Crypto.news habló con los cofundadores de Dedaub, una empresa de seguridad blockchain, y analizó sus experiencias y nuevas medidas para proteger los fondos.
Informes recientes muestran que durante el tercer trimestre de 2023, la cantidad de estafas y hackeos de criptomonedas aumentó, lo que resultó en la pérdida de aproximadamente $700 millones en activos digitales. Esta cifra supera las pérdidas observadas en los dos trimestres anteriores, lo que indica una amenaza creciente a la seguridad de las inversiones en criptomonedas.
Para explorar estos desafíos, crypto.news se reunió con Neville Grech y Yannis Smaragdakis, cofundadores de Dedaub, una empresa de seguridad blockchain, en la conferencia SmartCon de Chainlink en Barcelona. Profundizamos en el ámbito de la seguridad criptográfica, analizando los trucos más notables, las estrategias emergentes para proteger sus fondos y lo que significa ser un Sherlock Holmes moderno de la period criptográfica.
Cripto.noticias: ¿Podría recordarme los casos recientes más interesantes que investigó?
Neville Grech: El caso más interesante en el que estuvimos involucrados fue MultiChain de hace aproximadamente un año y medio. Tenían una vulnerabilidad potencial. En ese momento, estábamos realizando hacking de sombrero blanco, examinando contratos en busca de vulnerabilidades.
A mi cofundador, Yannis, se le ocurrió un enfoque bastante poco convencional para explotar esa vulnerabilidad. Para resumir, podríamos haber robado mil millones de dólares de Multichain.
Hablamos con el fundador de la empresa y le entregamos el informe. Hay seis etapas de aceptación: primero, está la negación y, en algún momento, la aceptación. Así que finalmente abordaron el tema.
Cripto.noticias: ¿Qué sucede detrás de escena cuando inicias una investigación o te enfrentas a un hackeo?
Neville Grech: Muchas investigaciones se llevan a cabo después del hackeo. El primer paso es comprender rápidamente el protocolo, lo que requiere ingenieros altamente capacitados, a menudo los más competitivos que tenemos. Estas personas se destacan en tareas como los desafíos de Capturar la bandera (CTF) y la piratería competitiva.
Inicialmente, estás operando con pura adrenalina, por lo que el objetivo inmediato es descubrir cómo prevenir un posible segundo ataque. No escatimamos esfuerzos y utilizamos nuestra amplia pink de contactos y diversas herramientas, algunas de las cuales hemos desarrollado específicamente para estas situaciones. Hacemos todo lo posible, esforzándonos por informar a la comunidad sobre el incidente, profundizando en el análisis de la causa raíz y aspectos similares. Desafortunadamente, no hay mucho que se pueda hacer después de que se haya producido un hackeo.
Cripto.noticias: ¿Hasta qué punto es posible actualmente rastrear a los piratas informáticos?
Neville Grech: A veces, si el hacker es incompetente, podemos rastrear su origen hasta un intercambio centralizado.
Se pueden tomar medidas importantes, pero a menudo dependen del nivel de competencia del hacker. Por ejemplo, si utilizan un servicio como Twister Cash, que anonimiza las transacciones, resulta difícil rastrear sus actividades. Si bien puede consultar con los proveedores de RPC o explorar la posibilidad de compartir datos con las autoridades, es posible que ellos no los compartan con nosotros. Aparte de eso, las opciones son limitadas.
También puedes correlacionar el tiempo, ya que Tornado Hard cash no garantiza el 100% de anonimato si se usa rápidamente. Si los activos entran y salen inmediatamente, hay formas de establecer conexiones, pero implica bastantes conjeturas. Es parecido al trabajo de detective en ese momento.
