Por qué los piratas informáticos continúan atacando los protocolos DeFi

TL; DR Desglose

• La avalancha de piratas informáticos que atacan los protocolos de cifrado y DeFi sigue aumentando.
• Más de $ 130 millones perdidos por ataques a la industria de la criptografía en 2021.
• Por qué los piratas informáticos continúan apuntando a la industria de las criptomonedas.

La avalancha de piratas informáticos que golpean el espacio DeFi y la industria de las criptomonedas, por extensión, ha seguido siendo una fuente de preocupación para la industria.

Según se informa, se han producido 169 incidentes de piratería de blockchain en 2021, con casi $ 7 mil millones en fondos perdidos por los piratas informáticos. Durante el mes pasado, se informaron no menos de cinco casos de piratería de cifrado con el protocolo DeFi Cream Finance, el último en ser afectado por estos piratas informáticos. Se dice que se han robado más de 130 millones de dólares.

En lugar de estos, Cryptopolitan habló con Dmitry Mishunin, CEO y fundador de HashEx, una empresa de I + D centrada en la integración de blockchain en los procesos comerciales y la seguridad cibernética. Dmitry tiene una sólida formación técnica en ciberseguridad y aplicaciones descentralizadas, así como una experiencia impresionante en el desarrollo de sistemas de seguridad de la información.

A continuación se muestran extractos de la entrevista.

P: ¿Le sorprende la cantidad de hacks y exploits a los que se enfrentan los usuarios últimamente?

Lamentablemente no. Vemos que cada vez más personas están escribiendo sus contratos inteligentes. Pero a menudo no tienen suficientes conocimientos de programación y una buena comprensión de Solidity, actualmente el único lenguaje de programación compatible con Ethereum. Tener una buena comprensión del lenguaje de programación es imprescindible para crear un protocolo DeFi confiable, y no conocer algunos de sus matices puede conducir fácilmente a exploits y robos de fondos.

P: ¿Cómo puede la aceptación o la firma de un contrato inteligente que contiene código malicioso provocar el robo de sus activos?

Todo usuario debe saber que las transacciones de blockchain son irreversibles: una vez que apruebe una cierta cantidad de un token ERC-20 a un contrato inteligente ERC-20, se le transferirá irreversiblemente. Un contrato puede tener código fuente verificado sin exploits, pero también puede tener alguna biblioteca no verificada como dependencia. Aprobar tokens para dicho contrato es un gran riesgo porque no puede verificar cómo funciona la biblioteca.
Ese fue el caso en el proyecto StableMarket, cuando se robaron al menos $ 27 millones en fondos de los usuarios. Los contratos del proyecto StableMarket tenían un código auditado pero se implementaron con una biblioteca no verificada. Esta biblioteca era maliciosa y robó los tokens de los usuarios almacenados en el protocolo.
Otro riesgo para los usuarios es aprobar tokens para un contrato inteligente actualizable: dicho contrato puede actualizarse automáticamente con código malicioso y robar los tokens aprobados.
A menudo, las aplicaciones frontend aprueban cantidades máximas de tokens para un contrato, no solo la cantidad de tokens que se utilizará. Se hace para pagar el gas en una sola transacción. Si un usuario deposita tokens en un contrato, deberá pagar adicionalmente por el gas. Pero si un contrato actúa maliciosamente, en ese caso puede retirar cualquier cantidad de tokens de la billetera.
Por lo tanto, la mejor práctica para la máxima seguridad es siempre verificar el monto de aprobación y aprobar solo el monto que se requiere para la operación del contrato.

P: ¿Los piratas informáticos se están volviendo más inteligentes o los usuarios de criptomonedas se están volviendo menos cautelosos con sus procedimientos de ciberseguridad?

