#DeFi4月安全事件损失超6亿美元 #Gate广场五月交易分享 Los puentes entre cadenas no son "puentes de seguridad"|Análisis de las recientes brechas de seguridad en eventos de ataque
En abril de 2026, dos incidentes consecutivos de ataques a puentes entre cadenas sacudieron nuevamente el mundo DeFi.
Primero, el 18 de abril, KelpDAO fue víctima de un ataque debido a una configuración defectuosa en la verificación entre cadenas, donde un hacker falsificó mensajes y robó aproximadamente 293 millones de dólares; seguido, el 29 de abril, el puente entre cadenas de Syndicate Commons sufrió una pérdida de confianza en sus mensajes, provocando una caída cercana al 35% en sus tokens.
Los atacantes no tocaron el código del contrato inteligente central, sino que aprovecharon la "zona ciega de confianza" en el diseño del puente entre cadenas: falsificaron un mensaje, y el sistema lo aceptó sin cuestionar.
Estos dos incidentes vuelven a exponer un problema clave: los puentes entre cadenas están convirtiéndose en uno de los "puntos débiles más grandes en la seguridad de la cadena de bloques".
Para usuarios comunes y proyectos, la alarma que suenan estos eventos es: el modelo de confianza subyacente en los puentes entre cadenas está siendo desafiado sistemáticamente. Este artículo, partiendo de la naturaleza del riesgo, ofrece recomendaciones prácticas de protección.
一 ¿Por qué los puentes entre cadenas son propensos a "fallar"?
Los incidentes frecuentes en puentes entre cadenas se deben a varias deficiencias de diseño comunes:
1 Mecanismo de verificación demasiado simple
Solo requiere la confirmación de un nodo, si ese nodo es comprometido, puede falsificar instrucciones. Este modo de "confianza en un solo punto" en un mundo descentralizado equivale a no tener protección.
2 Falta de conciliación bidireccional
Lo que sucede en la cadena fuente no puede ser reconocido por la cadena destino, permitiendo que los mensajes falsificados pasen sin obstáculos. Es como un banco que solo mira tu cheque, pero no verifica el saldo de la cuenta por teléfono.
3 Concentración excesiva de permisos
Los pools de fondos grandes sin límites, retrasos o protección multiseñal, pueden ser transferidos en su totalidad con una sola brecha. Es como si la llave de una caja fuerte solo la tuviera una persona, y si la pierde, todo se acaba.
4 Auditorías insuficientes
Muchas vulnerabilidades solo se descubren meses después de su operación, dejando ventanas de ataque abiertas por mucho tiempo. La auditoría previa al lanzamiento no garantiza seguridad eterna; siempre surgen nuevas técnicas después de la auditoría.
Estos incidentes, en esencia, se deben a "confiar en un solo eslabón en el que no se debería confiar".
二 Tipos comunes de riesgos en puentes entre cadenas
Cada etapa del puente puede convertirse en un punto de entrada, mantén la vigilancia al usarlo.
1 Vulnerabilidades en el mecanismo de verificación
La verificación de un solo punto es fácil de vulnerar, permitiendo la falsificación de mensajes. Si un hacker controla el nodo de verificación, tiene en sus manos el "botón de paso" para todos los activos en la cadena cruzada.
2 Defectos en la lógica del contrato
Como omisiones en la verificación de permisos, vulnerabilidades de reentrada, etc. Estos pequeños descuidos en el código suelen convertirse en "puertas traseras" explotables repetidamente.
3 Riesgo de nodos centralizados
Si los servidores, API o claves son comprometidos, el sistema se descontrola. Los componentes centralizados en los puentes entre cadenas son precisamente los puntos favoritos de los hackers a nivel estatal.
4 Problemas de confiabilidad de datos
Datos externos que son secuestrados o manipulados, causando ejecuciones erróneas. La contaminación de oráculos o fuentes de datos fuera de la cadena puede hacer que el puente funcione en la dirección equivocada.
5 Concentración en pools de fondos
Activos de gran volumen sin controles, que se pierden rápidamente si son vulnerados. Acumular todos los fondos de los usuarios en un solo pool equivale a preparar una "red de captura total" para los hackers.
Los usuarios no necesitan recordar todos los detalles técnicos, solo deben saber: en cada paso del puente entre cadenas puede surgir un problema.
三 ¿Cómo pueden protegerse los usuarios comunes?
La parte más importante — muchas pérdidas en realidad son problemas de hábitos operativos.
