Lecciones de seguridad en el frontend del mayor evento de hackeo en la historia de Web3
El 21 de febrero de 2025, una conocida plataforma de intercambio sufrió un importante incidente de seguridad, aproximadamente 1.46 mil millones de dólares en activos criptográficos fueron transferidos a una dirección desconocida. Este evento no solo sorprendió a toda la industria criptográfica, sino que también provocó una profunda reflexión sobre la seguridad de Web3.
Revisión de eventos
El atacante, a través de un ataque de phishing cuidadosamente diseñado, logró inducir a los firmantes de la cartera de múltiples firmas a aprobar una transacción maliciosa. Los pasos específicos son los siguientes:
El atacante despliega previamente un contrato malicioso que contiene una puerta trasera para la transferencia de fondos.
Alterar la interfaz frontal de Safe, de modo que la información de la transacción que ve el firmante no coincida con los datos enviados realmente al monedero hardware.
Obtener firmas válidas a través de una interfaz falsa, reemplazar el contrato de implementación del monedero multi-firma Safe, y así controlar el monedero frío y transferir activos.
Investigación revela
Tras la investigación forense realizada por una institución profesional, los resultados preliminares muestran:
Se descubrieron recursos inyectados con código JavaScript malicioso en el almacenamiento en la nube de Safe.
El código malicioso tiene como objetivo manipular las transacciones, cambiando el contenido de la transacción durante el proceso de firma.
La fuente del ataque parece provenir de la infraestructura en la nube de Safe.
Actualmente no se han encontrado signos de que la infraestructura del propio intercambio haya sido comprometida.
Análisis de riesgos de seguridad
Vulnerabilidades de seguridad en el frontend: El frontend de Safe carece de la verificación básica de integridad de recursos (SRI), lo que permite que se ejecute código JavaScript manipulado.
Limitaciones de las carteras de hardware: al manejar transacciones complejas, las carteras de hardware no pueden analizar y mostrar completamente los datos de transacción detallados de las carteras de múltiples firmas, lo que conduce al riesgo de "firma ciega".
Problema de confianza del usuario: el firmante confía demasiado en la interfaz frontal y confirma la transacción sin verificar adecuadamente el contenido de la misma.
La fusión de la seguridad frontend y Web3
Con el desarrollo de la tecnología Web3, la frontera entre la seguridad del frontend y la seguridad de la blockchain se está volviendo cada vez más difusa. Las vulnerabilidades tradicionales del frontend pueden tener consecuencias más graves en el entorno Web3, mientras que las vulnerabilidades de los contratos inteligentes y los problemas de gestión de claves privadas aumentan aún más el riesgo.
Escenario uno: Alteración de parámetros de transacción
Pregunta: La interfaz muestra transferencia, pero en realidad ejecuta autorización.
Solución: utilizar la verificación de firma estructurada EIP-712
Generación de datos verificables en el front-end
Verificación de firma de contrato inteligente
Efecto: cualquier modificación de parámetros en el frontend resultará en una discrepancia en la firma, y la transacción se revertirá automáticamente.
Escenario dos: secuestro de firma ciega
Problema: Las reglas de análisis de la billetera de hardware han sido manipuladas, lo que provoca que el contenido mostrado no coincida con la ejecución real.
Solución:
Actualizar el firmware de la billetera de hardware, soporta EIP-712
Implementar coincidencia semántica obligatoria en la cadena
Consejos de seguridad
Implementar un mecanismo de verificación de seguridad en múltiples niveles, que incluya la seguridad del dispositivo, la verificación de transacciones y mecanismos de control de riesgos.
El desarrollo front-end necesita realizar una verificación completa de los aspectos de acceso a DApp, conexión de billetera, firma de mensajes, firma de transacciones y procesamiento posterior a la transacción.
Utilizar herramientas de auditoría de seguridad de contratos inteligentes, como la verificación formal y la generación de especificaciones de seguridad asistida por IA.
Establecer un sistema de monitoreo en tiempo real para detectar y responder a amenazas de seguridad potenciales.
Aumentar la conciencia de seguridad de los usuarios y fomentar buenos hábitos de verificación de transacciones.
Conclusión
El incidente de Bybit revela problemas profundos en la gestión de la seguridad y la arquitectura técnica de la industria de las criptomonedas. Ante las técnicas de ataque en constante evolución, la industria necesita mejorar su capacidad de protección de manera integral desde múltiples niveles. Los desarrolladores front-end deben esforzarse por construir una experiencia de interacción con el usuario más segura y confiable, logrando una transición de "reparación pasiva" a "inmunidad activa". Solo así se podrá proteger verdaderamente el valor y la confianza de cada transacción en el mundo abierto de Web3.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
8 me gusta
Recompensa
8
4
Compartir
Comentar
0/400
NftPhilanthropist
· 07-22 14:38
*ajusta las gafas* otro día, otro momento de enseñanza de $1.4B para verificación de impacto, la verdad.
