BTC

$63514.95

0.97%

ETH

$3098.81

-0.26%

BNB

$583.868

-0.15%

XRP

$0.528

-0.24%

Mercado

Necesidad radical de actualizar los protocolos de seguridad blockchain

27 de junio de 2021 - Alrededor 7 minutos minutos para leer

Las finanzas descentralizadas (DeFi) están aquí para vivir con un valor total bloqueado (TVL) de más de 100 mil millones de dólares, lo que subraya el voto de confianza en estos nuevos instrumentos financieros. Esa inversión seguirá creciendo, pero parece que por cada nuevo récord en TVL, se informa de otro ciberataque con daños horribles.

Las criptomonedas disminuyeron un 57 % en 2020, pero los ataques DeFi han aumentado drásticamente, costando a empresas e inversores miles de millones en pérdidas. Solo en marzo, hubo múltiples ataques en solo 5 días, y Paid Network perdió 180 millones de dólares. A finales de mayo, PancakeBunny perdió más de 200 millones de dólares en un exploit de crédito rápido.

Está claro que existen demasiadas lagunas y lagunas en los protocolos de seguridad actuales de blockchain. Desde robos de alfombras hasta estafas fraudulentas, la seguridad y la tecnología de este espacio no son tan perfectas como sugieren los números. Sin embargo, existen prácticas importantes que tanto los desarrolladores como los usuarios pueden adoptar para llenar este vacío.

La tecnología descentralizada todavía está centralizada

No importa cuán descentralizadamente se declare un protocolo, la estructura básica sigue estando centralizada. Eche un vistazo a una de nuestras funciones de Internet más importantes: los registros DNS. Cada nombre de dominio sigue siendo de propiedad central: propiedad del gobierno, estado o empresa que tiene la máxima autoridad sobre el dominio y puede desactivarlo si lo desea.

Un ejemplo de centralización en la descentralización son los contratos inteligentes. Los redactores de contratos inteligentes en Ethereum o Binance tienen la última palabra sobre lo que hay en el código, y hay formas de codificar esquemas nefastos, como tirar de alfombras, en contratos inteligentes.

Durante el auge de la productividad agrícola en el verano de 2020, vimos surgir muchos registros para aprovechar el dinero que fluye hacia DeFi, y esto continúa este año. En marzo, TurtleDex realizó un tirón de alfombra, que en realidad es una puerta trasera en un contrato inteligente, lo que resultó en el robo de 2.5 millones de dólares a los inversores. Esta supuesta característica permite a los desarrolladores programar trucos que luego se ejecutan en respuesta a otros eventos en el código, y TurtleDex es uno de varios proyectos de este año que rompieron la alfombra mediante programación.

Conectado: Las ganancias están en boca de todos, pero DeFi promete cambiar la forma en que manejamos el dinero

La auditoría de contratos inteligentes es una excelente manera de evitar las alfombras, pero incluso entonces vemos casos en los que los desarrolladores están entregando un contrato inteligente probado a uno no probado. El caso Compounder muestra un proyecto de fraude que captura fácilmente la reputación de nombres conocidos y de buena reputación en la sala. Pudieron aprovechar Harvest Finance y Yearn.finance rápidamente antes de tirar la alfombra sobre sus usuarios y irse con millones de dólares en criptomonedas.

Conectado: La auditoría estándar para proyectos DeFi es imprescindible para el desarrollo de la industria

Tendencias actuales de piratería

Aparte de tirar la alfombra, hay muchos ataques comunes que pueden derribar a una empresa entera si no se prepara. Un ataque del 51%, es decir, cuando un grupo de mineros controla más del 50% de la tasa de hash de minería de la red y les permite bloquear o manipular registros de transacciones para duplicar el gasto o romper el bloque de la cadena, todavía se produce con frecuencia. Firo y Grin sufrieron un 51% de ataques últimamente.

Incluso algunos proyectos criptográficos de alta capitalización no son seguros. En febrero, se informó que se eliminaron 200 días de operaciones de XVG en la red Verge en lo que es literalmente "el evento más profundo jamás ocurrido en las 100 principales criptomonedas".

Aceptamos estos errores como parte de la experiencia blockchain, pero ¿cuál sería la reacción si le ocurriera lo mismo a un gran banco, por ejemplo? Es probable que haya muchos titulares en los medios y un revuelo entre usuarios y clientes. Estos eventos pasan en gran medida desapercibidos en las criptomonedas, ya que hay menos usuarios, pero con el reciente mercado alcista esto está cambiando. Inevitablemente, la seguridad de las cadenas de bloques públicas está siendo examinada de manera más estricta.

