El invierno criptográfico de 2023 ha sido un desafío para muchos, entre ellos los ladrones que atacan las billeteras, plataformas y protocolos de tokens criptográficos. En lo que va de año, solo han logrado robar mil millones de dólares en criptoactivos, una fuerte caída con respecto al récord de 3.800 millones de dólares de 2022.
Desafortunadamente, la caída parece tener más que ver con una reducción del funds disponible que con defensas más fuertes. Y aunque la escala de los ataques ha disminuido, su frecuencia ha aumentado considerablemente: de 60 ataques en 2022 a 75 a finales de octubre. Y el año no ha terminado.
Para que las finanzas descentralizadas alguna vez sean ampliamente aceptadas por los inversores minoristas e institucionales, entonces es necesario lograr su objetivo de democratizar las finanzas globales.
Debemos trabajar mejor colectivamente para cerrar las lagunas que los actores maliciosos siempre buscan escapar.
¿La llave para cerrar la puerta a los malos actores? Necesitamos mejorar enormemente la auditoría de seguridad, que, en la actualidad, es, en el mejor de los casos, inconsistente y, en el peor, un ejercicio de aprobación.
Específicamente, nuestra industria en su conjunto necesita adoptar una metodología de auditoría consistente para la tecnología descentralizada que sea rigurosa, estandarizada y repetible, tan sólida como la que protege las finanzas tradicionales.
Una norma de auditoría de este tipo, junto con un compromiso público de las empresas auditoras con el principio de divulgación responsable (la voluntad de denunciar proyectos que se niegan a escuchar o actuar según las recomendaciones) alentará a los propios proyectos a elevar sus estándares de seguridad.
La negativa de Atomic Wallet a prestar atención a una divulgación pública de febrero de 2022 de graves vulnerabilidades de seguridad por parte del auditor Minimum Authority resultó en la pérdida de más de 100 millones de dólares a manos de los piratas informáticos en junio de 2023.
En el mejor de los casos, una auditoría de seguridad de terceros es una investigación exhaustiva realizada por un equipo capacitado que analiza cada aspecto del diseño y la implementación de un sistema, buscando debilidades y fallas que podrían afectar las operaciones o los usuarios, u ofrecer a los delincuentes acceso a datos confidenciales o activos.
Una buena auditoría también evalúa cuidadosamente si los desarrolladores y diseñadores se han adherido a las mejores prácticas en la creación e implementación de un sistema.
Las vulnerabilidades se presentan de muchas formas criptografía incorrecta o insuficientemente segura, fugas de información confidencial, partes del sistema desprotegidas, inconsistencias entre la documentación de diseño del sistema y el código utilizado en la implementación.
Debilidades como estas pueden resultar en cualquier cosa, desde la exposición de datos confidenciales y secretos del usuario hasta la pérdida de activos del sistema y del usuario.
Por lo tanto, que las auditorías sean lo más detalladas y consistentes posible es esencial para la seguridad tanto del proyecto como de sus usuarios.
Hay docenas de empresas que ofrecen servicios de auditoría, pero sin un estándar industrial, la calidad puede variar drásticamente, y de hecho lo hace. Incluso dentro de empresas de buena reputación, no existe consenso sobre lo que se debe auditar ni un conjunto consistente de criterios.
Por supuesto, no hay garantía de que incluso los auditores más experimentados detecten cada debilidad de un sistema o protejan a todos los usuarios de pérdidas. Pero si se llevan a cabo exhaustiva y periódicamente, se ha demostrado que las auditorías de seguridad reducen drásticamente el riesgo de que una vulnerabilidad grave pase desapercibida.
Lea más en nuestra sección de opinión: Es hora de que las empresas de seguridad blockchain unan fuerzas
Sin embargo, las auditorías no pueden detener los ataques de ingeniería social (aquellos que involucran la manipulación de seres humanos), como cuando el grupo norcoreano Lazarus convenció a los ingenieros de un intercambio de cifrado no identificado a principios de este año para descargar malware disfrazado de un robot de arbitraje. Prevenir ese tipo de ataques sólo pasa por la vigilancia y el entrenamiento en equipo.
Es cierto que cada auditoría será diferente, como también lo es cada proyecto.
Pero mi larga experiencia en el ámbito de la auditoría de seguridad me ha enseñado que hay pasos específicos que un auditor debe tomar para maximizar la efectividad de la auditoría de seguridad en beneficio de los clientes, los usuarios y el ecosistema.
¿Cuáles son estos requisitos? Una norma de auditoría que tenga como objetivo hacer que los sistemas descentralizados sean más resilientes y proteger a sus usuarios de posibles pérdidas debe incluir una evaluación exhaustiva de lo siguiente:
- El modelo de amenaza del proyecto.
- La seguridad por diseño
- La seguridad de la implementación.
- El uso de dependencias.
- Pruebas
- Documentación del proyecto
- El alcance de la auditoría y si es suficiente o no.
Para garantizar que cualquier mejora en los estándares beneficie a blockchain en su conjunto, también abogamos por el intercambio de conocimientos y la creación de bienes públicos como investigación, herramientas y capacitación.
Trabajando juntos para mejorar los estándares de la industria de auditoría de seguridad en su conjunto (y, por lo tanto, la esfera tecnológica descentralizada), podemos avanzar mucho para evitar que los hackers de sombrero negro de blockchain rompan el récord de 2022 en cuanto a criptoactivos robados.
Y ese es un récord que no queremos que se vuelva a batir.
Hind Kurhan es cofundador de Thesis Defense, una empresa de auditoría de seguridad de tecnología descentralizada cuya misión es facilitar la adopción amplia de tecnología descentralizada mejorando la seguridad y la coherencia de las auditorías en toda la esfera de blockchain.
No se pierda la próxima gran historia: únase a nuestro boletín diario gratuito.