✅ Reducir al máximo la frecuencia de operaciones entre cadenas
Cada operación entre cadenas implica entregar activos a un tercero, cualquier problema en ese proceso puede causar pérdida de activos.
💡 Recomendaciones:
En escenarios no esenciales, evita realizar transferencias frecuentes o múltiples entre cadenas.
Prioriza puentes entre cadenas maduros y establecidos, evita herramientas poco conocidas o de nicho.
Principio clave: cuantas más veces se use el puente, mayor será el riesgo de exposición.
✅ No usar puentes entre cadenas "recién lanzados"
Muchos puentes en su lanzamiento:
Código sin suficiente validación práctica
Auditorías con posibles omisiones, mecanismos de control aún por perfeccionar, lo que crea la "ventana de oportunidad" preferida por los hackers.
💡 Recomendaciones:
Evitar proyectos nuevos que acaben de lanzarse o que tengan mucha publicidad.
Observar durante un tiempo para detectar anomalías o incidentes de seguridad.
👉 Recuerda: Cuanto más nuevo, no necesariamente más seguro; muchas veces, el riesgo es mayor.
✅ Realizar pruebas con cantidades pequeñas antes de operaciones grandes
Muchos usuarios transfieren grandes sumas de una sola vez, lo cual es muy arriesgado. Se recomienda hacer primero una transferencia pequeña para verificar el proceso completo y asegurarse de que llega correctamente, antes de realizar operaciones mayores. Así, si surge un problema, las pérdidas serán controladas.
👉 La idea de esto es: incluso si hay un problema, las pérdidas serán controladas, no una "catástrofe total".
✅ Ser cauteloso con las autorizaciones (Approve) y firmas
El proceso de operación en el puente casi siempre requiere autorización del contrato de la wallet, y esa autorización es la principal vía por la cual la mayoría de los activos son robados.
⚠️ Puntos clave de riesgo:
Autorización ilimitada en contratos: permite transferir sin restricciones todos los activos correspondientes en tu wallet.
Autorizar sin cuidado a contratos desconocidos, puede ser víctima de phishing y robo.
💡 Recomendaciones de protección:
Revocar autorizaciones inmediatamente después de la operación.
No confirmar firmas de desconocidos sin verificar la dirección y permisos.
✅ Gestionar los activos en diferentes wallets, para evitar pérdidas totales en una sola operación
Muchos usuarios concentran todos sus activos en una sola wallet, y si ocurre un riesgo (uso indebido de permisos, filtración de claves privadas, etc.), perderán todo.
👉 Prácticas más seguras:
Wallet principal: solo para almacenar grandes cantidades (sin interactuar).
Wallet de operaciones: para DeFi, operaciones entre cadenas, etc.
Wallet separado para operaciones de alto riesgo.
📌 Efecto protector: incluso si la wallet de interacción diaria es atacada o robada, los activos principales no se verán afectados, evitando una pérdida total en una sola vez.
四 Problemas de seguridad que los proyectos deben priorizar
Si los usuarios pueden reducir riesgos, los proyectos deben evitar accidentes.
1 Verificación descentralizada: consenso de múltiples nodos, evitar fallos en un solo punto. Al menos 3 nodos independientes, sin infraestructura compartida.
2 Permisos mínimos + bloqueo temporal: dividir permisos administrativos, implementar retrasos en operaciones críticas (como 24 horas). Así, incluso si los permisos son robados, el equipo y los usuarios tienen tiempo para reaccionar.
3 Auditorías y monitoreo continuos: la auditoría previa al lanzamiento es solo el comienzo; se requiere monitoreo 24/7 para detectar transacciones anómalas. Muchas brechas ocurren después de la auditoría, la protección dinámica es más importante que una revisión única.
4 Aislamiento de fondos: no poner todos los activos en un solo pool, gestionar en capas. Separar fondos propios del protocolo, colaterales de usuarios y tarifas de la plataforma; si un pool falla, no afectará a todos.
Conclusión
Las incidentes de KelpDAO y Syndicate Commons demuestran una vez más: los puentes entre cadenas no son "componentes funcionales", sino "infraestructuras de alto riesgo".
Desde vulnerabilidades en la verificación hasta pérdida de control de permisos, cada etapa puede ser un punto de ataque. Aunque los métodos difieren, la esencia es la misma: confiar en un solo supuesto.
Para los usuarios comunes: reducir el uso de puentes, ser cauteloso con las autorizaciones y diversificar activos son las medidas de protección más efectivas.
