Cinco incidentes de seguridad que involucran redes DAG y cómo protegerse

Los gráficos acíclicos dirigidos (DAG) han surgido como una alternativa prometedora a la tecnología blockchain. A diferencia de las cadenas de bloques, los DAG cuentan con una estructura única en la que las transacciones se vinculan de forma dirigida y no circular, con nuevas formas de llegar a un consenso. Esta innovación promete velocidades de transacción más rápidas y una mayor descentralización, lo que las convierte en una opción atractiva para los entusiastas de las criptomonedas. Sin embargo, podrían presentar sus propios desafíos de seguridad.

Después de todo, existen programas de recompensas por errores por una razón. Sin embargo, hasta ahora podemos decir que no se ha pirateado ninguna estructura DAG. En cambio, sus servicios relacionados, desde redes sociales e incluso contratos inteligentes, son otra historia. Los ciberdelincuentes atacarán los puntos más vulnerables, y eso suele estar fuera del propio DAG, pero de todos modos apuntarán a sus usuarios.

Profundizaremos en algunos ataques que involucran plataformas DAG, contando cinco casos en los que sus servicios relacionados fueron víctimas de intentos de piratería. Además, exploraremos estrategias y mejores prácticas para protegerse de tales amenazas. Ya sea usted un inversor experimentado o un recién llegado, entender estos desafíos es esencial para proteger sus activos digitales en un ecosistema criptográfico cada vez más complejo.

Nano + BitGrail

En 2018, el mundo de las criptomonedas fue testigo de una importante violación de seguridad que involucró al intercambio italiano de criptomonedas BitGrail y la moneda digital Nano (anteriormente conocida como Raiblocks). Esta moneda utiliza un libro de contabilidad estructurado como un DAG (más exactamente, una red de bloques) y su sistema de consenso es bastante similar a una cadena de bloques de prueba de participación (PoS).

El incidente comenzó cuando BitGrail informó que faltaban una cantidad sustancial de tokens Nano en su plataforma. El fundador del intercambio, Francesco Firano, afirmó que el hack había resultado en el robo de aproximadamente 17 millones de tokens Nano, equivalente a aproximadamente 170 millones de dólares en ese momento.

Las consecuencias del hackeo de BitGrail estuvieron marcadas por una disputa polémica entre la dirección del intercambio y el equipo de desarrollo de Nano. Firano inicialmente sugirió que el código de Nano era responsable de la vulnerabilidad, culpando a los desarrolladores por el robo. Exigió que el equipo Nano realizara una bifurcación polémica (actualización) (para borrar el hack), a lo que se negaron.

Posteriormente, más investigaciones revelaron que las medidas de seguridad y los controles internos de BitGrail eran inadecuados, lo que llevó a comprometer los fondos de los usuarios. De hecho, el hack ocurrió justo a tiempo para ver un aumento de precio en Nano, y Firano ocultó que las infracciones habían estado ocurriendo desde 2017. BitGrail y Firano recibieron al menos dos demandas colectivas y, en última instancia, se encontró que Firano era directamente responsable del ataque.

En este caso, el DAG no fue atacado, pero los usuarios confiaron en la empresa equivocada. En los intercambios centralizados, no tienes claves privadas para tus fondos. En su lugar, solo se proporciona una cuenta con una contraseña y los fondos están bajo total custodia (control) por parte de esa empresa. Si ellos pierden (hackeos, quiebras, etc.), usted también pierde. Por eso es importante no utilizar los intercambios como billeteras permanentes.

IOTA + Pago Lunar

IOTA es una plataforma de criptomonedas que utiliza tecnología de gráfico acíclico dirigido (DAG) para permitir transacciones más rápidas y se centra en el sector de Internet de las cosas (IoT). A diferencia de las cadenas de bloques, Tangle DAG de IOTA permite a los usuarios validar transacciones confirmando otras, pero existe un nodo coordinador final para lograr el consenso. Tienen la intención (desde 2016) de deshacerse de él, pero mientras tanto, el coordinador está controlado por la Fundación IOTA y la red está centralizada.

Esto quedó ampliamente demostrado en febrero de 2020, cuando el coordinador congeló toda la red después de una violación importante. En aquel entonces, los piratas informáticos robaron 8,5 millones en el token nativo MIOTA de IOTA directamente de los usuarios, aproximadamente 2 millones de dólares en ese momento. La IOTA billetera trinidad sufrió una violación de seguridad debido a una dependencia de terceros de Moonpay (un servicio de pago criptográfico), que comprometió las semillas de billetera de los usuarios al cargar versiones ilícitas del SDK de Moonpay desde los servidores de Moonpay.

