Millones de personas robadas mientras un ciberataque explota la vulnerabilidad en el componente clave de la plataforma DeFi

Garden Finance, un protocolo puente entre cadenas, perdió aproximadamente $11 millones después de que un solucionador comprometido drenara fondos de la plataforma.

El protocolo ha ofrecido una recompensa del 10% por la devolución de los fondos robados. También busca ayuda para comprender exactamente cómo ocurrió el exploit.

Qué pasó y por qué es importante

El ataque tuvo como objetivo el solucionador de Garden Finance, esencialmente el mecanismo de creación de mercado que facilita las transacciones entre cadenas. Los puentes mueven activos entre diferentes cadenas de bloques y los solucionadores son los intermediarios que unen y ejecutan esas operaciones.

Garden Finance ha declarado que los fondos de los usuarios no se vieron afectados por el exploit, lo que sugiere que la vulnerabilidad estaba aislada de la infraestructura operativa del protocolo en lugar de los activos depositados por los usuarios.

anuncio

Los investigadores de seguridad han expresado su preocupación sobre si el solucionador comprometido era realmente un tercero independiente o parte de la propia infraestructura interna de Garden. Si es lo último, la vulnerabilidad no fue un actor externo deshonesto que explota un sistema sin permiso, sino más bien una falla en la gestión de claves y la seguridad operativa del propio protocolo.

Muchos protocolos puente dependen de una pequeña cantidad de actores confiables para verificar y transmitir mensajes entre cadenas. Cuando esos actores se ven comprometidos, ya sea a través de ingeniería social, mala higiene de las claves o acceso interno, todo el sistema puede desmoronarse.

Los puentes siguen siendo el objetivo más fácil de las criptomonedas

Los analistas de seguridad han advertido repetidamente que muchas arquitecturas de puentes son inherentemente frágiles y dependen de una verificación de mensajes débil y una gestión de claves centralizada. Los puentes se encuentran en la intersección de múltiples modelos de confianza, y el puente mismo tiene que conciliar esas diferencias, a menudo a través de retransmisores fuera de la cadena o esquemas multifirma que introducen riesgos de centralización.

El exploit de Garden Finance llegó casi al mismo tiempo que otro incidente en el puente Ronin, en el que un robot de Valor Extraíble Máximo (MEV) retiró 11,33 millones de dólares. Sky Mavis, la empresa detrás de Ronin, afirmó que las reservas centrales del puente permanecían seguras.

El Puente Ronin fue anteriormente el objetivo de uno de los mayores exploits de DeFi de la historia, un robo de 620 millones de dólares vinculado a piratas informáticos norcoreanos, que se convirtió en un estudio de caso sobre por qué centralizar la confianza en un pequeño conjunto de validadores crea puntos únicos de falla catastróficos. El puente Wormhole sufrió otro exploit de 322 millones de dólares.

Qué significa esto para los inversores

La oferta de recompensa del 10% de Garden Finance tiene como objetivo incentivar al atacante a preferir un pago garantizado al riesgo de ser rastreado o procesado. El hecho de que Garden esté pidiendo ayuda simultáneamente para comprender la causa raíz del exploit sugiere que el equipo todavía está reconstruyendo lo que salió mal.

Cada interacción del puente es una apuesta implícita de que la infraestructura fuera de la cadena, la gestión de claves y la lógica del contrato inteligente del puente funcionan correctamente, simultáneamente, en condiciones adversas.