Yannis Smaragdakis: En normal, creo que es poco possible que se pueda rastrear un hackeo de tamaño pequeño o mediano ejecutado por un hacker experto. Es posible que puedas encontrarlos en cinco años, tal vez porque cometieron un mistake o debido a avances tecnológicos que podrían exponer lo que actualmente es privado. Sin embargo, por ahora, cuando hablamos de hackeos de menos de un millón de dólares, quizás medio millón, es una cantidad significativa, pero no lo suficientemente grande como para revelarse consistentemente cuando se intenta anonimizar los fondos.
Se vuelve cada vez más difícil anonimizar fondos cuando se trata de cantidades de decenas de millones. Extraer sumas tan sustanciales de la cadena de bloques es una tarea excepcionalmente difícil. Aquí es donde entra en juego la aplicación de la ley tradicional, en lugar de la tecnología de contratos inteligentes.
Neville Grech: En la economía serious, los organismos encargados de hacer cumplir la ley suelen ser más eficaces cuando se trata de lavado de dinero.
Cripto.noticias: ¿Alguna vez has intentado investigar a los piratas informáticos norcoreanos?
Yannis Smaragdakis: No hemos experimentado directamente ningún hackeo atribuido al Grupo Lazarus, la organización de hackers de Corea del Norte.
Neville Grech: Sin embargo, recuerdo un incidente en el que el Grupo Lazarus intentó piratear a una persona que previamente había pirateado Euler Finance. Básicamente era un hacker que intentaba hackear a otro hacker. El Grupo Lazarus le envió un enlace a un proyecto susceptible para establecer comunicación.
Yannis Smaragdakis: A diferencia del hackeo de computadoras portátiles o dispositivos móviles, el hackeo de contratos inteligentes carece de un mercado en el que debas gastar dinero para ser competitivo. Hackear computadoras portátiles o teléfonos celulares se beneficia de organizaciones nacionales como Israel, Estados Unidos o Rusia debido a sus amplios recursos y la capacidad de comprar hacks. Estas organizaciones están altamente organizadas, casi como operaciones militares.
En el ámbito de la piratería de contratos inteligentes, todo lo que necesita son personas con experiencia. La competencia del Grupo Lazarus en seguridad de contratos inteligentes no es nada especial probablemente tengan personas con suficiente experiencia. Muchas organizaciones en todo el mundo, incluidas las pequeñas empresas, poseen un nivel comparable de competencia.
Sin embargo, si un hack involucra elementos tradicionales como teléfonos móviles o programas ejecutables, estos podrían tener una ventaja. Se presume que el Grupo Lazarus está bien financiado y bien organizado, lo que puede convertirlo en una fuerza potente. Pero es posible que se les atribuyan demasiado hacks. No podemos afirmar con seguridad si dan tanto miedo en el espacio de los contratos inteligentes.
En comparación, cuando se trata de mi teléfono móvil, puede que esté un poco más preocupado. El panorama cibernético está lleno de personas que poseen la experiencia adecuada, especialmente en este ámbito anónimo, donde pueden dedicarse a la piratería.
Neville Grech: Incluso podrías encontrarte con algunos de ellos en conferencias.
Cripto.noticias: ¿Qué puedes recomendar para proteger tus fondos?
Yannis Smaragdakis: Existen mejores prácticas estándar a seguir, especialmente para usuarios de contratos inteligentes. Usar una billetera de components es una buena plan. Es fundamental controlar cuidadosamente las transacciones que firma. Emplear fuertes medidas de seguridad en sus dispositivos, como teléfonos celulares o computadoras portátiles, es esencial para evitar la piratería local que puede conducir al robo de firmas o pulsaciones de teclas.
Una billetera de hardware brinda cierta protección contra la piratería community, ya que es un dispositivo separado y menos vulnerable. Sin embargo, puede mostrar una transacción en su computadora portátil que difiere de lo que está firmando. Podrías usar tu billetera de components, pensando que estás aprobando algo que deberías, pero el dinero va a otra parte. Por lo tanto, la amenaza persiste si su dispositivo community es pirateado.
