A medida que la adopción de cripto crece y la construcción de proyectos en Web 3.0 se vuelve más generalizada, la seguridad en blockchain se ha convertido en un pilar central para usuarios y desarrolladores.
En una conversación con BeInCrypto, el CEO de Hacken, Dyma Budorin, destacó la necesidad de soluciones de cumplimiento integrales para 2025.
Una necesidad de medidas de seguridad más altas
A medida que se acerca 2025, los expertos están evaluando la frecuencia de las violaciones de datos que han sufrido las blockchains y su impacto negativo en la experiencia del usuario. Este año, las violaciones de seguridad en cripto se intensificaron, con pérdidas que superaron los 2,9 mil millones de dólares en varios sectores, según un reciente informe de seguridad Web 3.0 desarrollado por Hacken, una empresa de ciberseguridad.
Las vulnerabilidades de control de acceso surgieron como el vector de amenaza dominante, contribuyendo al 75% de todos los hacks. Esta tendencia, observada en plataformas DeFi, CeFi y de juegos/metaverso, destacó la ocurrencia generalizada de debilidades de seguridad relacionadas con la seguridad operativa y la gestión de acceso.
Las estafas de phishing también causaron daños significativos, resultando en pérdidas que superaron los 600 millones de dólares:
”Es evidente que la industria ya no puede pasar por alto la seguridad operativa. Las auditorías integrales, los protocolos estrictos de control de acceso y los sistemas robustos de gestión de claves deben convertirse en prácticas estándar”, dijo Budorin en una entrevista con BeInCrypto.
Las pérdidas significativas experimentadas en 2024 subrayan la necesidad crítica de que la industria cripto priorice medidas de seguridad integrales y auditorías exhaustivas para reducir futuras violaciones y proteger los activos de los usuarios.
Un mal año para los controles de acceso
Budorin señaló los problemas de control de acceso como el desafío más crítico que enfrenta la seguridad en blockchain hoy en día, especialmente la pérdida de claves privadas en los equipos de proyectos, afectando a CEOs y desarrolladores. Según el informe de Hacken, en 2024, las explotaciones de control de acceso, principalmente vinculadas a compromisos de claves privadas, resultaron en pérdidas que superaron los 1,7 mil millones de dólares.
Esto es un aumento sustancial respecto a los 1 mil millones de dólares reportados el año anterior: “Notablemente, incidentes importantes como Radiant Capital y Orbit Bridge subrayan las consecuencias de una gestión de claves débil y la ausencia de soluciones multisig o auditorías regulares”, agregó Budorin.
En octubre, un hack importante dirigido a Radiant Capital resultó en pérdidas de 55 millones de dólares y afectó a más de 10,000 usuarios. La violación involucró a hackers explotando vulnerabilidades para obtener el control de tres de las claves privadas de Radiant, permitiéndoles drenar fondos de la plataforma.
Un auge de los hacks
Los hackers explotaron vulnerabilidades inyectando malware en dispositivos de desarrolladores, permitiéndoles interceptar y manipular aprobaciones de transacciones legítimas a pesar de usar monederos de hardware. Orbit Bridge, un servicio de puente entre cadenas, sufrió un hack más significativo en la víspera de Año Nuevo del año pasado, resultando en una pérdida de aproximadamente 82 millones de dólares.
Según Hacken, el incidente marcó el mayor hack de DeFi de 2023. A pesar de usar tecnología multisig, que típicamente requiere que múltiples partes autoricen transacciones, el atacante comprometió a siete de los diez firmantes, destacando una vulnerabilidad crítica en el sistema.
Los fondos robados fueron principalmente stablecoins, incluyendo 30 millones de dólares USDT, 10 millones de dólares USDC y 10 millones de dólares DAI. Además, se comprometieron 231 WBTC (10 millones de dólares) y 9,500 ETH (21,5 millones de dólares). Los hackers transfirieron los fondos robados a través de una dirección intermediaria antes de lavarlos a través de un mezclador de criptomonedas.
