Los desarrolladores de blockchain saben que, como casi cualquier tecnología, Bitcoin es susceptible a las ciberamenazas.
Al igual que el software tradicional, los modelos de seguridad blockchain requieren primero el desarrollo de un modelo de riesgo, que aborde todos los posibles vectores de ataque, incluida la gobernanza, el código y la tecnología, así como los riesgos de los procesos.
Al evaluar estas amenazas, un equipo puede desarrollar un modelo de amenazas y definir los controles de seguridad pertinentes.
Existe una amplia gama de posibles vectores de ataque cuando se trata de blockchains privadas, públicas y de otro tipo. Estos incluyen ataques de phishing, explotación de códigos, ataques de enrutamiento, claves robadas, ataques sybil, piratería informática y, por supuesto, el tan cacareado ataque del 51%.
Los ataques de phishing emplean mensajes de texto, correos electrónicos e incluso llamadas telefónicas para implorar a los usuarios de blockchain que entreguen la identificación única de sus cuentas de blockchain asociada con una cuenta de blockchain o que hagan clic en un enlace malicioso.
Los piratas informáticos detrás de los ataques de phishing suelen utilizar correos electrónicos creíbles que parecen provenir de un amigo, colega o cualquier otra persona. Algunos programas antimalware pueden detectar enlaces maliciosos, al igual que determinadas extensiones del navegador. Los usuarios también deben verificar los remitentes, etc. antes de interactuar con cualquier enlace.
También se puede explotar el código de una cadena de bloques. Los piratas informáticos de sombrero negro podrían identificar una debilidad en una cadena de bloques y explotar el código para robar la moneda o token nativo de la red.
Por ejemplo, los contratos inteligentes son vulnerables a ataques de reentrada y de denegación de servicio (DoS). Estas vulnerabilidades pueden permitir a actores maliciosos alterar los datos de los contratos y desviar fondos. Las finanzas descentralizadas (DeFi) han demostrado ser particularmente vulnerables a este tipo de ataques.
La Organización Autónoma Descentralizada (DAO), un fondo de capital de riesgo descentralizado construido sobre una cadena de bloques, perdió una cantidad aproximada de un tercio de su valor debido a la explotación del código. Este tipo de hack puede aplicarse tanto a blockchains públicas como privadas.
Los ataques de enrutamiento son otra clara amenaza para las redes blockchain. Estos incluyen ataques comunes de denegación de servicio y ataques de intermediario. Al utilizar estos métodos, los piratas informáticos pueden interceptar datos en las redes.
Los ataques de Sybil abruman una red con intentos de inicio de sesión con credenciales e identidades falsas.
Estos ataques pueden dar a los ciberdelincuentes rienda suelta a una red blockchain comprometida.
Y, por supuesto, está el ataque del 51%. Esto generalmente se aplica a las cadenas de bloques de prueba de trabajo. La mayor amenaza de Bitcoin hasta el día de hoy es quizás el ataque del 51%, que tiene lugar en la capa minera de Bitcoin.
Si un grupo de mineros se hiciera cargo de más del 50% de la potencia informática de una cadena de bloques, podrían apoderarse de la red Bitcoin y comenzar a censurar las transacciones, despojando a la cadena de bloques de su preciada inmutabilidad.
Sin embargo, a medida que aumenta la tasa de hash de Bitcoin, la probabilidad de este ataque disminuye.
¿Cómo mejorar la seguridad de mi blockchain?
Las mejores prácticas de ciberseguridad son cruciales para los desarrolladores de blockchain. Hay algunos pasos a seguir por parte del cliente, incluido el empleo de VPN para cifrar la actividad de Internet y minimizar la amenaza de ataques de enrutamiento.
Además, no deje desatendidos los dispositivos utilizados para codificar una cadena de bloques. También hay pasos a seguir en el lado del servidor, que se vuelven más complicados.
Los controles de acceso estrictos evitan el acceso no autorizado a una red blockchain. Esto puede ser tan simple como usar contraseñas seguras, autenticación de dos factores y limitar el acceso a un protocolo.
Un sólido sistema de gestión de identidad y acceso para su blockchain garantiza que solo los usuarios legítimos y autorizados puedan acceder al sistema.
Actualizar sistemas operativos, aplicar parches al software blockchain y cualquier otro software que interactúe con su blockchain, como el middleware, que utiliza una blockchain para comunicarse con el mundo exterior.
Al diseñar una solución blockchain, considere estas preguntas clave:
-
¿Cuál es el modelo de gobernanza?
-
¿Qué datos registrar en cada bloque?
-
¿Cómo se gestiona la identidad?
-
¿Deberían cifrarse las cargas útiles de los bloques?
-
¿Cuál es el criterio para la gestión y revocación de claves?
-
¿Cuál es el plan de recuperación ante desastres para los participantes de blockchain?
-
¿Cómo se resuelven las colisiones de bloques de blockchain?
Finalmente, los desarrolladores de blockchain deben desarrollar un protocolo ante desastres. ¿Qué sucede en el peor de los casos? Esto podría incluir numerosos vectores de ataque o incluso los propios desastres naturales.
La seguridad operativa de Blockchain (OpSec) refuerza la seguridad de los sistemas descentralizados. Esto sólo puede lograrse con un enfoque de seguridad multifacético. Los desarrolladores deben comprender los riesgos que enfrentan al implementar nuevas tecnologías blockchain.
y prepararse para estos riesgos.