seguridad del activo: cómo evitar el robo de fondos on-chain
Con la creciente popularidad de aplicaciones de blockchain como las finanzas descentralizadas y los tokens no fungibles, los activos de los usuarios están siendo transferidos gradualmente de canales centralizados tradicionales a plataformas como billeteras descentralizadas, puentes entre cadenas y productos de préstamos. Sin embargo, los robos de proyectos en la cadena y de activos de los usuarios son frecuentes, lo que ha llevado a que la blockchain sea apodada "cajero automático de hackers".
Estos incidentes de seguridad se deben en parte a vulnerabilidades en el código, pero también hay muchos que son causados por factores humanos. Por ejemplo, recientemente, un creador de mercado de criptomonedas perdió 160 millones de dólares debido a un error operativo.
La pérdida masiva de activos se debe a un simple error humano
Después del incidente, el creador de mercado declaró que su negocio de finanzas centralizadas y de operaciones extrabursátiles no se vio afectado, y que su capacidad de pago sigue siendo el doble del capital restante. Para los usuarios que tienen un acuerdo de creación de mercado con ellos, la seguridad del activo está garantizada. De los 90 activos que fueron hackeados, solo dos tienen un valor superior a 1 millón de dólares, por lo que es poco probable que se produzca una venta masiva.
La empresa de seguridad analizó y descubrió que las direcciones de los hackers están relacionadas con Tornado Cash y ciertas operaciones de retiro en intercambios. Aproximadamente el 73% de los fondos robados son stablecoins, el 8% es WBTC y el 6% es ETH. Los atacantes depositaron 114 millones de dólares en un proyecto para proporcionar liquidez.
La investigación posterior mostró que la razón del robo podría ser el uso de una herramienta de generación de direcciones con vulnerabilidades. Este creador de mercado admitió haber utilizado este tipo de herramientas para optimizar las tarifas, en lugar de crear direcciones llamativas. Aunque comenzaron a descontinuar las claves antiguas después de enterarse de las vulnerabilidades de la herramienta la semana pasada, debido a un error interno, se llamó a una función incorrecta y no se logró eliminar a tiempo los permisos de firma de las direcciones afectadas.
El creador de mercado indicó que está dispuesto a pagar un 10% de recompensa para recuperar los fondos robados. Aunque el incidente fue causado por un error humano interno, la empresa no despedirá a empleados, no cambiará su estrategia ni suspenderá las operaciones relacionadas.
Sin embargo, los datos on-chain muestran que este creador de mercado tiene una deuda de finanzas descentralizadas con múltiples contrapartes que supera los 200 millones de dólares, siendo el mayor préstamo un préstamo de stablecoins de 92 millones de dólares que vence en octubre. Si los fondos robados no se pueden recuperar a tiempo, la empresa podría enfrentar una crisis de deuda.
Nuevamente sufre pérdidas debido a un error humano
De hecho, no es la primera vez que este creador de mercado sufre pérdidas debido a factores humanos. En junio de este año, al ser invitado a proporcionar liquidez para un proyecto de Layer 2, perdió 20 millones de tokens debido a un error de operación.
En ese momento, la fundación del proyecto Layer 2 asignó 20 millones de tokens a los creadores de mercado para proporcionar liquidez. Los creadores de mercado proporcionaron una dirección de firma múltiple en la red principal de Ethereum para recibir los tokens. Sin embargo, como esta dirección aún no se había desplegado en la red Layer 2, los creadores de mercado no pudieron acceder a estos tokens.
Cuando los creadores de mercado intentaron restaurar las operaciones, los atacantes se adelantaron y desplegaron un contrato de múltiples firmas en la red de Layer 2, controlando así 20 millones de tokens. Afortunadamente, al día siguiente, el hacker devolvió 17 millones de tokens, y la pérdida restante fue asumida por el creador de mercado.
Cómo los usuarios individuales pueden evitar el riesgo de robo de activos
Dado que las instituciones frecuentemente sufren grandes pérdidas debido a errores humanos, los usuarios individuales deben tener aún más cuidado en proteger la seguridad del activo. A continuación se presentan algunas recomendaciones:
Utiliza solo billeteras de criptomonedas nativas para crear direcciones, evitando herramientas de terceros. Las herramientas de terceros pueden presentar riesgos de seguridad y ser fácilmente monitoreadas o atacadas.
Utilizar múltiples firmas para la billetera de activos principales. Aunque no es adecuado para el comercio de alta frecuencia, puede minimizar el riesgo de errores humanos para los usuarios comunes.
No copie y pegue para guardar la clave privada. Muchos dispositivos y aplicaciones pueden acceder al contenido del portapapeles, aumentando el riesgo de filtración. Incluso si está temporalmente seguro, puede ser atacado después de que aumenten los activos.
Al realizar operaciones on-chain, verifica cuidadosamente los contratos y activos autorizados. Verifica la autenticidad del dominio del sitio web y la dirección del contrato inteligente para evitar autorizar contratos maliciosos.
Establecer límites de autorización razonables y revocar a tiempo las autorizaciones innecesarias. Evitar autorizaciones ilimitadas, revocar los permisos de acceso a tiempo después de su uso para reducir los riesgos potenciales.
