Desglose de TL;DR
- La avalancha en la que los piratas informáticos atacan los protocolos criptográficos y DeFi continúa aumentando.
- Más de 7.000 millones de dólares perdidos por ataques a la criptoindustria en 2021.
- Por qué los piratas informáticos continúan apuntando a la industria criptográfica.
La avalancha en la que los piratas informáticos DeFi y la industria de las criptomonedas por extensión ha seguido siendo una fuente de preocupación para la industria.
informa dent 169 piratería blockchain , con casi $ 7 mil millones en fondos perdidos por los piratas informáticos. Durante el último mes, se informaron no menos de cinco casos de piratería criptográfica con DeFi Cream Finance, el último en ser atacado por estos piratas informáticos. Se dijo que se robaron más de $ 130 millones.
En lugar de esto, Cryptopolitan habló con Dmitry Mishunin, director ejecutivo y fundador de HashEx, una empresa de investigación y desarrollo centrada en la integración de blockchain en los procesos comerciales y la seguridad cibernética . Dmitry tiene tron experiencia técnica en seguridad cibernética y aplicaciones descentralizadas, así como una experiencia impresionante en el desarrollo de sistemas de seguridad de la información.
A continuación se muestran extractos de la entrevista.
P: ¿Le sorprende la cantidad de hacks y exploits que enfrentan los usuarios últimamente?
Lamentablemente no. Estamos viendo que cada vez más personas están escribiendo sus trac . Pero a menudo no tienen suficientes conocimientos de programación ni una buena comprensión de Solidity, actualmente el único lenguaje de programación compatible con Ethereum . Tener una buena comprensión del lenguaje de programación es imprescindible para crear un DeFi , y no conocer algunos de sus matices puede conducir fácilmente a exploits y fondos robados.
P: ¿Cómo puede el hecho de aceptar o firmar un contrato trac que contiene código malicioso provocar el robo de sus activos?
Todo usuario debe saber que las transacciones de blockchain son irreversibles: una vez que aprueba una cierta cantidad de un token ERC-20 para un contrato inteligente ERC-20 trac se transferirá de forma irreversible. Un trac puede tener un código fuente verificado sin exploits, pero también puede tener alguna biblioteca no verificada como dependencia. La aprobación de tokens para un trac este tipo es un gran riesgo porque no se puede comprobar cómo funciona la biblioteca.
Ese fue el caso en el proyecto StableMarket, cuando se robaron al menos $ 27 millones en fondos de los usuarios. Los contratos del proyecto StableMarket trac un código auditado pero se implementaron con una biblioteca no verificada. Esta biblioteca era maliciosa y robaba los tokens de los usuarios almacenados en el protocolo.
Otro riesgo para los usuarios es aprobar tokens para un contrato inteligente actualizable : dicho trac puede actualizarse automáticamente matic código malicioso y robar los tokens aprobados trac
A menudo, las aplicaciones frontend aprueban cantidades máximas de tokens para un trac , no solo la cantidad de token que se utilizará. Se realiza pagando el gas en una sola transacción. Si un usuario deposita tokens en un trac , deberá pagar adicionalmente por el gas. Pero si un trac actúa maliciosamente, en ese caso puede retirar cualquier cantidad de tokens de la billetera.
Por lo tanto, la mejor práctica para la máxima seguridad es verificar siempre el monto de la aprobación y aprobar solo el monto que se requiere para la operación del trac .
P: ¿Los piratas informáticos se están volviendo más inteligentes o los usuarios de criptomonedas se están volviendo menos cautelosos con sus procedimientos de ciberseguridad?
Ambas afirmaciones son verdaderas. Los piratas informáticos han logrado grandes avances en la explotación de plataformas de préstamos flash junto con diferentes protocolos para crear y explotar vulnerabilidades. Por sí solas, esas otras plataformas son seguras la mayor parte del tiempo, pero los préstamos flash crean una mayor complejidad estructural, lo que hace que las vulnerabilidades sean más frecuentes.