El ciberdelincuente esperaba una nueva versión de Trinity para sobrescribir los archivos almacenados en caché y eliminar rastros. La Fundación IOTA tomó acciones inmediatas, incluida la detención del coordinador y la creación de un plan de gestión de incidentes con actualizaciones públicas del estado. El ataque implicó interceptación de DNS, modificación de código y uso indebido de claves API.

IOTA respondió desarrollando herramientas de migración para los usuarios afectados, mejorando las herramientas analíticas y colaborando con expertos en seguridad y fuerzas del orden. Trinity ya no se usa y MoonPay colaboró con ellos para solucionar el problema. Entonces, nuevamente, no fue un DAG violado sino un servicio externo relacionado con él.

Hedera Hashgraph

Hedera Hashgraph es un sistema de contabilidad distribuida que utiliza gráficos acíclicos dirigidos (DAG) para lograr consenso. En Hedera protocolo de chismes , los nodos comparten nueva información entre sí y alcanzan gradualmente un consenso a través de múltiples rondas de intercambio. Este historial de eventos de intercambio de información se representa como un hashgraph, un tipo de DAG. Este sistema está patentado, pero no está libre de errores.

El 9 de marzo de 2023, la red Hedera Hashgraph fue víctima a un exploit de contrato inteligente, lo que resultó en el robo de varios tokens de intercambios descentralizados (DEX) como Pangolin, SaucerSwap y HeliSwap. Las cuentas de usuarios minoristas y las billeteras de Hedera no se vieron afectadas, pero el atacante logró robar tokens valorados en casi 600.000 dólares. Incluían DAI Stablecoin, Tether USD, USD Coin y Wrapped HBAR.

Se tomaron medidas rápidas para mitigar el ataque. Los DEX y los puentes colaboraron para detener el flujo de tokens a través del puente una hora después de haber sido alertados sobre la infracción. El equipo de Hedera deshabilitó el acceso proxy a la red principal de Hedera (gracias a que la red está centralizada, como IOTA), impidiendo un mayor acceso por parte de los usuarios y del atacante. Se desarrolló, probó e implementó rápidamente una solución dentro de las 41 horas posteriores al descubrimiento de la vulnerabilidad.

A diferencia de ataques anteriores en otros DAG, esta vez, el sistema nativo fue en realidad el que se vio comprometido, específicamente, su capa de contrato inteligente. El equipo actuó rápidamente para mitigarlo.

Red Sui + Discordia

Sui Network es un libro de contabilidad distribuido lanzado en mayo de 2023. Divide las transacciones en simples (como enviar dinero) y complejas (como subastas en línea). Las transacciones simples no requieren consenso, pero transacciones complejas utilice validadores de prueba de participación (PoS) y un protocolo de consenso basado en DAG de alto rendimiento llamado Bullshark.

Esta red ha demostrado que la prevención es importante, especialmente cuando se trata de nuevas tecnologías. Justo antes de su lanzamiento en la red principal, la empresa de seguridad CertiK encontró un error crítico en el sistema. La falla era un error de bucle infinito dentro del código de Sui que podría activarse mediante un contrato inteligente malicioso. Este tipo de ataque, conocido como "ataque HamsterWheel", no bloquea los nodos, sino que los mantiene funcionando sin cesar sin procesar nuevas transacciones, lo que deja la red inoperable.

Una vez que el error fue identificado , los desarrolladores de Sui implementaron rápidamente correcciones para mitigar su impacto y CertiK confirmó que estas correcciones ya estaban implementadas. La Fundación Sui otorgó 500.000 dólares a CertiK como recompensa por errores. Sin embargo, no fue la única amenaza que enfrentó esta plataforma.

Incluso antes del posible error, en agosto de 2022, el servidor Discord de Mysten Labs (creadores de Sui) fue pirateado. El anuncio fue compartido. en Twitter , donde varios usuarios se quejaron de haber perdido fondos debido al evento. El incidente involucró a piratas informáticos que compartieron un enlace a un supuesto lanzamiento aéreo en el canal de anuncios del servidor. Desde entonces, reforzaron sus procesos de seguridad y verificación en el chat.