La seguridad no es un asunto menor, especialmente en el caso de que los activos en blockchain sean difíciles de recuperar y la protección legal sea limitada. Los usuarios deben ser especialmente cautelosos al operar en la cadena, tomando múltiples medidas de protección para maximizar la seguridad del activo.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Evitar el robo de fondos on-chain: cinco pasos para proteger tus activos de encriptación
seguridad del activo: cómo evitar el robo de fondos on-chain
Con la creciente popularidad de aplicaciones de blockchain como las finanzas descentralizadas y los tokens no fungibles, los activos de los usuarios están siendo transferidos gradualmente de canales centralizados tradicionales a plataformas como billeteras descentralizadas, puentes entre cadenas y productos de préstamos. Sin embargo, los robos de proyectos en la cadena y de activos de los usuarios son frecuentes, lo que ha llevado a que la blockchain sea apodada "cajero automático de hackers".
Estos incidentes de seguridad se deben en parte a vulnerabilidades en el código, pero también hay muchos que son causados por factores humanos. Por ejemplo, recientemente, un creador de mercado de criptomonedas perdió 160 millones de dólares debido a un error operativo.
La pérdida masiva de activos se debe a un simple error humano
Después del incidente, el creador de mercado declaró que su negocio de finanzas centralizadas y de operaciones extrabursátiles no se vio afectado, y que su capacidad de pago sigue siendo el doble del capital restante. Para los usuarios que tienen un acuerdo de creación de mercado con ellos, la seguridad del activo está garantizada. De los 90 activos que fueron hackeados, solo dos tienen un valor superior a 1 millón de dólares, por lo que es poco probable que se produzca una venta masiva.
La empresa de seguridad analizó y descubrió que las direcciones de los hackers están relacionadas con Tornado Cash y ciertas operaciones de retiro en intercambios. Aproximadamente el 73% de los fondos robados son stablecoins, el 8% es WBTC y el 6% es ETH. Los atacantes depositaron 114 millones de dólares en un proyecto para proporcionar liquidez.
La investigación posterior mostró que la razón del robo podría ser el uso de una herramienta de generación de direcciones con vulnerabilidades. Este creador de mercado admitió haber utilizado este tipo de herramientas para optimizar las tarifas, en lugar de crear direcciones llamativas. Aunque comenzaron a descontinuar las claves antiguas después de enterarse de las vulnerabilidades de la herramienta la semana pasada, debido a un error interno, se llamó a una función incorrecta y no se logró eliminar a tiempo los permisos de firma de las direcciones afectadas.
El creador de mercado indicó que está dispuesto a pagar un 10% de recompensa para recuperar los fondos robados. Aunque el incidente fue causado por un error humano interno, la empresa no despedirá a empleados, no cambiará su estrategia ni suspenderá las operaciones relacionadas.
Sin embargo, los datos on-chain muestran que este creador de mercado tiene una deuda de finanzas descentralizadas con múltiples contrapartes que supera los 200 millones de dólares, siendo el mayor préstamo un préstamo de stablecoins de 92 millones de dólares que vence en octubre. Si los fondos robados no se pueden recuperar a tiempo, la empresa podría enfrentar una crisis de deuda.
Nuevamente sufre pérdidas debido a un error humano
De hecho, no es la primera vez que este creador de mercado sufre pérdidas debido a factores humanos. En junio de este año, al ser invitado a proporcionar liquidez para un proyecto de Layer 2, perdió 20 millones de tokens debido a un error de operación.
En ese momento, la fundación del proyecto Layer 2 asignó 20 millones de tokens a los creadores de mercado para proporcionar liquidez. Los creadores de mercado proporcionaron una dirección de firma múltiple en la red principal de Ethereum para recibir los tokens. Sin embargo, como esta dirección aún no se había desplegado en la red Layer 2, los creadores de mercado no pudieron acceder a estos tokens.
Cuando los creadores de mercado intentaron restaurar las operaciones, los atacantes se adelantaron y desplegaron un contrato de múltiples firmas en la red de Layer 2, controlando así 20 millones de tokens. Afortunadamente, al día siguiente, el hacker devolvió 17 millones de tokens, y la pérdida restante fue asumida por el creador de mercado.
Cómo los usuarios individuales pueden evitar el riesgo de robo de activos
Dado que las instituciones frecuentemente sufren grandes pérdidas debido a errores humanos, los usuarios individuales deben tener aún más cuidado en proteger la seguridad del activo. A continuación se presentan algunas recomendaciones:
Utiliza solo billeteras de criptomonedas nativas para crear direcciones, evitando herramientas de terceros. Las herramientas de terceros pueden presentar riesgos de seguridad y ser fácilmente monitoreadas o atacadas.
Utilizar múltiples firmas para la billetera de activos principales. Aunque no es adecuado para el comercio de alta frecuencia, puede minimizar el riesgo de errores humanos para los usuarios comunes.
No copie y pegue para guardar la clave privada. Muchos dispositivos y aplicaciones pueden acceder al contenido del portapapeles, aumentando el riesgo de filtración. Incluso si está temporalmente seguro, puede ser atacado después de que aumenten los activos.
Al realizar operaciones on-chain, verifica cuidadosamente los contratos y activos autorizados. Verifica la autenticidad del dominio del sitio web y la dirección del contrato inteligente para evitar autorizar contratos maliciosos.
Establecer límites de autorización razonables y revocar a tiempo las autorizaciones innecesarias. Evitar autorizaciones ilimitadas, revocar los permisos de acceso a tiempo después de su uso para reducir los riesgos potenciales.
La seguridad no es un asunto menor, especialmente en el caso de que los activos en blockchain sean difíciles de recuperar y la protección legal sea limitada. Los usuarios deben ser especialmente cautelosos al operar en la cadena, tomando múltiples medidas de protección para maximizar la seguridad del activo.