Metazine Tu Magazine del Metaverso. Toda la información del presente y futuro de nuestra vida digital.
¿No pudo participar en Transform 2022? ¡Vea todas las sesiones de Summit en nuestra biblioteca on-demand ahora! Mira aquí.
De vez en cuando escuchamos que se ha roto un puente de cadena cruzada. Solo en 2022, se rompieron seis puentes y más de $ 1.2 mil millones El valor de la criptomoneda fue robado.
¿Qué son los puentes de cadenas cruzadas? ¿Cuál es su propósito? ¿Y por qué son tan importantes los honeypots? ¿Se puede utilizar la computación confidencial para mejorar la seguridad de los puentes entre cadenas?
Los puentes entre cadenas ayudan a mover criptoactivos de una cadena de bloques a otra. Circunstancias interesantes los están haciendo populares. Por un lado: las cadenas de bloques más antiguas que han sobrevivido a lo largo de los años terminan teniendo activos más valiosos. Pero las cadenas de bloques más antiguas suelen ser lentas, tienen un bajo rendimiento y ofrecen tarifas de transacción más altas. Por otro lado, las cadenas de bloques o cadenas laterales más nuevas pueden ser rápidas, tener un alto rendimiento y las tarifas de transacción pueden ser extremadamente bajas. Los puentes entre cadenas facilitan la transferencia de activos populares de cadenas de bloques más antiguas a cadenas de bloques y cadenas laterales más nuevas, donde se pueden intercambiar de manera más eficiente.
Tratemos de entender cómo funciona un puente de cadena cruzada. Un activo criptográfico está bloqueado en un contrato inteligente de bóveda en la cadena de bloques de origen, y una representación de ese activo se acuña en el contrato inteligente de clavija en la cadena de bloques de destino. Un conjunto de entidades comúnmente conocidas como “guardianes” son responsables de monitorear el contrato inteligente de la bóveda en la cadena de origen para nuevas bóvedas y crear sus representaciones en la vinculación del contrato inteligente en la cadena de bloques de destino.
Evento
MetaBeat 2022
MetaBeat reunirá a líderes de opinión para brindar información sobre cómo la tecnología del metaverso transformará la forma en que todas las industrias se comunican y hacen negocios el 4 de octubre en San Francisco, CA.
Registrarse aquí
Por el contrario, cuando las representaciones se destruyen en el contrato inteligente de clavija, estos guardianes son responsables de liberar una cantidad equivalente de tokens que se encuentran en el contrato inteligente de la bóveda en la cadena de origen.
Figura 2: un esquema que muestra cómo funcionan los puentes de cadena cruzada.
Es fácil ver que un atacante puede atacar el contrato inteligente de la bóveda, el contrato inteligente de vinculación o los guardianes. Las vulnerabilidades se encuentran a menudo en los contratos inteligentes. Por ejemplo, el último hackeo al proveedor de puentes Nomad resultó en la pérdida de casi 200 millones de dólares al explotar vulnerabilidades en la lógica de los contratos inteligentes en la cadena de bloques de origen. Estos se introdujeron durante un proceso de actualización de contrato inteligente. El ataque a Axie Infinity Puente Ronin resultó en una pérdida de $ 625 millones; el ataque Puente del horizonte dirigido por la empresa californiana Harmony provocó la pérdida de 100 millones de dólares. Ambos ataques implicaron comprometer las llaves en poder de los guardianes.
Figura 3: Pío por el fundador de Harmony, Stephen Tse, describiendo que las claves privadas estaban efectivamente comprometidas. También describe el sistema utilizado para almacenar claves privadas. Este nivel de seguridad no es suficiente.
Harmony no usó el cifrado de datos en uso. Es muy posible que las claves privadas se hayan perdido después de un ataque de volcado de memoria. Es irrelevante si las claves estaban doblemente encriptadas cuando estaban inactivas. Cuando se utilizan estas claves, se llevan a la memoria principal. Si se descarga la memoria del proceso que utiliza la clave, se puede extraer la clave privada.
Figura 4: Procesamiento confidencial de nivel empresarial
Tecnología de información confidencial de nivel empresarial
La computación confidencial es una tecnología que admite el cifrado de datos en uso. Los ataques simples de volcado de memoria no funcionan cuando se utilizan tecnologías de procesamiento confidencial como Intel SGX. Incluso puede subir el listón y crear una plataforma informática confidencial de nivel empresarial. Esto implica admitir operaciones en modo clúster, alta disponibilidad, recuperación ante desastres, obtener una variedad de certificaciones de seguridad y encapsular nodos con hardware a prueba de manipulaciones para evitar ataques de canal lateral. Las plataformas informáticas confidenciales de nivel empresarial también admiten aprobaciones de quórum para el uso de claves almacenadas. Es posible que se requieran varios aprobadores para firmar transacciones con cada clave.
Dado que los puentes de cadena cruzada almacenan cantidades notablemente grandes de criptomonedas, los guardianes deben utilizar plataformas informáticas confidenciales de nivel empresarial para generar, almacenar y utilizar claves.
Pero también es difícil para un guardián del puente confiar plenamente en una plataforma informática confidencial de nivel empresarial. ¿Qué sucede si el operador de la plataforma niega el servicio por algún motivo? La generación de claves que no dependan de una semilla proporcionada por el usuario puede ser peligrosa. Un ataque DOS podría conducir a la congelación permanente de fondos.
Una solución es poseer la plataforma e implementarla usted mismo en los centros de datos de su elección. La otra solución es hacer que la plataforma genere una clave y luego que genere componentes clave utilizando un esquema de intercambio de secretos de umbral. Los recursos compartidos se pueden cifrar con claves públicas proporcionadas por los guardianes del puente. De esa manera, si un número mínimo de guardianes puede combinar sus acciones, la clave también puede regenerarse en caso de un ataque DOS por parte del proveedor de la plataforma de computación confidencial de nivel empresarial.
Los guardianes de los puentes deben reconsiderar cómo administran sus llaves. Hemos visto demasiados ataques que podrían haberse evitado con las mejores prácticas de administración de claves. Mantener sus claves en línea y mantenerlas seguras es una tarea difícil.
Afortunadamente, la informática confidencial de nivel empresarial puede hacer mucho para mejorar la seguridad de las claves de seguridad del puente.
Pralhad Deshpande, Ph.D., es arquitecto sénior de soluciones en Fortanix.
Tomadores de decisiones de datos
¡Bienvenido a la comunidad VentureBeat!
DataDecisionMakers es el lugar donde los expertos, incluidos los ingenieros de datos, pueden compartir ideas e innovaciones relacionadas con los datos.
Si desea leer ideas de vanguardia e información actualizada, las mejores prácticas y el futuro de los datos y la tecnología de datos, únase a nosotros en DataDecisionMakers.
¡Incluso podría considerar contribuir con su propio artículo!
Leer más de DataDecisionMakers