Estos ataques son muy complejos.
Incluso su análisis lleva mucho tiempo. Y también hay muchos hacks de proyectos que simplemente tienen un código deficiente con errores simples que probablemente se eliminarían si se hicieran pruebas o si el código se auditara adecuadamente. Parte de la culpa también la tienen los usuarios, porque muchos de ellos conocen las prácticas seguras que minimizan los riesgos, como el almacenamiento en frío, por ejemplo. Pero a menudo los ignoran y pierden la cabeza por una oportunidad que puede generarles un retorno de la inversión múltiple. A veces, terminan simplemente perdiendo su dinero.
P: ¿Cómo pueden los usuarios proteger mejor sus activos en Metamask y las dapps asociadas, como OpenSea y DeFi ?
La mejor protección no es almacenar todos los activos en monederos activos sino enviarlos a monederos fríos: estos últimos no tienen acceso a Internet.
Lo mejor es almacenar solo una pequeña cantidad de los activos necesarios para las operaciones en monederos calientes y mantener el resto en almacenamiento en frío. Además de eso, los usuarios deben seguir las reglas de seguridad estándar: hacer uso de antivirus, evitar abrir enlaces sospechosos en los correos electrónicos y usar la autenticación de dos factores cuando sea posible.
P: ¿Cree que los hacks y exploits serán más comunes a medida que crezca la industria?
A medida que la industria crece y se lanzan más proyectos, más de ellos enfrentarán el riesgo de ser pirateados. No puede eliminar todos los errores en todos los proyectos, pero las empresas de seguridad de blockchain trabajan constantemente para minimizarlos. Eso no solo incluye auditorías del código fuente de los proyectos, sino también el desarrollo de herramientas analíticas que ayudarán a evitar que los errores aparezcan por completo o, al menos, a encontrarlos en las primeras etapas de desarrollo.
P: ¿Qué papel juega HashEx en la expansión de la industria de las criptomonedas?
Informamos a las personas sobre la transparencia y la seguridad del uso de aplicaciones descentralizadas. La lógica de su trabajo es demasiado compleja y poco clara para que la entienda un usuario promedio. Además, ninguna persona sensata confiaría su dinero a algo que no entiende, como Pinocho en el campo de los Milagros. Explicamos nociones complejas en términos sencillos y sacamos a la luz las trampas que las personas deben conocer y tratar de evitar, y también ayudamos a los inversores potenciales a tomar una decisión bien informada sobre sus fondos.
Pero principalmente somos una firma de auditoría que se centra en DeFi y las criptomonedas. Eso significa que hacemos muchas auditorías de trac inteligentes y, por lo tanto, ayudamos a que los proyectos criptográficos ganen la confianza de los inversores, ya que los inversores confían mejor en los proyectos que están bien protegidos contra errores costosos que podrían afectar financieramente a sus inversores.
P: ¿Cuáles son sus pensamientos tanto del G7 como del dent de los EE. UU., Joe Biden, sobre sus movimientos para terminar con el ransomware, la seguridad cibernética y los frecuentes ataques criptográficos?
La mejora constante de los estándares de seguridad es parte de nuestra rutina e ideología corporativa. Buscamos traer confianza al espacio DeFi sin confianza. Y este problema es crucial en cualquier dominio de TI, no solo en DeFi . Con la rápida aparición de nuevos productos de software, lamentablemente no se presta suficiente atención al aspecto de la seguridad cibernética, lo que crea oportunidades para que los piratas informáticos exploten. Esto se debe principalmente a dos razones: la 'programación con un clic del mouse' y una mano de obra de baja calidad a la que se le ofrecen salarios innecesariamente elevados.