Métodos de prevención de hackeos como tirar de la alfombra kéo

Desafortunadamente, la piratería siempre es una opción para los desarrolladores cuando trabajan en el espacio criptográfico. La cuestión no es cómo prevenir el hackeo, sino cómo evitar que uno mismo sea hackeado. Varios avances en billeteras de hardware, como la billetera de firmas múltiples de Gnosis Safe, son factores clave para mejorar la seguridad general.

El uso de una billetera multifirma permite que varios usuarios tengan claves para la misma billetera y requiere la participación de ambos para realizar acciones en la cuenta. Dado que una billetera como esta requiere la participación de múltiples usuarios para realizar una transacción, es prácticamente imposible usar este tipo de caja fuerte.

Otro método de seguridad para evitar que se tiren las alfombras son los bloqueos de tiempo. Muchas aplicaciones descentralizadas utilizan tiempos de espera, por lo que si un desarrollador intenta contactar a sus usuarios, recibirá una alerta en aproximadamente 12 a 24 horas para eliminar las monedas.

Este tipo de prácticas de seguridad fomentarán una confianza más amplia en DeFi y crearán una cultura de seguridad que hará avanzar nuestra industria.

Seguridad mejorada de la billetera criptográfica

La seguridad de la billetera depende en última instancia de los desarrolladores y usuarios que utilizan métodos más inteligentes. Las revisiones periódicas de seguridad y las prácticas de seguridad interna pueden ayudar a que las billeteras sean más seguras.

Si bien las revisiones de seguridad son una buena solución, Uniswap y otros intercambios descentralizados (DEX) basados ​​en creadores de mercado automatizados no están permitidos, por lo que no se pueden realizar revisiones periódicas. La mejor práctica es comprender los detalles de las monedas de "lanzamiento justo": proyectos lanzados desde un DEX. Si bien muchos de estos proyectos son de alta calidad, muchos son conocidos por tener un gran desempeño. El código fuente abierto facilita que cualquiera pueda probar y verificar que un contrato inteligente es seguro para ellos y brinda a los usuarios más herramientas para practicar una buena seguridad.

Pedir a los usuarios que implementen una buena seguridad puede parecer una gran hazaña, pero es necesario para acceder a los numerosos beneficios de las criptomonedas y DeFi en particular. En los bancos tradicionales, el banco es responsable de la seguridad, pero en el caso de las criptomonedas, la seguridad depende de las prácticas de los desarrolladores y usuarios.

Si olvidas tu contraseña bancaria o envías dinero a la persona equivocada, puedes comunicarte con tu banco para mitigar la transacción hasta que se resuelva. Pero en criptografía no existe una opción de respaldo si pierde su clave o envía dinero a la dirección incorrecta. Una de las ventajas, por supuesto, es que no tienes que preocuparte de que tus fondos estén disponibles en criptomonedas mientras los bancos pueden cerrar e imponer controles de capital, como ocurrió durante la crisis bancaria griega de 2015.

Conclusión

Como desarrolladores, debemos realizar pruebas de seguridad y validaciones cruzadas y responsabilizarnos mutuamente por desarrollar prácticas de seguridad mejoradas.

Los usuarios deberían considerar implementar sus propios protocolos de seguridad y comprender los matices del almacenamiento y los posibles escenarios de ataque. Una buena práctica para los poseedores pasivos de criptomonedas es desconectar las billeteras de hardware de Internet o las billeteras de papel que estén 100% fuera de línea y no requieran sincronización en línea para las actualizaciones de firmware.

Los ataques de phishing, una de las primeras formas de ataque en Internet, todavía están muy extendidos y son comunes. Una forma de combatir los intentos de phishing es verificar la autenticidad del remitente.

No ingrese sus claves privadas o frases iniciales en ningún sitio web ni las envíe a nadie en canales públicos o mensajes directos. En general, solo debes ingresar tu frase inicial la primera vez que configuras la billetera. Además, solo debe ingresar su frase inicial si necesita restaurar su billetera después de olvidar su contraseña, importar una billetera existente a un nuevo dispositivo o usar un software de billetera compatible. En general, debe utilizar dispositivos de billetera de hardware que nunca den su semilla a ningún tipo de software; ni siquiera una aplicación o software de billetera confiable puede ser pirateado.

A medida que continuamos construyendo nuestra nueva economía DeFi (principalmente) global, será importante mejorar la seguridad para que la aceptación general y el capital puedan continuar llegando al espacio para que la próxima generación pueda alcanzar nuevas fronteras de independencia financiera.

Kadan Stadelmann es un desarrollador de blockchain, especialista en seguridad operativa y director de tecnología de la plataforma Komodo. Su experiencia abarca desde trabajar en seguridad en el sector gubernamental y fundar nuevas empresas tecnológicas hasta desarrollar aplicaciones y criptografía. Kadan comenzó su viaje hacia la tecnología blockchain en 2011 y se unió al equipo de Komodo en 2016.