Para la industria: la verificación descentralizada, el control de permisos y la transparencia son las claves para la seguridad en los puentes entre cadenas.
En abril de 2026, dos incidentes consecutivos de ataques a puentes entre cadenas sacudieron nuevamente el mundo DeFi.
Primero, el 18 de abril, KelpDAO fue víctima de un ataque debido a una configuración defectuosa en la verificación entre cadenas, donde un hacker falsificó mensajes y robó aproximadamente 293 millones de dólares; seguido, el 29 de abril, el puente entre cadenas de Syndicate Commons sufrió una pérdida de confianza en sus mensajes, provocando una caída cercana al 35% en sus tokens.
Los atacantes no tocaron el código del contrato inteligente central, sino que aprovecharon la "zona ciega de confianza" en el diseño del puente entre cadenas: falsificaron un mensaje, y el sistema lo aceptó sin cuestionar.
Estos dos incidentes vuelven a exponer un problema clave: los puentes entre cadenas están convirtiéndose en uno de los "puntos débiles más grandes en la seguridad de la cadena de bloques".
Para usuarios comunes y proyectos, la alarma que suenan estos eventos es: el modelo de confianza subyacente en los puentes entre cadenas está siendo desafiado sistemáticamente. Este artículo, partiendo de la naturaleza del riesgo, ofrece recomendaciones prácticas de protección.
一 ¿Por qué los puentes entre cadenas son propensos a "fallar"?
Los incidentes frecuentes en puentes entre cadenas se deben a varias deficiencias de diseño comunes:
1 Mecanismo de verificación demasiado simple
Solo requiere la confirmación de un nodo, si ese nodo es comprometido, puede falsificar instrucciones. Este modo de "confianza en un solo punto" en un mundo descentralizado equivale a no tener protección.
2 Falta de conciliación bidireccional
Lo que sucede en la cadena fuente no puede ser reconocido por la cadena destino, permitiendo que los mensajes falsificados pasen sin obstáculos. Es como un banco que solo mira tu cheque, pero no verifica el saldo de la cuenta por teléfono.
3 Concentración excesiva de permisos
Los pools de fondos grandes sin límites, retrasos o protección multiseñal, pueden ser transferidos en su totalidad con una sola brecha. Es como si la llave de una caja fuerte solo la tuviera una persona, y si la pierde, todo se acaba.
4 Auditorías insuficientes
Muchas vulnerabilidades solo se descubren meses después de su operación, dejando ventanas de ataque abiertas por mucho tiempo. La auditoría previa al lanzamiento no garantiza seguridad eterna; siempre surgen nuevas técnicas después de la auditoría.
Estos incidentes, en esencia, se deben a "confiar en un solo eslabón en el que no se debería confiar".
二 Tipos comunes de riesgos en puentes entre cadenas
Cada etapa del puente puede convertirse en un punto de entrada, mantén la vigilancia al usarlo.
1 Vulnerabilidades en el mecanismo de verificación
La verificación de un solo punto es fácil de vulnerar, permitiendo la falsificación de mensajes. Si un hacker controla el nodo de verificación, tiene en sus manos el "botón de paso" para todos los activos en la cadena cruzada.
2 Defectos en la lógica del contrato
Como omisiones en la verificación de permisos, vulnerabilidades de reentrada, etc. Estos pequeños descuidos en el código suelen convertirse en "puertas traseras" explotables repetidamente.
3 Riesgo de nodos centralizados
Si los servidores, API o claves son comprometidos, el sistema se descontrola. Los componentes centralizados en los puentes entre cadenas son precisamente los puntos favoritos de los hackers a nivel estatal.
4 Problemas de confiabilidad de datos
Datos externos que son secuestrados o manipulados, causando ejecuciones erróneas. La contaminación de oráculos o fuentes de datos fuera de la cadena puede hacer que el puente funcione en la dirección equivocada.
5 Concentración en pools de fondos
Activos de gran volumen sin controles, que se pierden rápidamente si son vulnerados. Acumular todos los fondos de los usuarios en un solo pool equivale a preparar una "red de captura total" para los hackers.
Los usuarios no necesitan recordar todos los detalles técnicos, solo deben saber: en cada paso del puente entre cadenas puede surgir un problema.
三 ¿Cómo pueden protegerse los usuarios comunes?
La parte más importante — muchas pérdidas en realidad son problemas de hábitos operativos.
✅ Reducir al máximo la frecuencia de operaciones entre cadenas
Cada operación entre cadenas implica entregar activos a un tercero, cualquier problema en ese proceso puede causar pérdida de activos.
