKX Web3 y BlockSec, aborda las preocupaciones de seguridad que enfrentan los usuarios de DeFi y los equipos de proyectos DeFi.
P1:¿Podría compartir varios casos reales de riesgos DeFi que hayan experimentado las ballenas?
Equipo de Seguridad de BlockSec: El atractivo de DeFi radica en sus rendimientos de activos estables y elevados, lo que atrae a grandes jugadores y lleva a los proyectos a aumentar la liquidez cortejando a grandes ballenas. Con frecuencia somos testigos de cómo las ballenas realizan depósitos DeFi sustanciales, tal como se reporta en las noticias. Sin embargo, estas 'ballenas', mientras disfrutan de rendimientos constantes, navegan por riesgos inherentes. Estén atentos mientras exploramos en profundidad los escenarios de riesgos DeFi documentados públicamente.
Caso Uno:El Incidente de PolyNetwork en 2022 y el Desafío Millonario de Discus Fish
En el incidente de seguridad de PolyNetwork en 2022, se atacaron activos por un valor superior a 600 millones de dólares estadounidenses. Se rumoreaba que "Discus Fish" (cofundador y CEO de Cobo) también tenía involucrados 100 millones de dólares estadounidenses. Aunque el atacante finalmente devolvió los fondos y el incidente se resolvió satisfactoriamente, y "Discus Fish" anunció planes para erigir un monumento en la blockchain para conmemorarlo, el proceso debió haber sido bastante tormentoso. Si bien algunos incidentes de seguridad terminan bien, la mayoría no tiene la misma suerte.
Caso Dos:Conmoción en SushiSwap -- La Catastrófica Pérdida de $3,3 Millones de 0x Sifu en el Ataque de 2023
El conocido exchange descentralizado (DEX) SushiSwap fue atacado en 2023, lo que resultó en una pérdida significativa para un gran tenedor conocido como 0x Sifu, quien perdió más de $3,3 millones. Su pérdida individual representó aproximadamente el 90% del monto total perdido.
Caso Tres:Brecha en Prisma -- 80% de Pérdidas en Cuatro Billeteras, 4M sin Recuperar
En el incidente de seguridad de Prisma en marzo de este año, las pérdidas totales ascendieron a 14 millones de dólares estadounidenses. Estas pérdidas se originaron en 17 direcciones de billetera, con una pérdida promedio de 820.000 dólares estadounidenses por billetera. Sin embargo, las pérdidas sufridas por cuatro usuarios representaron el 80% del total. La mayoría de los activos robados aún no han sido recuperados.
En definitiva, DeFi, especialmente en la red principal, tiene comisiones de gas no despreciables, lo que hace que la rentabilidad dependa de inversiones de activos sustanciales, excluyendo los incentivos de airdrop. Por lo tanto, el Valor Total Bloqueado (TVL) principal en los proyectos DeFi generalmente es aportado por las 'ballenas', y en algunos proyectos, el 2% de las ballenas contribuye al 80% del TVL. Cuando ocurren incidentes de seguridad, estas ballenas inevitablemente soportan la peor parte de las pérdidas. 'No solo se puede ver a las ballenas festejando; ellas también tienen sus momentos de ser golpeadas.'
Equipo de Seguridad de la Billetera Web3 de OKX: Con la prosperidad del mundo en cadena, los casos de riesgo DeFi que enfrentan los usuarios también aumentan, y la seguridad en cadena es siempre la necesidad más básica e importante de los usuarios.
Caso Uno:Brecha en PlayDapp -- $32M en Tokens PLA Robados mediante Filtración de Clave
Filtración de Clave Privada en PlayDapp: Entre el 9 y el 12 de febrero de 2024, la plataforma de juegos basada en Ethereum PlayDapp sufrió una brecha, en la que el atacante explotó claves privadas filtradas. El atacante acuñó y robó de forma no autorizada 1.790 millones de tokens PLA, lo que resultó en una pérdida de aproximadamente 32,35 millones de dólares estadounidenses. El atacante añadió un nuevo operador de acuñación en los tokens PLA, acuñó una gran cantidad de PLA y la distribuyó en múltiples direcciones en cadena y exchanges.
Caso Dos:Hackeo a Hedgey Finance -- $44,7M Perdidos por Explotación de Fallo en Contrato
Incidente de Ataque a Hedgey Finance. El 19 de abril de 2024, Hedgey Finance sufrió una vulnerabilidad de seguridad significativa en Ethereum y Arbitrum, lo que resultó en pérdidas de aproximadamente 44,7 millones de dólares estadounidenses. El atacante explotó un fallo en el contrato que carecía de verificación de la entrada del usuario, obteniendo autorización sobre el contrato vulnerable y robando así los activos del mismo.
P2: ¿Es posible resumir los principales tipos de riesgos presentes en el DeFi actual?