Ambas afirmaciones son verdaderas. Los piratas informáticos han logrado importantes avances en la explotación de las plataformas de préstamos flash junto con diferentes protocolos para crear y explotar vulnerabilidades. Por sí solas, esas otras plataformas son seguras la mayor parte del tiempo, pero los préstamos flash crean una mayor complejidad estructural, lo que hace que las vulnerabilidades sean más frecuentes.
Estos ataques son muy complejos. Incluso su análisis lleva mucho tiempo. Y también hay muchos hacks de proyectos que simplemente tienen un código deficiente con errores simples que probablemente se eliminarían si se hicieran las pruebas o el código se auditara adecuadamente.
Parte de la culpa también es de los usuarios, porque muchos de ellos conocen las prácticas seguras que minimizan los riesgos, como el almacenamiento en frío, por ejemplo. Pero a menudo los ignoran, perdiendo la cabeza por una oportunidad que puede brindarles un retorno de la inversión múltiple. A veces, terminan simplemente perdiendo su dinero.

P: ¿Cómo pueden los usuarios proteger mejor sus activos en Metamask y dapps asociadas como OpenSea y DeFi?

La mejor protección no es almacenar todos los activos en hot wallets sino enviarlos a fríos: estos últimos no tienen acceso a Internet. Es mejor almacenar solo una pequeña cantidad de activos necesarios para las operaciones en carteras calientes y mantener el resto en almacenamiento en frío.
Además de eso, los usuarios deben seguir las reglas de seguridad estándar: utilizar antivirus, evitar abrir enlaces sospechosos en los correos electrónicos y utilizar la autenticación de dos factores cuando sea posible.

P: ¿Crees que los ataques y las vulnerabilidades de seguridad se volverán más comunes a medida que la industria crezca?

A medida que la industria crece y se lanzan más proyectos, más de ellos se enfrentarán al riesgo de ser pirateados. No puede eliminar todos los errores en todos los proyectos, pero las empresas de seguridad blockchain trabajan constantemente para minimizarlos. Eso no solo incluye auditorías del código fuente de los proyectos, sino también el desarrollo de herramientas analíticas que ayudarán a evitar que los errores aparezcan por completo o, al menos, a encontrarlos en las primeras etapas de desarrollo.

P: ¿Qué papel juega HashEx en la expansión de la industria de las criptomonedas?

Ilustramos a la gente sobre la transparencia y seguridad del uso de aplicaciones descentralizadas. La lógica de su trabajo es demasiado compleja y poco clara para que la comprenda un usuario medio. Además, ninguna persona sensata confiaría su dinero a algo que no comprenda, como Pinocho en el campo de los milagros. Explicamos nociones complejas en términos sencillos y sacamos a la luz los escollos que las personas deben conocer y tratar de evitar, y también ayudamos a los posibles inversores a tomar una decisión bien informada sobre sus fondos.
Pero principalmente somos una empresa de auditoría que se centra en DeFi y las criptomonedas. Eso significa que hacemos muchas auditorías de contratos inteligentes y, por lo tanto, ayudamos a que los proyectos de criptografía ganen la confianza de los inversores, ya que los inversores confían mejor en los proyectos que están bien protegidos de errores costosos que podrían afectar financieramente a sus inversores.

P: ¿Qué piensan tanto del G7 como del presidente de los EE. UU., Joe Biden, sobre sus movimientos para poner fin al ransomware, la seguridad cibernética y los frecuentes ataques de cifrado?