Ver originalesResponder0
PaperHandsCriminal
· 07-19 21:22
¡Estoy en problemas! ¡Ayer volví a perderme el 10x!
Ver originalesResponder0
GateUser-e87b21ee
· 07-19 21:20
¿14 mil millones? ¿Aún hay tiempo para hacer un Rug Pull?
Nuevos desafíos de seguridad en el frontend de Web3: advertencias y contramedidas del incidente de 14.6 mil millones de dólares de hackers.
Lecciones de seguridad en el frontend del mayor evento de hackeo en la historia de Web3
El 21 de febrero de 2025, una conocida plataforma de intercambio sufrió un importante incidente de seguridad, aproximadamente 1.46 mil millones de dólares en activos criptográficos fueron transferidos a una dirección desconocida. Este evento no solo sorprendió a toda la industria criptográfica, sino que también provocó una profunda reflexión sobre la seguridad de Web3.
Revisión de eventos
El atacante, a través de un ataque de phishing cuidadosamente diseñado, logró inducir a los firmantes de la cartera de múltiples firmas a aprobar una transacción maliciosa. Los pasos específicos son los siguientes:
Investigación revela
Tras la investigación forense realizada por una institución profesional, los resultados preliminares muestran:
Análisis de riesgos de seguridad
Vulnerabilidades de seguridad en el frontend: El frontend de Safe carece de la verificación básica de integridad de recursos (SRI), lo que permite que se ejecute código JavaScript manipulado.
Limitaciones de las carteras de hardware: al manejar transacciones complejas, las carteras de hardware no pueden analizar y mostrar completamente los datos de transacción detallados de las carteras de múltiples firmas, lo que conduce al riesgo de "firma ciega".
Problema de confianza del usuario: el firmante confía demasiado en la interfaz frontal y confirma la transacción sin verificar adecuadamente el contenido de la misma.
La fusión de la seguridad frontend y Web3
Con el desarrollo de la tecnología Web3, la frontera entre la seguridad del frontend y la seguridad de la blockchain se está volviendo cada vez más difusa. Las vulnerabilidades tradicionales del frontend pueden tener consecuencias más graves en el entorno Web3, mientras que las vulnerabilidades de los contratos inteligentes y los problemas de gestión de claves privadas aumentan aún más el riesgo.
Escenario uno: Alteración de parámetros de transacción
Pregunta: La interfaz muestra transferencia, pero en realidad ejecuta autorización.
Solución: utilizar la verificación de firma estructurada EIP-712
Efecto: cualquier modificación de parámetros en el frontend resultará en una discrepancia en la firma, y la transacción se revertirá automáticamente.
Escenario dos: secuestro de firma ciega
Problema: Las reglas de análisis de la billetera de hardware han sido manipuladas, lo que provoca que el contenido mostrado no coincida con la ejecución real.
Solución:
Consejos de seguridad
Implementar un mecanismo de verificación de seguridad en múltiples niveles, que incluya la seguridad del dispositivo, la verificación de transacciones y mecanismos de control de riesgos.
El desarrollo front-end necesita realizar una verificación completa de los aspectos de acceso a DApp, conexión de billetera, firma de mensajes, firma de transacciones y procesamiento posterior a la transacción.
Utilizar herramientas de auditoría de seguridad de contratos inteligentes, como la verificación formal y la generación de especificaciones de seguridad asistida por IA.
Establecer un sistema de monitoreo en tiempo real para detectar y responder a amenazas de seguridad potenciales.
Aumentar la conciencia de seguridad de los usuarios y fomentar buenos hábitos de verificación de transacciones.
Conclusión
El incidente de Bybit revela problemas profundos en la gestión de la seguridad y la arquitectura técnica de la industria de las criptomonedas. Ante las técnicas de ataque en constante evolución, la industria necesita mejorar su capacidad de protección de manera integral desde múltiples niveles. Los desarrolladores front-end deben esforzarse por construir una experiencia de interacción con el usuario más segura y confiable, logrando una transición de "reparación pasiva" a "inmunidad activa". Solo así se podrá proteger verdaderamente el valor y la confianza de cada transacción en el mundo abierto de Web3.