.

.

Mercado

Necesidad radical de actualizar los protocolos de seguridad blockchain

Las finanzas descentralizadas (DeFi) están aquí para vivir con un valor total bloqueado (TVL) de más de 100 mil millones de dólares, lo que subraya el voto de confianza en estos nuevos instrumentos financieros. Esa inversión seguirá creciendo, pero parece que por cada nuevo récord en TVL, se informa de otro ciberataque con daños horribles.

Las criptomonedas disminuyeron un 57 % en 2020, pero los ataques DeFi han aumentado drásticamente, costando a empresas e inversores miles de millones en pérdidas. Solo en marzo, hubo múltiples ataques en solo 5 días, y Paid Network perdió 180 millones de dólares. A finales de mayo, PancakeBunny perdió más de 200 millones de dólares en un exploit de crédito rápido.

Está claro que existen demasiadas lagunas y lagunas en los protocolos de seguridad actuales de blockchain. Desde robos de alfombras hasta estafas fraudulentas, la seguridad y la tecnología de este espacio no son tan perfectas como sugieren los números. Sin embargo, existen prácticas importantes que tanto los desarrolladores como los usuarios pueden adoptar para llenar este vacío.

La tecnología descentralizada todavía está centralizada

No importa cuán descentralizadamente se declare un protocolo, la estructura básica sigue estando centralizada. Eche un vistazo a una de nuestras funciones de Internet más importantes: los registros DNS. Cada nombre de dominio sigue siendo de propiedad central: propiedad del gobierno, estado o empresa que tiene la máxima autoridad sobre el dominio y puede desactivarlo si lo desea.

Un ejemplo de centralización en la descentralización son los contratos inteligentes. Los redactores de contratos inteligentes en Ethereum o Binance tienen la última palabra sobre lo que hay en el código, y hay formas de codificar esquemas nefastos, como tirar de alfombras, en contratos inteligentes.

Durante el auge de la productividad agrícola en el verano de 2020, vimos surgir muchos registros para aprovechar el dinero que fluye hacia DeFi, y esto continúa este año. En marzo, TurtleDex realizó un tirón de alfombra, que en realidad es una puerta trasera en un contrato inteligente, lo que resultó en el robo de 2.5 millones de dólares a los inversores. Esta supuesta característica permite a los desarrolladores programar trucos que luego se ejecutan en respuesta a otros eventos en el código, y TurtleDex es uno de varios proyectos de este año que rompieron la alfombra mediante programación.

Conectado: Las ganancias están en boca de todos, pero DeFi promete cambiar la forma en que manejamos el dinero

La auditoría de contratos inteligentes es una excelente manera de evitar las alfombras, pero incluso entonces vemos casos en los que los desarrolladores están entregando un contrato inteligente probado a uno no probado. El caso Compounder muestra un proyecto de fraude que captura fácilmente la reputación de nombres conocidos y de buena reputación en la sala. Pudieron aprovechar Harvest Finance y Yearn.finance rápidamente antes de tirar la alfombra sobre sus usuarios y irse con millones de dólares en criptomonedas.

Conectado: La auditoría estándar para proyectos DeFi es imprescindible para el desarrollo de la industria

Tendencias actuales de piratería

Aparte de tirar la alfombra, hay muchos ataques comunes que pueden derribar a una empresa entera si no se prepara. Un ataque del 51%, es decir, cuando un grupo de mineros controla más del 50% de la tasa de hash de minería de la red y les permite bloquear o manipular registros de transacciones para duplicar el gasto o romper el bloque de la cadena, todavía se produce con frecuencia. Firo y Grin sufrieron un 51% de ataques últimamente.

Incluso algunos proyectos criptográficos de alta capitalización no son seguros. En febrero, se informó que se eliminaron 200 días de operaciones de XVG en la red Verge en lo que es literalmente "el evento más profundo jamás ocurrido en las 100 principales criptomonedas".

Aceptamos estos errores como parte de la experiencia blockchain, pero ¿cuál sería la reacción si le ocurriera lo mismo a un gran banco, por ejemplo? Es probable que haya muchos titulares en los medios y un revuelo entre usuarios y clientes. Estos eventos pasan en gran medida desapercibidos en las criptomonedas, ya que hay menos usuarios, pero con el reciente mercado alcista esto está cambiando. Inevitablemente, la seguridad de las cadenas de bloques públicas está siendo examinada de manera más estricta.

Métodos de prevención de hackeos como tirar de la alfombra kéo

Desafortunadamente, la piratería siempre es una opción para los desarrolladores cuando trabajan en el espacio criptográfico. La cuestión no es cómo prevenir el hackeo, sino cómo evitar que uno mismo sea hackeado. Varios avances en billeteras de hardware, como la billetera de firmas múltiples de Gnosis Safe, son factores clave para mejorar la seguridad general.