La mejora constante de los estándares de seguridad es parte de nuestra rutina e ideología corporativa. Buscamos llevar confianza al espacio DeFi sin confianza. Y este problema es crucial en cualquier dominio de TI, no solo en DeFi. Con la rápida aparición de nuevos productos de software, desafortunadamente no se está prestando suficiente atención al aspecto de la ciberseguridad, lo que crea oportunidades para que los piratas informáticos exploten. Hay dos razones principales para esto: 'programación con un clic del mouse' y una fuerza laboral de baja calidad a la que se ofrecen salarios innecesariamente altos.
Esta es una desventaja de las empresas de TI en rápido crecimiento. En este entorno de perros come perros, las empresas están tratando de adelantarse entre sí, ofreciendo nuevos productos y, a menudo, haciendo la vista gorda ante los problemas de seguridad a pesar de su importancia. Como resultado, a veces obtenemos grandes sistemas, que son utilizados por una gran cantidad de clientes, sin dejar de tener errores que pueden llevar a la pérdida de fondos de los usuarios. A veces, las consecuencias de estos errores pueden incluso afectar a todo el continente.
Desde este punto de vista, la injerencia gubernamental está completamente justificada. Si no fuera porque los gobiernos estatales se involucraron en estos temas, ¿quién más tomaría medidas drásticas contra los empresarios codiciosos y los convencería de que dediquen esfuerzos a las medidas de seguridad y al desarrollo de software de manera sensata?
Si la gente comienza a denunciar los ataques a las agencias gubernamentales, tendrá un efecto positivo. La información oportuna puede ayudar a minimizar las consecuencias de una posible avería al permitir la participación de canales de reserva (la situación con el suministro de petróleo a la costa este de EE. UU. Puede verse como un buen ejemplo de esta práctica).
Los estándares de seguridad unificados en toda la industria también serían buenos, si son desarrollados por expertos, en lugar de externos. Incluso en la etapa inicial actual del desarrollo de DApp, estamos viendo que tales estándares están siendo implementados por los auditores líderes. La integración de dichos protocolos ayudará a todos: facilitará la programación, hará que los códigos sean más seguros y también protegerá los fondos de los usuarios.

P: Estos trucos hablan sobre su impacto en la industria de las criptomonedas.

La retroalimentación para la industria de la criptografía es un intento de controlar los fondos robados. Pienso que es algo bueno. Actualmente, no puede obtener todas las comodidades del mundo real a través de la criptomoneda. Esta situación cambia día a día, pero está lejos de ser perfecta. Por lo tanto, los piratas informáticos aún requieren un puente entre los fondos criptográficos y fiduciarios para retirar fondos adquiridos ilegalmente. Esta es la etapa en la que se puede identificar a los delincuentes. Cuantos más se encuentren, menos estarán dispuestos a intentar hacerlo de nuevo. Uno puede recordar cómo solían cortar partes del cuerpo para robarlas en las culturas orientales. Tales intervenciones de los organismos encargados de hacer cumplir la ley están teniendo una influencia totalmente positiva en la industria de la criptografía y su reputación. Estas acciones hacen que las personas se sientan más seguras.

P: Malos actores / jugadores detrás de muchos de estos hacks de criptografía, ¿qué sanciones recomendaría para disuadir a otros?

Como he dicho antes, estoy totalmente a favor de penalizar a esas personas. Consideraría estas operaciones como un fraude financiero de diversa gravedad y les aplicaría las acciones legales correspondientes. No estaría tratando de elaborar nuevas leyes en este momento.

P: Un mundo criptográfico sin hackeos es casi imposible de lograr, ¿cómo pueden las partes interesadas criptográficas, los responsables políticos y todos los demás reducir los ataques al mínimo?

Ningún dominio de TI es concebible sin ciberamenazas. Pero cuando hablamos de negocios ordinarios, solo vemos la punta del iceberg, no la imagen completa. Se están produciendo muchos más hackeos que se ven a simple vista porque las empresas podrían socavar su reputación si dicho conocimiento se hace público. Con las criptomonedas, todo es transparente y de conocimiento público, por lo que los medios de comunicación escriben sobre estas cosas con más frecuencia.
La ciberseguridad es una práctica multidimensional, que incluye marcos regulatorios en los puntos de entrada y salida de cripto a fiduciario, educación del usuario, equipos de ciberseguridad que verifican el código, etc. Esta industria aún es joven, lo que brinda una excelente oportunidad para dirigirla por los vectores correctos. de desarrollo. De esta manera, podemos hacer uso de prácticas más seguras desde el principio, en lugar de intentar reparar los agujeros en algún lugar del camino.