Entrevista: ¿Por qué los hackers siguen atacando los protocolos y soluciones DeFi ?

Desglose TL;DR

• La ola de ataques piratas informáticos contra los protocolos de criptomonedas y DeFi continúa aumentando.
• Más de 7 mil millones de dólares perdidos por ataques a la industria de las criptomonedas en 2021.
• ¿Por qué los piratas informáticos siguen atacando la industria de las criptomonedas?.

La avalancha de ataques piratas informáticos al espacio DeFi y a la industria de las criptomonedas por extensión sigue siendo una fuente de preocupación para la industria.

Según los informes169denten 2021 se registraron DeFi Cream Finance el más reciente afectado. Se estima que se robaron más de 130 millones de dólares.

En lugar de esto, Cryptopolitan conversó con Dmitry Mishunin, director ejecutivo y fundador de HashEx, una empresa de I+D especializada en la integración de blockchain en procesos empresariales y ciberseguridad. Dmitry cuenta contronformación técnica en ciberseguridad y aplicaciones descentralizadas, así como con una amplia experiencia en el desarrollo de sistemas de seguridad de la información.

A continuación se presentan extractos de la entrevista

P: ¿Le sorprende la cantidad de ataques y exploits a los que se enfrentan los usuarios últimamente?

Lamentablemente, no. Vemos que cada vez más personas escriben sustracinteligentes. Sin embargo, a menudo carecen de suficientes conocimientos de programación y un buen conocimiento de Solidity, actualmente el único lenguaje de programación compatible con Ethereum. Comprender bien el lenguaje de programación es fundamental para crear un protocolo DeFi confiable, y desconocer algunos de sus matices puede fácilmente dar lugar a exploits y al robo de fondos.

P: ¿Cómo puede ser que aceptar o firmar untracinteligente que contiene código malicioso dé lugar al robo de sus activos?

Todo usuario debe saber que las transacciones de blockchain son irreversibles: una vez que se aprueba una cierta cantidad de un token ERC-20 para un contrato inteligente ERC-20traceste se transferirá de forma irreversible. Un contratotractener un código fuente verificado y sin vulnerabilidades, pero también puede tener una biblioteca no verificada como dependencia. Aprobar tokens para untracsupone un gran riesgo, ya que no se puede comprobar cómo funciona la biblioteca.
Este fue el caso del proyecto StableMarket, donde se robaron al menos 27 millones de dólares de los fondos de los usuarios. Los contratos del proyecto StableMarkettracun código auditado, pero se implementaron con una biblioteca no verificada. Esta biblioteca era maliciosa y robó los tokens de los usuarios almacenados en el protocolo.

Otro riesgo para los usuarios es la aprobación de tokens para un contrato inteligente actualizabletracdicho contratotracactualizarse automáticamentematiccon código malicioso y robar los tokens aprobados.
menudo, las aplicaciones frontend aprueban cantidades máximas de tokens para un contratotracno solo la cantidad de tokens que se utilizará. Esto se hace para pagar el gas en una sola transacción. Si un usuario deposita tokens en un contratotracdeberá pagar adicionalmente por el gas. Sin embargo, si un contratotracmaliciosamente, puede retirar cualquier cantidad de tokens de la billetera.

Por lo tanto, la mejor práctica para lograr la máxima seguridad es siempre verificar el monto de aprobación y aprobar solo el monto necesario para la operación deltrac.

P: ¿Los piratas informáticos se están volviendo más inteligentes o los usuarios de criptomonedas se están volviendo menos cautelosos con sus procedimientos de ciberseguridad?

Ambas afirmaciones son ciertas. Los hackers han logrado avances significativos en la explotación de plataformas de préstamos rápidos junto con diferentes protocolos para crear y explotar vulnerabilidades. Por sí solas, estas otras plataformas son seguras la mayor parte del tiempo, pero los préstamos rápidos generan mayor complejidad estructural, lo que aumenta la frecuencia de las vulnerabilidades.

Estos ataques son muy complejos. Incluso su análisis requiere mucho tiempo. Además, muchos hackeos a proyectos que simplemente tienen código deficiente con errores simples que probablemente se eliminarían si se realizaran pruebas o se auditara el código adecuadamente.
Parte de la culpa también recae en los usuarios, ya que muchos conocen las prácticas seguras que minimizan los riesgos, como el almacenamiento en frío, por ejemplo. Pero a menudo las ignoran, perdiendo la cabeza ante una oportunidad que podría generarles un retorno de la inversión (ROI) multiplicado por mil. A veces, simplemente terminan perdiendo su dinero.

P: ¿Cómo pueden los usuarios proteger mejor sus activos en Metamask y dapps asociadas como OpenSea y DeFi?

La mejor protección no consiste en almacenar todos los activos en monederos activos, sino en transferirlos a monederos fríos: estos últimos no tienen acceso a internet. Es recomendable almacenar solo una pequeña cantidad de los activos necesarios para las operaciones en monederos activos y mantener el resto en almacenamiento en frío.
Además, los usuarios deben seguir las normas de seguridad estándar: usar antivirus, evitar abrir enlaces sospechosos en correos electrónicos y usar la autenticación de dos factores siempre que sea posible.

P: ¿Cree que los hackeos y exploits se volverán más comunes a medida que la industria crezca?

A medida que la industria crece y se lanzan más proyectos, más se enfrentan al riesgo de ser hackeados. No es posible eliminar todos los errores en todos los proyectos, pero las empresas de seguridad blockchain trabajan constantemente para minimizarlos. Esto no solo incluye auditorías del código fuente de los proyectos, sino también el desarrollo de herramientas analíticas que ayuden a prevenir la aparición de errores o, al menos, a detectarlos en las primeras etapas del desarrollo.