💡 Recomendaciones:
En escenarios no esenciales, evita realizar transferencias frecuentes o múltiples entre cadenas.
Prioriza puentes entre cadenas maduros y establecidos, evita herramientas poco conocidas o de nicho.
Principio clave: cuantas más veces se use el puente, mayor será el riesgo de exposición.
✅ No usar puentes entre cadenas "recién lanzados"
Muchos puentes en su lanzamiento:
Código sin suficiente validación práctica
Auditorías con posibles omisiones, mecanismos de control aún por perfeccionar, lo que crea la "ventana de oportunidad" preferida por los hackers.
💡 Recomendaciones:
Evitar proyectos nuevos que acaben de lanzarse o que tengan mucha publicidad.
Observar durante un tiempo para detectar anomalías o incidentes de seguridad.
👉 Recuerda: Cuanto más nuevo, no necesariamente más seguro; muchas veces, el riesgo es mayor.
✅ Realizar pruebas con cantidades pequeñas antes de operaciones grandes
Muchos usuarios transfieren grandes sumas de una sola vez, lo cual es muy arriesgado. Se recomienda hacer primero una transferencia pequeña para verificar el proceso completo y asegurarse de que llega correctamente, antes de realizar operaciones mayores. Así, si surge un problema, las pérdidas serán controladas.
👉 La idea de esto es: incluso si hay un problema, las pérdidas serán controladas, no una "catástrofe total".
✅ Ser cauteloso con las autorizaciones (Approve) y firmas
El proceso de operación en el puente casi siempre requiere autorización del contrato de la wallet, y esa autorización es la principal vía por la cual la mayoría de los activos son robados.
⚠️ Puntos clave de riesgo:
Autorización ilimitada en contratos: permite transferir sin restricciones todos los activos correspondientes en tu wallet.
Autorizar sin cuidado a contratos desconocidos, puede ser víctima de phishing y robo.
💡 Recomendaciones de protección:
Revocar autorizaciones inmediatamente después de la operación.
No confirmar firmas de desconocidos sin verificar la dirección y permisos.
✅ Gestionar los activos en diferentes wallets, para evitar pérdidas totales en una sola operación
Muchos usuarios concentran todos sus activos en una sola wallet, y si ocurre un riesgo (uso indebido de permisos, filtración de claves privadas, etc.), perderán todo.
👉 Prácticas más seguras:
Wallet principal: solo para almacenar grandes cantidades (sin interactuar).
Wallet de operaciones: para DeFi, operaciones entre cadenas, etc.
Wallet separado para operaciones de alto riesgo.
📌 Efecto protector: incluso si la wallet de interacción diaria es atacada o robada, los activos principales no se verán afectados, evitando una pérdida total en una sola vez.
四 Problemas de seguridad que los proyectos deben priorizar
Si los usuarios pueden reducir riesgos, los proyectos deben evitar accidentes.
1 Verificación descentralizada: consenso de múltiples nodos, evitar fallos en un solo punto. Al menos 3 nodos independientes, sin infraestructura compartida.
2 Permisos mínimos + bloqueo temporal: dividir permisos administrativos, implementar retrasos en operaciones críticas (como 24 horas). Así, incluso si los permisos son robados, el equipo y los usuarios tienen tiempo para reaccionar.
3 Auditorías y monitoreo continuos: la auditoría previa al lanzamiento es solo el comienzo; se requiere monitoreo 24/7 para detectar transacciones anómalas. Muchas brechas ocurren después de la auditoría, la protección dinámica es más importante que una revisión única.
4 Aislamiento de fondos: no poner todos los activos en un solo pool, gestionar en capas. Separar fondos propios del protocolo, colaterales de usuarios y tarifas de la plataforma; si un pool falla, no afectará a todos.
Conclusión
Las incidentes de KelpDAO y Syndicate Commons demuestran una vez más: los puentes entre cadenas no son "componentes funcionales", sino "infraestructuras de alto riesgo".
Desde vulnerabilidades en la verificación hasta pérdida de control de permisos, cada etapa puede ser un punto de ataque. Aunque los métodos difieren, la esencia es la misma: confiar en un solo supuesto.
Para los usuarios comunes: reducir el uso de puentes, ser cauteloso con las autorizaciones y diversificar activos son las medidas de protección más efectivas.
Para la industria: la verificación descentralizada, el control de permisos y la transparencia son las claves para la seguridad en los puentes entre cadenas.