El uso de una billetera multifirma permite que varios usuarios tengan claves para la misma billetera y requiere la participación de ambos para realizar acciones en la cuenta. Dado que una billetera como esta requiere la participación de múltiples usuarios para realizar una transacción, es prácticamente imposible usar este tipo de caja fuerte.

Otro método de seguridad para evitar que se tiren las alfombras son los bloqueos de tiempo. Muchas aplicaciones descentralizadas utilizan tiempos de espera, por lo que si un desarrollador intenta contactar a sus usuarios, recibirá una alerta en aproximadamente 12 a 24 horas para eliminar las monedas.

Este tipo de prácticas de seguridad fomentarán una confianza más amplia en DeFi y crearán una cultura de seguridad que hará avanzar nuestra industria.

Seguridad mejorada de la billetera criptográfica

La seguridad de la billetera depende en última instancia de los desarrolladores y usuarios que utilizan métodos más inteligentes. Las revisiones periódicas de seguridad y las prácticas de seguridad interna pueden ayudar a que las billeteras sean más seguras.

Si bien las revisiones de seguridad son una buena solución, Uniswap y otros intercambios descentralizados (DEX) basados ​​en creadores de mercado automatizados no están permitidos, por lo que no se pueden realizar revisiones periódicas. La mejor práctica es comprender los detalles de las monedas de "lanzamiento justo": proyectos lanzados desde un DEX. Si bien muchos de estos proyectos son de alta calidad, muchos son conocidos por tener un gran desempeño. El código fuente abierto facilita que cualquiera pueda probar y verificar que un contrato inteligente es seguro para ellos y brinda a los usuarios más herramientas para practicar una buena seguridad.

Pedir a los usuarios que implementen una buena seguridad puede parecer una gran hazaña, pero es necesario para acceder a los numerosos beneficios de las criptomonedas y DeFi en particular. En los bancos tradicionales, el banco es responsable de la seguridad, pero en el caso de las criptomonedas, la seguridad depende de las prácticas de los desarrolladores y usuarios.

Si olvidas tu contraseña bancaria o envías dinero a la persona equivocada, puedes comunicarte con tu banco para mitigar la transacción hasta que se resuelva. Pero en criptografía no existe una opción de respaldo si pierde su clave o envía dinero a la dirección incorrecta. Una de las ventajas, por supuesto, es que no tienes que preocuparte de que tus fondos estén disponibles en criptomonedas mientras los bancos pueden cerrar e imponer controles de capital, como ocurrió durante la crisis bancaria griega de 2015.

Conclusión

Como desarrolladores, debemos realizar pruebas de seguridad y validaciones cruzadas y responsabilizarnos mutuamente por desarrollar prácticas de seguridad mejoradas.

Los usuarios deberían considerar implementar sus propios protocolos de seguridad y comprender los matices del almacenamiento y los posibles escenarios de ataque. Una buena práctica para los poseedores pasivos de criptomonedas es desconectar las billeteras de hardware de Internet o las billeteras de papel que estén 100% fuera de línea y no requieran sincronización en línea para las actualizaciones de firmware.

Los ataques de phishing, una de las primeras formas de ataque en Internet, todavía están muy extendidos y son comunes. Una forma de combatir los intentos de phishing es verificar la autenticidad del remitente.

No ingrese sus claves privadas o frases iniciales en ningún sitio web ni las envíe a nadie en canales públicos o mensajes directos. En general, solo debes ingresar tu frase inicial la primera vez que configuras la billetera. Además, solo debe ingresar su frase inicial si necesita restaurar su billetera después de olvidar su contraseña, importar una billetera existente a un nuevo dispositivo o usar un software de billetera compatible. En general, debe utilizar dispositivos de billetera de hardware que nunca den su semilla a ningún tipo de software; ni siquiera una aplicación o software de billetera confiable puede ser pirateado.

A medida que continuamos construyendo nuestra nueva economía DeFi (principalmente) global, será importante mejorar la seguridad para que la aceptación general y el capital puedan continuar llegando al espacio para que la próxima generación pueda alcanzar nuevas fronteras de independencia financiera.

Kadan Stadelmann es un desarrollador de blockchain, especialista en seguridad operativa y director de tecnología de la plataforma Komodo. Su experiencia abarca desde trabajar en seguridad en el sector gubernamental y fundar nuevas empresas tecnológicas hasta desarrollar aplicaciones y criptografía. Kadan comenzó su viaje hacia la tecnología blockchain en 2011 y se unió al equipo de Komodo en 2016.

.

.

Visitado 68 veces, 1 visita(s) hoy

Deje un comentario