• En 2021, el 90% de una pérdida total de US 1,800 millones se debió a ataques no sofisticados.

Guadalajara, México. 23 de junio de, 2022.– Un total de pérdidas analizadas de US 1,800 millones de dólares en 2021 se debieron a ataques no sofisticados en más del 90% de los 65 eventos entre plataformas DeFi (finanzas descentralizadas), según un análisis realizado por Dylan Dubief, consultor senior de Seguridad de Bishop Fox, la principal autoridad en seguridad ofensiva.

El año pasado, las finanzas descentralizadas crecieron enormemente, no sólo en uso, sino también en ataques de ciberseguridad. Las carteras se vaciaron, los contratos inteligentes fueron despojados y los inversionistas perdieron su dinero. Para entender los riesgos de estas nuevas tecnologías y casos de uso de blockchain, se analizaron los principales hackeos ocurridos en 2021, un año tanto innovador como caótico.

Como muestra el gráfico, el mundo DeFi experimentó un promedio de cinco hackeos al mes, con dos picos de actividad en mayo y diciembre. Estos picos de actividad se debieron a dos cuestiones:

1. El descubrimiento de un nuevo método de explotación o tipo de vulnerabilidad. Una vez dominada una técnica, los atacantes recorren las aplicaciones para encontrar y hackear todas las que son vulnerables antes de que los desarrolladores puedan parchar su código.
2. Ataques en cadena dirigidos a Smart Contracts que han sido bifurcados varias veces. A menudo, si la aplicación original es vulnerable, todas las bifurcaciones también lo son.

DeFi, campo de batalla…

Explorando el origen de estos ataques: Se puede ver que en la mayoría de los casos, el ataque proviene de una vulnerabilidad en los Smart Contracts o en la propia lógica del protocolo. Esto no es sorprendente para una tecnología reciente que puede carecer de cierta retrospectiva técnica sobre la aplicación de medidas de seguridad. Otro vector importante fue que los monederos y sus claves privadas fueron comprometidas. Y, por último, entre estos ataques se encontraba la famosa estafa del tirón o de la salida, en la que el atacante es interno o se encuentra en el origen del proyecto y se conforma con tomar el dinero y salir corriendo.

Entonces, ¿es DeFi realmente un campo de batalla peligroso?

Podemos decir sin dudar que el DeFi es actualmente un objetivo apetecible que atrae a los ladrones que buscan grandes y rápidas ganancias. Esta observación es obvia dada la juventud de esta tecnología y el hecho de que todo gira en torno al dinero. ¿Un blockchain público no monetizado que permita la gestión de imágenes de vigilancia tendría el mismo atractivo para estos atacantes? Probablemente no. Sin duda, sería el objetivo de los grupos criminales que buscan falsificar registros y ocultar información, pero no tendría ningún atractivo financiero, lo que reduciría el riesgo constante de un ataque devastador desde todos los ángulos.

¿Qué hacer?

Ser fanáticos del control.

Es preferible llegar tarde, dudar y estar neurótico –repitiendo una prueba 3 veces, por ejemplo– que confiarse y perderlo todo en unos minutos. Es más que necesario auditar todo su ecosistema, compartir los informes de auditoría para obtener un punto de vista externo y aplicar todas las medidas correctivas necesarias antes de lanzar un proyecto. Los usuarios deben comprobar la estrategia de seguridad de los proyectos en los que quieren empezar: una vez perdido el dinero, es demasiado tarde.

DeFi, campo de batalla…

No fiarse de nadie.

No se sugiere que uno se convierta en paranoico disociado. En ciberseguridad, se debe aplicar el principio de confianza cero: se puede confiar en un amigo o en un familiar, pero aunque uno pueda protegerse, nunca podrá estar seguro de que su amigo no será vulnerable o estará comprometido algún día. Es profundamente erróneo que un sistema crítico o un conjunto de datos importantes alineen su seguridad basándose únicamente en la posesión de una clave privada. Cuanto mayor sea el riesgo, mayor será la necesidad de añadir capas de seguridad para evitar que un atacante consiga sus objetivos. Siempre hay que asumir que una clave se verá comprometida en algún momento; por lo tanto, depende de uno asegurarse de limitar el impacto de esa pérdida.

Invertir sólo lo que uno pueda perder.

Y, por último, nunca está de más decirlo: no hay que invertir el dinero que se necesita para vivir. Invertir en DeFi es poner recursos en un sistema financiero incipiente que aún no ha aprendido de sus errores. Un día u otro, uno será inevitablemente víctima de este sistema. Se debe tomar nota de todas las desafortunadas personas afectadas en 2021. Hay que disfrutar el viaje de la web2 a la web3, pero hay que mantenerse a salvo.

Puede obtener más información sobre DeFi Hacks en el blog original de Dylan Dubief.

# # #

Acerca de Bishop Fox

Bishop Fox es la principal autoridad en seguridad ofensiva, proporcionando soluciones que van desde las pruebas de penetración continuas, el red teaming y la gestión de la superficie de ataque hasta las evaluaciones de seguridad de productos, de la nube y de las aplicaciones. Hemos trabajado con más del 25% de la lista Fortune 100, la mitad de la lista Fortune 10, ocho de las 10 principales empresas tecnológicas mundiales y todas las principales empresas de medios de comunicación mundiales para mejorar su seguridad. Nuestra plataforma Cosmos fue nombrada la Mejor Tecnología Emergente en los Premios SC Media 2021 y nuestras ofertas se clasifican sistemáticamente como “de clase mundial” en las encuestas sobre la experiencia del cliente. Participamos activamente en la comunidad de seguridad y hemos publicado más de 16 herramientas de código abierto y 50 avisos de seguridad en los últimos cinco años. Obtenga más información en bishopfox.com o síganos en Twitter.