Equipo de Seguridad de la Billetera Web3 de OKX: Basándonos en incidentes reales, hemos identificado los cuatro tipos de riesgos más comunes en el campo DeFi actual.
El primer tipo: Ataques de Phishing.
Los ataques de phishing son un tipo común de ciberataque que engaña a las víctimas para que proporcionen información sensible, como claves privadas, contraseñas u otros datos personales, disfrazándose de entidades o personas legítimas. En el campo DeFi, los ataques de phishing suelen llevarse a cabo de las siguientes maneras:
· Sitios Web Falsos: Los atacantes crean sitios web de phishing similares a proyectos DeFi reales, engañando a los usuarios para que firmen autorizaciones o realicen transacciones de transferencia.
· Ataques de Ingeniería Social: En Twitter, los atacantes utilizan cuentas de alta imitación o secuestran las cuentas de Twitter o Discord de los equipos de proyectos para publicar actividades promocionales falsas o información de airdrop (que en realidad son enlaces de phishing), con el fin de llevar a cabo ataques de phishing contra los usuarios.
· Contratos Inteligentes Maliciosos: Los atacantes publican contratos inteligentes o proyectos DeFi aparentemente atractivos, engañando a los usuarios para que autoricen derechos de acceso y, de este modo, robando fondos.
El segundo tipo: Rugpull.
El Rugpull es una estafa exclusiva del campo DeFi que hace referencia a la situación en la que los desarrolladores del proyecto retiran repentinamente los fondos y desaparecen tras haber atraído una gran cantidad de inversión, lo que provoca que los fondos de los inversores sean completamente sustraídos. El Rugpull suele ocurrir en exchanges descentralizados (DEX) y proyectos de minería de liquidez. Las principales manifestaciones incluyen:
Retiro de Liquidez: Los desarrolladores aportan una gran cantidad de liquidez en el pool de liquidez para atraer la inversión de los usuarios y luego retiran repentinamente toda la liquidez, lo que provoca una caída en picado del precio del token y graves pérdidas para los inversores.
· Proyectos Falsos: Los desarrolladores crean un proyecto DeFi que parece legítimo, engañando a los usuarios para que inviertan con falsas promesas y altos rendimientos, pero en realidad no hay productos ni servicios reales.
· Manipulación de Permisos del Contrato: Los desarrolladores utilizan puertas traseras o permisos en los contratos inteligentes para cambiar las reglas del contrato o retirar fondos en cualquier momento.
El tercer tipo: Vulnerabilidades en Contratos Inteligentes.
Los contratos inteligentes son códigos de autoejecución que funcionan en la blockchain y son inmutables una vez desplegados. Si existen vulnerabilidades en los contratos inteligentes, pueden derivar en graves problemas de seguridad. Las vulnerabilidades más comunes en los contratos inteligentes incluyen:
· Vulnerabilidades de Reentrada: Los atacantes llaman repetidamente al contrato vulnerable antes de que se complete la llamada anterior, lo que causa problemas con el estado interno del contrato.
· Errores Lógicos: Errores lógicos en el diseño o la implementación del contrato que dan lugar a comportamientos inesperados o vulnerabilidades.
· Desbordamientos de Enteros: Los contratos no gestionan correctamente las operaciones con enteros, lo que provoca desbordamientos superiores o inferiores.
· Manipulación de Precios: Los atacantes manipulan los precios de los oráculos para llevar a cabo ataques.
· Pérdida de Precisión: Errores de cálculo debidos a problemas con la precisión de los números de punto flotante o enteros.
· Omisión en la Validación de Entradas: Verificación insuficiente de la entrada del usuario, lo que genera posibles problemas de seguridad.
El cuarto tipo: Riesgos de Gobernanza.
Los riesgos de gobernanza están relacionados con los mecanismos centrales de toma de decisiones y control de un proyecto. Si son explotados maliciosamente, podrían hacer que el proyecto se desvíe de sus objetivos previstos e incluso provocar graves pérdidas económicas y crisis de confianza. Los tipos de riesgos más comunes incluyen:
· Filtración de Claves Privadas
- Las cuentas privilegiadas de algunos proyectos DeFi están controladas por EOA (Cuentas de Propiedad Externa) o billeteras multifirma. Si estas claves privadas se filtran o son robadas, los atacantes pueden manipular contratos o fondos a voluntad.
· Ataques de Gobernanza
-
Aunque algunos proyectos DeFi adoptan esquemas de gobernanza descentralizada, aún enfrentan los siguientes riesgos:
-
Manipulación de Tokens: Los atacantes manipulan los resultados de la votación tomando prestado un gran número de tokens de gobernanza en un corto período.
-
Concentración de Poder: Si los tokens de gobernanza están muy concentrados en manos de unos pocos, estos individuos pueden controlar la toma de decisiones de todo el proyecto concentrando el poder de voto.