Avalancha + DeFi

Avalanche es otro protocolo criptográfico que utiliza estructuras DAG en lugar de cadenas de bloques. Comprende diferentes cadenas : la Cadena de Contrato (C-Chain) para contratos inteligentes, la Cadena de Intercambio (X-Chain) para transferencias rápidas de fondos con tarifas bajas y la Cadena de Plataforma (P-Chain) para apuestas y recompensas. X-Chain, en particular, aprovecha la tecnología DAG para lograr un alto rendimiento y una rápida finalidad de las transacciones.

Varios protocolos DeFi basados en Avalanche se han enfrentado a importantes ataques a lo largo de los años. El primer ataque de alto perfil fue contra la plataforma de préstamos. Vee Finanzas en septiembre de 2021. El ataque se produjo porque dependían de una única fuente para su información de precios (Oracle), y esta fuente no manejaba los puntos decimales correctamente. Esto permitió al atacante manipular precios y ejecutar operaciones en pares que no debían negociarse.

Esto resultó en el retiro no autorizado de 8804,7 ETH y 213,93 BTC (alrededor de $36 millones en ese momento). Posteriormente, los tokens se conectaron a Ethereum y permanecen en posesión del atacante. Vee Finance suspendió los contratos de la plataforma y las funciones relacionadas (lo que demostró que la plataforma no estaba tan descentralizada como implica el término DeFi), y continuó activamente con los esfuerzos de recuperación de activos. Sin embargo, esto no fue todo para Avalanche. Con el tiempo llegarían más ataques.

El pasado mes de febrero de 2023, dos protocolos DeFi más fueron pirateados nuevamente: el agregador multicadena Dexible y el DEX Platypus. En el primer caso , el atacante aprovechó la función selfSwap de la aplicación para mover más de 2 millones de dólares en criptomonedas de los usuarios que habían autorizado a la aplicación a acceder a sus tokens. Dexible detuvo sus contratos y aconsejó a los usuarios que revocaran las autorizaciones de tokens.

En el segundo caso, Ornitorrinco perdido 8,5 millones de dólares en un ataque de préstamo urgente. El hacker explotó los contratos de activos del protocolo utilizando un contrato inteligente malicioso con código fuente no verificado. Ahora, sobre los tres casos, podemos decir que algunos errores se les escaparon a los desarrolladores de DeFi desde el principio, lo que resultó en la pérdida de fondos.

Protéjase de los riesgos DAG

Para los usuarios promedio de plataformas de gráficos acíclicos dirigidos (DAG), se pueden aplicar varias medidas de seguridad y protecciones clave para mitigar los riesgos:

• Utilice servicios de buena reputación: antes de utilizar servicios de terceros, como billeteras o intercambios, investigue para asegurarse de que tengan una buena reputación en materia de seguridad. Además, evite dejar grandes cantidades de criptomonedas en los intercambios durante períodos prolongados.
• Asegure sus claves privadas: si tiene billeteras que le dan control sobre sus claves privadas, úselas. Esto significa que tiene control directo sobre sus fondos. Las billeteras frías ofrecen una capa adicional de seguridad.

• Utilice contraseñas seguras y habilite 2FA: cuando trabaje con cuentas relacionadas con criptomonedas, utilice contraseñas seguras y únicas. Considere la posibilidad de utilizar un administrador de contraseñas de buena reputación para mantenerlas seguras. Siempre que sea posible, habilite la autenticación de dos factores (2FA) en sus cuentas.

  
  

• Manténgase informado: manténgase actualizado con las últimas noticias y desarrollos relacionados con la plataforma DAG que está utilizando. Comprender las vulnerabilidades potenciales puede ayudarle a tomar medidas preventivas.
• Tenga cuidado con las estafas de phishing: tenga cuidado con los correos electrónicos, mensajes o sitios web de phishing que tienen como objetivo robar su información de inicio de sesión o sus claves privadas. Siempre verifique las URL y las fuentes.

• Revise periódicamente los permisos: para aplicaciones o servicios que solicitan permiso para acceder a su billetera o tokens, revise y revoque estos permisos cuando ya no sean necesarios.

• Diversifique sus inversiones: evite poner todos sus activos en una sola criptomoneda o plataforma. La diversificación puede ayudar a distribuir el riesgo.

  
  

Hasta ahora, Obyte (también una plataforma cripto-DAG) no ha sufrido un ataque de alto perfil en su sistema o servicios relacionados. Sin embargo, eso no significa que sean inmunes a los ataques. Un programa de recompensas por errores está activo en Immunefi, con altas recompensas para desarrolladores capacitados. Sin embargo, siempre es importante aplicar la mejores medidas de seguridad ¡en tu propia billetera y haz tu propia investigación para cada plataforma!

Imagen vectorial destacada por Freepik