El hackeo de Wormhole: lecciones sobre seguridad en el mundo de las criptomonedas
Aquellos que siguen el mundo de la tecnología probablemente hayan oído hablar del reciente hackeo del servicio de puente blockchain Wormhole, que ha resultado en el cuarto robo de criptomonedas más grande y el segundo robo más grande de De-Fi de la historia. El atacante, que descubrió la vulnerabilidad, creó 120,000 Ethereum de la nada y logró llevarse aproximadamente $324 millones.
Para poner en contexto, Wormhole es un servicio que permite a los usuarios intercambiar criptomonedas entre blockchains, como cambiar una moneda fiduciaria por otra. En este caso particular, el atacante aprovechó una vulnerabilidad en Wormhole de manera que logró engañarlo para que mintiera 120,000 Ethereum envueltos (wETH, un token equivalente de valor 1:1 que representa Ethereum) en la blockchain de Solana, la mayoría de los cuales luego movió a la blockchain de Ethereum.
Desafortunadamente para Wormhole, todo ese wETH creado a través del exploit tuvo que robar valor de alguna parte, y provino del almacén de Ethereum de Wormhole que respalda todo el wETH en su red.
Una lección para todos: Valida tus ingresos
Dejando de lado los fondos perdidos, la donación caritativa y la catástrofe general (en una larga lista de catástrofes criptográficas) que es el hackeo de Wormhole; ignorando la complejidad de las blockchains, por no hablar de la tecnología entre blockchains; y poniendo de lado el valor inestable y el impacto ambiental de las criptomonedas, hay una lección que aprender de este ataque que, desafortunadamente, aún no se ha tomado en serio: Valida tus ingresos.
Según los investigadores de seguridad que rápidamente compartieron sus hallazgos en Twitter, el exploit que permitió al atacante extraer 120,000 ETH del ... éter se debió a que Wormhole no validaba correctamente lo que llama "cuentas guardianas", que se consideran más seguras que las cuentas de usuario regulares.
Utilizando una serie de transacciones en la blockchain para insertar credenciales falsas, el atacante logró engañar a Wormhole para que extrajera instrucciones de sysvar de las falsas que había creado durante el proceso de verificación de firmas de Wormhole. En resumen, el atacante aprovechó el hecho de que Wormhole no validaba adecuadamente las cuentas, lo que le dio la oportunidad de insertar sus propios comandos falsos que hacían parecer que tenían la autoridad para generar Ethereum.
Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivelRoger Grimes, un evangelista de defensa basado en datos para KnowBe4, dijo que el error de programación que cometió Wormhole era bastante común, pero igualmente grave. "La función dentro de los múltiples contratos inteligentes anidados que se suponía que verificaba la firma no estaba programada para garantizar que la verificación de integridad realmente ocurriera. Por lo tanto, no se garantizaba ninguna integridad en la verificación de integridad. Sí, eso es un problema", dijo Grimes.
Según Grimes, el desarrollo seguro del ciclo de vida del software (SDL) debería ser una práctica estándar para todos. Desafortunadamente, "la mayoría de los desarrolladores y creadores de contratos inteligentes no están capacitados en SDL y reciben poca o ninguna formación en desarrollo seguro", dijo Grimes. El resultado final de esa falta de capacitación es que hay más código con más exploits (muchos comunes y fáciles de explotar) que aparecen en la naturaleza.
El mundo de las criptomonedas, advierte Grimes, "es una industria inmadura que utiliza código inmaduro, avanzando a toda velocidad". Combine eso con billones de dólares en valor y tiene la receta perfecta para el robo y el fraude. Combine eso con una comunidad que se muestra reacia a la idea de la regulación y tiene el entorno perfecto para delitos como el hackeo de Wormhole, que enriqueció a un atacante individual con muy poco riesgo.
Grimes dijo que hay lecciones que aprender del hackeo de Wormhole, pero no parece confiar en que esas lecciones se tomen en serio. "Siempre esperamos que cuando suceda la próxima cosa digital genial, aplicaremos mejor las lecciones de seguridad aprendidas de las plataformas anteriores. Pero siempre parece que queremos que haya más sangre digital en el suelo de la necesaria. Siempre, una y otra vez, queremos aprender a la manera difícil ", dijo Grimes.
Toma esta noticia como una señal para analizar tus propios sistemas. Es posible que no seas personalmente responsable de un software que mueve miles de millones de dólares, pero alguien sufrirá una pérdida cuando ocurra inevitablemente una violación de seguridad, y puedes evitar ser esa víctima mediante un poco de trabajo de seguridad proactivo.
Cómo proteger tu computadora de los virus: métodos y consejosEn Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a El hackeo de Wormhole: lecciones sobre seguridad en el mundo de las criptomonedas , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados