Básico
Spot
Opera con criptomonedas libremente
Margen
Multiplica tus beneficios con el apalancamiento
Convertir e Inversión automática
0 Fees
Opera cualquier volumen sin tarifas ni deslizamiento
ETF
Obtén exposición a posiciones apalancadas de forma sencilla
Trading premercado
Opera nuevos tokens antes de su listado
Contrato
Accede a cientos de contratos perpetuos
TradFi
Oro
Plataforma global de activos tradicionales
Opciones
Hot
Opera con opciones estándar al estilo europeo
Cuenta unificada
Maximiza la eficacia de tu capital
Trading de prueba
Introducción al trading de futuros
Prepárate para operar con futuros
Eventos de futuros
Únete a eventos para ganar recompensas
Trading de prueba
Usa fondos virtuales para probar el trading sin asumir riesgos
Lanzamiento
CandyDrop
Acumula golosinas para ganar airdrops
Launchpool
Staking rápido, ¡gana nuevos tokens con potencial!
HODLer Airdrop
Holdea GT y consigue airdrops enormes gratis
Pre-IPOs
Accede al acceso completo a las OPV de acciones globales
Puntos Alpha
Opera activos on-chain y recibe airdrops
Puntos de futuros
Gana puntos de futuros y reclama recompensas de airdrop
Inversión
Simple Earn
Genera intereses con los tokens inactivos
Inversión automática
Invierte automáticamente de forma regular
Inversión dual
Aprovecha la volatilidad del mercado
Staking flexible
Gana recompensas con el staking flexible
Préstamo de criptomonedas
0 Fees
Usa tu cripto como garantía y pide otra en préstamo
Centro de préstamos
Centro de préstamos integral
Centro de patrimonio VIP
Planes de aumento patrimonial prémium
Gestión patrimonial privada
Asignación de activos prémium
Quant Fund
Estrategias cuantitativas de alto nivel
Staking
Haz staking de criptomonedas para ganar en productos PoS
Apalancamiento inteligente
Apalancamiento sin liquidación
Acuñación de GUSD
Acuña GUSD y gana rentabilidad de RWA
Promociones
Centro de actividades
Únete a actividades y gana recompensas
Referido
20 USDT
Invita amigos y gana por tus referidos
Programa de afiliados
Gana recompensas de comisión exclusivas
Gate Booster
Aumenta tu influencia y gana airdrops
Anuncio
Novedades de plataforma en tiempo real
Gate Blog
Artículos del sector de las criptomonedas
AI
Gate AI
Tu compañero de IA conversacional para todo
Gate AI Bot
Usa Gate AI directamente en tu aplicación social
GateClaw
Gate Blue Lobster, listo para usar
Gate for AI Agent
Infraestructura de IA, Gate MCP, Skills y CLI
Gate Skills Hub
+10 000 habilidades
De la oficina al trading, una biblioteca de habilidades todo en uno para sacar el máximo partido a la IA
GateRouter
Elige inteligentemente entre más de 40 modelos de IA, con 0% de costos adicionales
#DeFi4月安全事件损失超6亿美元 #Gate广场五月交易分享 Los puentes entre cadenas no son "puentes de seguridad" | Analizando incidentes recientes de ataques y debilidades en la seguridad DeFi
En abril de 2026, dos ataques consecutivos a puentes entre cadenas sacudieron nuevamente el mundo DeFi.
Primero, el 18 de abril, KelpDAO fue hackeado debido a una falla en la configuración de verificación entre cadenas, lo que resultó en el robo de aproximadamente 293 millones de dólares;
luego, el 29 de abril, el puente entre cadenas de Syndicate Commons experimentó una falla en la verificación de mensajes, causando una caída cercana al 35% en el token.
Los atacantes no tocaron el código principal del contrato inteligente, sino que explotaron el "punto ciego de confianza" en el diseño del puente entre cadenas—falsificando un mensaje, y el sistema lo aprobó obedientemente.
Estos dos incidentes vuelven a exponer un problema central: **Los puentes entre cadenas se están convirtiendo en uno de los "puntos débiles más grandes" en la seguridad de blockchain.**
Para usuarios comunes y equipos de proyectos, la advertencia de estos eventos es: el modelo de confianza subyacente de los puentes entre cadenas está siendo desafiado sistemáticamente.
Este artículo parte de la esencia del riesgo y ofrece sugerencias prácticas de protección.
---
**1. ¿Por qué son propensos los puentes entre cadenas a "caer"?**
Los accidentes frecuentes en los puentes entre cadenas provienen de varias fallas de diseño comunes:
1. **Los mecanismos de verificación son demasiado simples**
La confirmación de un solo nodo puede ser vulnerada, permitiendo a los hackers falsificar instrucciones. Este patrón de "punto único de confianza" equivale a no tener defensas en un mundo descentralizado.
2. **Falta de conciliación bidireccional**
Los eventos en la cadena fuente no son reconocidos por la cadena destino, permitiendo que los mensajes falsificados pasen libremente. Es como que un banco solo verifica tu cheque pero no confirma tu saldo por teléfono.
3. **Permisos demasiado concentrados**
Grandes fondos sin límites, retrasos o protecciones de firma múltiple pueden ser drenados en una sola brecha. Como una caja fuerte con llaves en poder de una sola persona—si pierdes la llave, todo termina.
4. **Auditorías insuficientes**
Muchas vulnerabilidades solo se descubren después de meses de operación, dejando ventanas de ataque abiertas por mucho tiempo. Auditar en el lanzamiento no garantiza seguridad eterna; a menudo surgen nuevos métodos después de las auditorías.
Ambos incidentes, en esencia, provienen de "confianza en el eslabón único equivocado".
---
**2. Tipos comunes de riesgos en los puentes entre cadenas**
Cada enlace en un puente entre cadenas puede convertirse en un punto de brecha; mantén la vigilancia al usar.
1. **Vulnerabilidades en los mecanismos de verificación**
La verificación de punto único es fácil de vulnerar, permitiendo que los mensajes falsificados pasen. Una vez que los hackers controlan el nodo de verificación, tienen la "botón de lanzamiento" para todos los activos entre cadenas.
2. **Fallos en la lógica del contrato**
Como falta de verificaciones de permisos, vulnerabilidades de reentrada, etc. Estos pequeños descuidos en el código a menudo se convierten en puertas traseras explotadas repetidamente.
3. **Riesgos en nodos centralizados**
Si los servidores, APIs o claves son comprometidos, el sistema puede descontrolarse. Los componentes centralizados en los puentes entre cadenas son objetivos favoritos para hackers estatales.
4. **Problemas de confiabilidad de los datos**
Los datos externos secuestrados o manipulados pueden causar ejecuciones incorrectas. Los oráculos o fuentes de datos fuera de la cadena siendo contaminados pueden hacer que todo el puente "funcione en la dirección equivocada".
5. **Concentración de fondos en pools**
Grandes activos sin controles de riesgo pueden ser drenados rápidamente si se vulneran. Almacenar todos los fondos de los usuarios en un solo pool es como poner una trampa para hackers—una oportunidad de "todo en uno".
Los usuarios no necesitan recordar todos los detalles técnicos—solo entender: **cada paso de un puente entre cadenas puede fallar.**
---
**3. ¿Cómo pueden protegerse los usuarios comunes?**
Esta parte es la más crítica—muchas pérdidas se deben en realidad a hábitos operativos.
✅ Minimizar la frecuencia de operaciones entre cadenas
Cada transferencia entre cadenas implica entregar activos a un tercero; cualquier fallo en el enlace puede llevar a la pérdida de activos.
💡 Recomendaciones:
- Evitar transferencias entre cadenas frecuentes y múltiples a menos que sea necesario.
- Priorizar puentes entre cadenas maduros y bien establecidos y evitar herramientas de nicho u oscuras.
Principio fundamental: cuantos más pasos entre cadenas, mayor el riesgo de exposición.
✅ No usar puentes entre cadenas "recién lanzados"
Muchos puentes, al ser lanzados por primera vez:
- Tienen código no probado en escenarios reales
- Pueden carecer de auditorías exhaustivas, y los controles de riesgo son incompletos—precisamente la "ventana" que a los hackers les encanta.
💡 Sugerencias:
- Evitar proyectos recién lanzados o demasiado promocionados
- Observar durante un período para ver si ocurren anomalías o incidentes de seguridad
👉 Recuerda: "Más nuevo" ≠ "Más seguro"; a menudo, es más arriesgado.
✅ Probar con cantidades pequeñas antes de transferencias grandes
Muchos usuarios transfieren sumas grandes directamente, lo cual es muy arriesgado. Se recomienda primero transferir una cantidad pequeña para probar todo el proceso, confirmar la recepción y luego proceder con cantidades mayores. Incluso si ocurren problemas, las pérdidas son manejables.
👉 El propósito de este enfoque: incluso si ocurren problemas, las pérdidas están controladas, evitando "pérdidas grandes en una sola vez".
✅ Ser cauteloso con las aprobaciones y firmas
La mayoría de las operaciones entre cadenas involucran aprobaciones de contratos de billetera, que son el principal punto de entrada para el robo de activos.
⚠ Puntos clave de riesgo:
- Aprobaciones ilimitadas: pueden transferir todos los activos en tu billetera sin restricción
- Aprobar ciegamente contratos desconocidos te hace vulnerable a robos por phishing
💡 Sugerencias de protección:
- Revocar aprobaciones inmediatamente después de completar operaciones
- Tener cuidado con firmas desconocidas; verificar la dirección y permisos antes de firmar
✅ Usar billeteras separadas para la gestión de activos para evitar "pérdida total de una sola vez"
Muchos usuarios almacenan todos los activos en una sola billetera; si se compromete (por abuso de aprobaciones, filtraciones de claves privadas, etc.), todos los activos están en riesgo.
👉 Prácticas más seguras:
- Billetera principal: solo para almacenar grandes activos (sin interacciones diarias)
- Billetera operativa: para DeFi, entre cadenas y actividades diarias
- Operaciones de alto riesgo: usar una billetera nueva y dedicada
📌 Efecto protector: incluso si la billetera de interacción diaria es hackeada o robada, tus activos principales permanecen intactos, evitando pérdidas totales.
---
**4. Problemas de seguridad que los equipos de proyectos deben priorizar**
Si los usuarios pueden "reducir riesgos", los equipos de proyectos deben "evitar accidentes".
1. **Verificación descentralizada**
Múltiples nodos alcanzando consenso para eliminar puntos únicos de fallo. Al menos 3 nodos de verificación independientes, sin compartir la misma infraestructura.
2. **Permisos mínimos + bloqueos de tiempo**
Dividir permisos administrativos, aplicar retrasos (por ejemplo, 24 horas) en operaciones críticas. Incluso si los permisos son robados, el equipo y los usuarios tienen ventanas de reacción.
3. **Auditorías y monitoreo continuos**
Las auditorías antes del lanzamiento son solo el comienzo; el monitoreo continuo 24/7 de transacciones anómalas es esencial. Muchos ataques ocurren después de auditorías; la defensa dinámica es más importante que verificaciones puntuales.
4. **Aislamiento de fondos**
No mantener todos los activos en un solo pool; implementar gestión en capas. Separar fondos del protocolo, colaterales de usuarios y tarifas de la plataforma. Una brecha en uno no afecta a todos.
---
**Conclusión**
Los incidentes de KelpDAO y Syndicate Commons vuelven a demostrar: **Los puentes entre cadenas no son "componentes funcionales" sino "infraestructura de alto riesgo."**
Desde fallas en la verificación hasta pérdida de permisos, cada enlace puede ser un vector de ataque. Aunque los métodos difieren, la esencia es la misma: **las suposiciones de confianza son demasiado simplistas.**
Para los usuarios comunes: reducir operaciones entre cadenas, aprobaciones cautelosas y diversificación de activos son las defensas más efectivas.
Para la industria: la verificación descentralizada, el control de permisos y mecanismos transparentes son las direcciones clave para la seguridad entre cadenas.