Para reforzar la seguridad, considere prácticas como tener una computadora portátil dedicada y bien controlada para transacciones financieras. Usar dispositivos separados para diferentes roles es una excelente medida de seguridad, aunque puede resultar algo incómodo en la vida cotidiana.
Neville Grech: La simulación de transacciones es una práctica avanzada.
Yannis Smaragdakis: Creo que en un futuro próximo, antes de ejecutar cualquier transacción, se simularán. Ya ofrecemos simulación de transacciones en nuestro computer software y muchas billeteras como Metamask ahora también ofrecen esta función. Permite a los usuarios obtener una vista previa del resultado de sus transacciones antes de enviarlas, lo que puede resultar de gran ayuda. Durante el próximo año, podemos esperar mejoras significativas en este sentido.
En última instancia, la responsabilidad a menudo recae en el usuario humano porque cuanto más poder les otorga para administrar sus claves privadas y billeteras por completo, cualquier paso en falso por parte del usuario puede resultar en una posible violación de seguridad. Cuando los usuarios tienen control sobre sus cuentas, se vuelven vulnerables a los ataques. Garantizar privacidad a los usuarios es un arma de doble filo puede protegerlos pero también permitir que los piratas informáticos operen sin ser detectados.
Hay esfuerzos para abordar este problema por ejemplo, algunas tecnologías propuestas implican claves segmentadas donde una parte de la clave permanece en manos del usuario y otra parte está en manos de una entidad central como un banco u organización financiera. Los usuarios pueden autenticarse y acceder por separado a ambas partes clave según sea necesario. Este enfoque puede evitar que los usuarios lo pierdan todo debido a un solo error. Varios actores importantes en este campo están explorando este tipo de carteras de computación multipartita (MPC).
Sin embargo, es esencial comprender que cada tecnología tiene sus ventajas y desventajas. Por ejemplo, en este caso, la compensación implica no tener regulate full de sus fondos. Si un gobierno importante solicita la congelación de una cuenta, puede hacerlo. Si le da al usuario command total, puede ser pirateado si comete un mistake.
Equilibrar el regulate del usuario y la seguridad es un desafío complejo, y las empresas están buscando activamente el equilibrio adecuado, donde los usuarios tengan un handle significativo sobre sus fondos, excepto cuando sucede algo realmente grave, como una solicitud gubernamental de congelación de cuentas.
Cripto.noticias: Parece que realmente disfrutas lo que haces. ¿Alguna vez te sentiste como Sherlock Holmes durante tus investigaciones?
Yannis Smaragdakis: A veces, de hecho, se siente así. Ciertas investigaciones resultan muy fascinantes debido a este parecido.
Neville Grech: Nuestro trabajo diario implica examinar el código de otras personas en busca de vulnerabilidades, ya sea mediante auditorías o desarrollando program y herramientas.
Yannis Smaragdakis: A menudo nos hemos encontrado en salas de guerra, planificando cómo contrarrestar un hack descubierto. O encontramos vulnerabilidades importantes en un código y tenemos que comunicarnos con los equipos de producto para alertarlos sobre la necesidad de corregirlo.
Cripto.noticias: Unas horas después del lanzamiento del token BANANA, ChatGPT identificó un mistake en el contrato inteligente. ¿Es una herramienta valiosa para detectar estos problemas?
Yannis Smaragdakis: No es particularmente competitivo en esta etapa. Por cada error válido que detecta, es posible que se pasen por alto 500. Actualmente no está a la par de las capacidades humanas. Quizás carezca de experiencia o tenga problemas con vectores de ataque no convencionales que no siguen patrones establecidos.
Tal como están las cosas, no lo considero competitivo con los hackers humanos, todavía no. Sin embargo, este año hemos sido testigos de desarrollos sorprendentes, particularmente con GPT-4 y sus capacidades en otros campos. Quién sabe, el año que viene quizás nos sorprenda su capacidad para encontrar vulnerabilidades.