P: ¿Qué papel juega HashEx en la expansión de la industria de las criptomonedas?

Informamos a la gente sobre la transparencia y seguridad del uso de aplicaciones descentralizadas. La lógica de su funcionamiento es demasiado compleja y confusa para que la comprenda un usuario promedio. Además, ninguna persona sensata confiaría su dinero a algo que no comprende, como Pinocho en el campo de los milagros. Explicamos conceptos complejos con claridad y señalamos los riesgos que la gente debe conocer y evitar. Asimismo, ayudamos a los posibles inversores a tomar decisiones informadas sobre sus fondos.

Pero principalmente somos una firma de auditoría centrada en DeFi y criptomonedas. Esto significa que realizamos numerosas auditorías detracinteligentes y, por lo tanto, ayudamos a los proyectos de criptomonedas a ganarse la confianza de los inversores, quienes confían más en los proyectos que están bien protegidos contra errores costosos que podrían afectarles financieramente.

P: ¿Qué opina tanto el G7 como eldent de Estados Unidos, Joe Biden, sobre sus medidas para acabar con el ransomware, la ciberseguridad y los frecuentes ataques a las criptomonedas?

La mejora constante de los estándares de seguridad forma parte de nuestra rutina y de nuestra ideología corporativa. Buscamos generar confianza en el espacio DeFi , donde la confianza es limitada. Y este tema es crucial en cualquier ámbito de TI, no solo en DeFi. Con la rápida aparición de nuevos productos de software, lamentablemente no se está prestando la suficiente atención al aspecto de la ciberseguridad, lo que crea oportunidades para que los hackers las exploten. Hay dos razones principales para esto: la programación de clics y una mano de obra de baja calidad a la que se le ofrecen salarios innecesariamente altos.

Esta es una desventaja del rápido crecimiento de las empresas de TI. En este entorno de competencia desleal, las empresas intentan adelantarse unas a otras, ofreciendo nuevos productos y, a menudo, ignorando los problemas de seguridad a pesar de su importancia. Como resultado, a veces tenemos sistemas grandes, utilizados por un gran número de clientes, que aún presentan errores que pueden provocar la pérdida de fondos de los usuarios. En ocasiones, las consecuencias de estos errores pueden incluso ser de alcance continental.

Desde esta perspectiva, la interferencia gubernamental está plenamente justificada. Si no fuera por la intervención de los gobiernos estatales en estos asuntos, ¿quién más tomaría medidas drásticas contra los empresarios codiciosos y los convencería de dedicar esfuerzos a las medidas de seguridad y al desarrollo de software sensato?

Si la gente empieza a denunciar los ataques informáticos a las agencias gubernamentales, esto tendrá un efecto positivo. La información oportuna puede ayudar a minimizar las consecuencias de una posible avería al permitir la activación de los canales de reserva (la situación con el suministro de petróleo a la costa este de EE. UU. puede considerarse un buen ejemplo de esta práctica).

Los estándares de seguridad unificados en toda la industria también serían beneficiosos si fueran desarrollados por expertos, en lugar de externos. Incluso en las primeras etapas del desarrollo de DApps, estamos viendo la implementación de estos estándares por parte de los principales auditores. La integración de estos protocolos beneficiará a todos: facilitará la programación, hará que los códigos sean más seguros y también protegerá los fondos de los usuarios.

P: Estos hackeos, ¿cuéntanos sobre su impacto en la industria de las criptomonedas?

La retroalimentación sobre la industria de las criptomonedas es un intento de controlar los fondos robados. Creo que es positivo. Actualmente, no se pueden obtener todas las ventajas del mundo real a través de las criptomonedas. Esta situación cambia día a día, pero dista mucho de ser perfecta. Por lo tanto, los hackers aún necesitan un puente entre las criptomonedas y los fondos fiduciarios para retirar los fondos obtenidos ilegalmente.

Esta es la etapa en la que se puededenta los delincuentes. Cuantos más se encuentren, menos estarán dispuestos a volver a intentarlo. Recordemos cómo en las culturas orientales se amputaban partes del cuerpo para robar. Estas intervenciones de las fuerzas del orden están teniendo un impacto totalmente positivo en la industria de las criptomonedas y su reputación. Estas acciones hacen que las personas se sientan más seguras.

P: Los malos actores o jugadores detrás de muchos de estos ataques a criptomonedas, ¿qué sanciones recomendaría para disuadir a otros?

Como ya he dicho, estoy totalmente a favor de sancionar a estas personas. Consideraría estas operaciones como fraude financiero de diversa gravedad y les aplicaría las medidas legales correspondientes. No intentaría elaborar nuevas leyes en este momento.

P: Un mundo criptográfico sin hackeos es casi imposible de lograr, ¿cómo pueden los interesados ​​en el cripto, los formuladores de políticas y todos los demás reducir los ataques al mínimo?

Ningún ámbito de TI es concebible sin ciberamenazas. Pero cuando hablamos de empresas comunes, solo vemos la punta del iceberg, no el panorama completo. Se producen muchos más ataques informáticos que saltan a la vista, ya que las empresas podrían socavar su reputación si se divulga dicho conocimiento. Con las criptomonedas, todo es transparente y de conocimiento público, por lo que los medios de comunicación escriben sobre estos temas con mayor frecuencia.

La ciberseguridad es una práctica multidimensional que incluye marcos regulatorios en los puntos de entrada y salida de criptomonedas a fiat, la educación de los usuarios, la revisión del código por parte de los equipos de ciberseguridad, etc. Esta industria aún es joven, lo que brinda una excelente oportunidad para encaminarla hacia las vías de desarrollo adecuadas. De esta manera, podemos implementar prácticas más seguras desde el principio, en lugar de intentar solucionar problemas en el futuro.