Priorizando estándares más altos de ciberseguridad
En 2025, el cumplimiento obligatorio debería convertirse en una realidad para todos los proyectos que se desarrollen en una blockchain, dijo Budorin:
“El cumplimiento obligatorio en 2025 marcará un punto de inflexión para la industria cripto, impulsando la tan necesaria transparencia, responsabilidad y resiliencia operativa. Regulaciones como MiCA (Markets in Crypto-Assets), DORA (Digital Operational Resilience Act) y el paquete AML requerirán que los proveedores de servicios cripto centralizados, custodios y otros actores implementen estándares de ciberseguridad más altos, mecanismos de reporte robustos y procedimientos operativos estrictos”, dijo Budorin a BeInCrypto.
Más allá de estas regulaciones jurisdiccionales, Budorin insta a todos los proyectos de blockchain a abordar los problemas de ciberseguridad cumpliendo con el Estándar de Seguridad de Criptomonedas (CCSS). El CCSS proporciona un marco integral para mejorar la seguridad de los sistemas de criptomonedas. El diseño del CCSS enfatiza prácticas exhaustivas de gestión de claves.
Entre sus mecanismos de cumplimiento, los controles del CCSS requieren una generación segura de claves utilizando generadores de bits aleatorios estandarizados para minimizar el riesgo de compromiso de claves. El almacenamiento cifrado y los mecanismos de acceso controlado se aplican para prevenir el uso no autorizado de claves.
En contraste, la implementación adecuada de configuraciones multisig y la gestión distribuida de claves mitigan el riesgo de explotación por parte de cualquier entidad única. Estos estándares recomiendan implementar medidas de seguridad en múltiples capas, realizar auditorías de seguridad regulares y establecer pautas estrictas de control de acceso.
Al adherirse a CCSS, las organizaciones pueden mejorar significativamente la protección de las claves privadas. Esto reduciría la frecuencia y gravedad de las brechas de seguridad relacionadas con vulnerabilidades de control de acceso. Budorin cree que tales pérdidas podrían haberse evitado si Radiant Capital y Orbit Bridge hubieran cumplido con las directrices de CCSS.
EAU se posiciona como líder en seguridad blockchain
Algunas naciones han adoptado protocolos extensos para asegurar que los actores de Web 3.0 se adhieran a prácticas de seguridad operativa: “Los EAU, y específicamente Abu Dhabi Global Market (ADGM), están emergiendo como líderes globales en seguridad e innovación de blockchain debido a su marco regulatorio visionario, su visión estratégica y su capacidad para fomentar un ecosistema tecnológico próspero,” dijo Budorin.
El ADGM es una zona libre financiera en la Isla Al Maryah en Abu Dhabi. Establecido en 2013 por Decreto Federal, ADGM es el centro financiero de la ciudad, con su marco legal y regulatorio independiente:
“ADGM se ha establecido como un pionero regulatorio, equilibrando la innovación con el cumplimiento. Al crear directrices claras y progresivas para blockchain y activos digitales, ADGM atrae a empresas que buscan un entorno seguro y conforme para crecer,” explicó Budorin.
En abril, ADGM y Hacken firmaron un Memorando de Entendimiento (MoU) para colaborar en el mejoramiento de la seguridad de blockchain. La alianza tiene como objetivo desarrollar estándares de seguridad efectivos. Asimismo, soluciones de monitoreo on-chain dentro del marco de Fundaciones de Tecnología de Libro Mayor Distribuido (DLT) de ADGM:
“Juntos, estamos trabajando para establecer estándares globales para la seguridad de Web3 proporcionando auditorías de seguridad de vanguardia, pruebas de penetración y soluciones de cumplimiento a proyectos de blockchain en los EAU y más allá,” dijo Budorin.
Budorin espera ver más esfuerzos colaborativos en el futuro que prioricen la seguridad y fomenten un ecosistema Web3 sostenible.