Las violaciones de datos de terceros se han disparado. ¿El problema? Las empresas, incluidos los intercambios de criptomonedas, no saben cómo protegerse contra ellos. Cuando los intercambios firman nuevos proveedores, la mayoría espera de manera innata que sus proveedores empleen el mismo nivel de escrutinio que ellos. Otros no lo consideran en absoluto. En la era actual, no es solo una buena práctica probar las vulnerabilidades en la cadena de suministro, es absolutamente necesario.
Muchos intercambios están respaldados por financieros internacionales y aquellos nuevos en tecnologías financieras. Muchos incluso son completamente nuevos en tecnología, en cambio, están respaldados por capitalistas de riesgo que buscan mojarse los pies en una industria floreciente. En sí mismo, eso no es necesariamente un problema. Sin embargo, las empresas que no han crecido en el campo de la tecnología financiera a menudo no comprenden completamente el alcance de los riesgos de seguridad inherentes a ser custodios de cientos de millones de dólares en activos digitales.
Hemos visto lo que sucede ante una seguridad inadecuada, que va más allá de la gestión de proveedores y se extiende a puentes entre cadenas. Solo en octubre, Binance se enfrentó a un hackeo de puente por valor de nueve cifras. Luego está también el hackeo del puente Wormhole, otra brecha de nueve cifras. El hackeo del puente Ronin resultó en la pérdida de más de 500 millones de dólares en activos.
De hecho, un nuevo informe indica que durante un período de dos años, se robaron más de $ 2.5 mil millones en activos gracias a los ataques de puentes entre cadenas, eclipsando las pérdidas asociadas con las infracciones relacionadas con los préstamos financieros descentralizados y los intercambios descentralizados combinados.
Sin embargo, las infracciones de terceros no son solo un problema para la industria de la criptografía, y ciertamente no se limitan a los pequeños jugadores. A principios de este año, el sistema escolar de la ciudad de Nueva York tuvo una brecha que involucró a un proveedor externo que afectó a más de 800,000 personas. Las infracciones de terceros son la nueva frontera para los malos actores.
Relacionado: Se avecinan medidas enérgicas del gobierno a menos que las criptomonedas comiencen a autocontrolarse
Esto es especialmente cierto ya que los estados-nación confían cada vez más en los piratas informáticos como cuestión de política exterior. En particular, grupos de Corea del Norte y Rusia están buscando tarros de miel de los que puedan desviar activos. Esto hace que la industria de las criptomonedas sea un objetivo principal.
La única forma de detener estos problemas antes de que acaben con la industria es reajustar la forma en que percibe las iniciativas de seguridad de terceros. Los terceros necesitan una investigación de antecedentes completa y minuciosa antes de que se les permita el acceso a datos institucionales de cualquier tipo. Una vez que se les permite el acceso, es fundamental limitar su alcance solo a los datos que son absolutamente necesarios y revocar esos permisos cuando ya no sean necesarios, ya que habría sido beneficioso para los involucrados en la violación de Ronin. Más allá de eso, es fundamental revisar las prácticas de privacidad de cada proveedor.
Al igual que con los puentes, el riesgo de terceros proveedores está en la conexión con el sistema de la institución. La mayoría de los puentes entre cadenas se violan después de que se introducen errores en el código o cuando se filtran las claves. Estos ataques de puente pueden mitigarse y, en muchos casos, prevenirse. Ya sea que las infracciones sean el resultado de depósitos falsos o problemas con el validador, el error humano suele ser un problema. Después de que los hacks aparecen en los titulares, las investigaciones muestran que estos errores en el código podrían haberse solucionado con previsión.
En particular, ¿qué pasos podrían haber tenido un efecto en los ataques de cross-bridge, como Binance, que hemos visto recientemente? El código puente debe auditarse y probarse regularmente antes y después de su lanzamiento. Una de las formas más efectivas de hacer esto es emplear recompensas por errores. Las direcciones de contratos inteligentes necesitan un control constante, al igual que los depósitos falsos. Debe haber un equipo de seguridad en el lugar, uno que utilice inteligencia artificial para señalar los riesgos potenciales, para supervisar estos esfuerzos de gestión de riesgos.
Relacionado: Los federales vienen por el metaverso, desde Axie Infinity hasta Bored Apes
Si se pensara más en la seguridad desde el principio, habría menos titulares negativos. Es mucho menos costoso contratar hackers de sombrero blanco para encontrar exploits antes que los malos actores que esperar a que los malos actores los encuentren ellos mismos.
Históricamente, la industria ha tenido una buena cantidad de malos titulares. Incluso ha tenido una buena cantidad de hacks de nueve cifras. Este año, parece que se han convertido en una parte casi aceptada de la industria de activos digitales. Sin embargo, a medida que la política se entrelaza cada vez más con la regulación de las criptomonedas, nunca antes ha habido una amenaza mayor. A medida que los piratas informáticos con el respaldo del estado-nación se aprovechen más de estas conexiones de terceros, serán objeto de un mayor escrutinio. No hay ninguna duda al respecto. Es sólo una cuestión de cuándo.
Es probable que esa pregunta se responda tan pronto como el Congreso de los Estados Unidos finalice una nueva legislación al respecto. Tiene sentido que la regulación sea el siguiente paso lógico, a menos que la industria actúe con mucha prisa.
Richard Gardner es el director ejecutivo de Modulus, que desarrolla tecnología para instituciones como la NASA, Nasdaq, Goldman Sachs, Merrill Lynch, JPMorgan Chase, Bank of America, Barclays, Siemens, Shell, Microsoft, la Universidad de Cornell y la Universidad de Chicago.
Este artículo es para fines de información general y no pretende ser ni debe tomarse como asesoramiento legal o de inversión. Los puntos de vista, pensamientos y opiniones expresados aquí son solo del autor y no reflejan ni representan necesariamente los puntos de vista y opiniones de Cointelegraph.