Esta es una desventaja de las empresas de TI en rápido crecimiento. En este entorno de perro-come-perro, las empresas intentan adelantarse unas a otras, ofreciendo nuevos productos y, a menudo, haciendo la vista gorda ante los problemas de seguridad a pesar de su importancia. Como resultado, a veces tenemos grandes sistemas, que son utilizados por una gran cantidad de clientes, pero aún tienen errores que pueden provocar la pérdida de fondos de los usuarios. A veces, las consecuencias de estos errores pueden incluso afectar a todo el continente.
Desde este punto de vista, la interferencia gubernamental está completamente justificada. Si no fuera por los gobiernos estatales que se involucran en estos temas, ¿quién más reprimiría a los empresarios codiciosos y los convencería de dedicar esfuerzos a las medidas de seguridad y al desarrollo de software de manera sensata?
Si la gente empieza a denunciar los hackeos a las agencias gubernamentales, tendrá un efecto positivo. La información oportuna puede ayudar a minimizar las consecuencias de una posible falla al permitir la participación de canales de reserva (la situación con el suministro de petróleo a la costa este de EE. UU. puede verse como un buen ejemplo de esta práctica).
Los estándares de seguridad unificados en toda la industria también serían buenos, si son desarrollados por expertos, en lugar de personas externas. Incluso en la etapa inicial actual del desarrollo de DApp, estamos viendo que los auditores líderes implementan dichos estándares. La integración de dichos protocolos ayudará a todos: facilitará la programación, los códigos serán más seguros y también protegerá los fondos de los usuarios.
P: Estos hacks hablan sobre su impacto en la industria de las criptomonedas.
La retroalimentación para la criptoindustria es un intento de controlar los fondos robados. Pienso que es algo bueno. Actualmente, no puede obtener todas las comodidades del mundo real a través de la criptomoneda. Esta situación está cambiando día a día, pero está lejos de ser perfecta. Por lo tanto, los piratas informáticos aún requieren un puente entre los fondos criptográficos y fiduciarios para retirar los fondos adquiridos ilegalmente.
Esta es la etapa en la que los criminales pueden ser dent . Cuantos más se encuentren, menos estarán dispuestos a intentar hacerlo de nuevo. Uno puede pensar en cómo solían cortar partes del cuerpo para robarlas en las culturas orientales. Tales intervenciones de las agencias de aplicación de la ley están teniendo una influencia totalmente positiva en la industria de la criptografía y su reputación. Estas acciones hacen que las personas se sientan más seguras.
P: Los malos actores/jugadores detrás de muchos de estos hacks criptográficos, ¿qué sanciones les recomendaría para disuadir a otros?
Como he dicho antes, estoy totalmente a favor de penalizar a tales individuos. Vería tales operaciones como un fraude financiero de diversos grados de gravedad, y les aplicaría las acciones legales correspondientes. No estaría tratando de elaborar nuevas leyes en este momento.
P: Es casi imposible lograr un mundo criptográfico sin hacks, ¿cómo pueden las partes interesadas criptográficas, los responsables políticos y todos los demás reducir los ataques al mínimo?
Ningún dominio de TI es concebible sin ciberamenazas. Pero cuando hablamos de negocios ordinarios, solo vemos la punta del iceberg, no el panorama completo. Se están produciendo muchos más hacks que saltan a la vista porque las empresas podrían socavar su reputación si dicho conocimiento se hiciera público. Con las criptomonedas, todo es transparente y conocido públicamente, por lo que los medios masivos escriben sobre estas cosas con más frecuencia.
La ciberseguridad es una práctica multidimensional, que incluye marcos regulatorios en los puntos de entrada y salida de cripto a fiat, educación de usuarios, equipos de ciberseguridad que verifican el código, etc. Esta industria aún es joven, lo que brinda una excelente oportunidad para orientarla hacia los vectores correctos. de desarrollo. De esta manera, podemos hacer uso de prácticas más seguras desde el principio, en lugar de tratar de reparar los agujeros en algún lugar del camino.
