En Resumen
- Halborn se enfoca en asegurar proyectos Web3 y destaca la prevenibilidad de hackeos en DeFi.
- David Schwed, COO de Halborn, adviertió sobre vulnerabilidades de día cero en tecnología y la importancia de controles de seguridad.
- Schwed subrayó que a pesar de la descentralización de las blockchains, las dapps aún tienen puntos de centralización y sugiere medidas de seguridad proactivas en proyectos Web3.
We do the research, you get the alpha!
La industria tecnológica ha tenido sus ojos puestos en la inteligencia artificial, y los profesionales de la ciberseguridad se están alineando para encontrar vulnerabilidades y solucionar problemas de seguridad en plataformas de IA como ChatGPT de OpenAI. Pero la empresa de ciberseguridad blockchain Halborn ha mantenido su atención en el objetivo, continuando buscando formas de apoyar y asegurar proyectos Web3.
"Creo que a medida que el ecosistema comience a madurar, veremos una desaceleración de algunos de los errores tontos que muchos proyectos y organizaciones están cometiendo", dijo David Schwed, COO de Halborn, a Decrypt en Messari Mainnet. "Esta es una afirmación controvertida, pero muchos hackeos son prevenibles".
Schwed señaló un informe de la empresa de seguridad blockchain que indicaba que se habían perdido más de $5 mil millones en hackeos de DeFi entre 2016 y 2022.
"Varios de los hacks no necesariamente fueron vulnerabilidades en la cadena", dijo Schwed. "Fueron problemas de seguridad estándar de Web2 que simplemente fueron comprometidos o violados debido a malas prácticas de seguridad".
Si bien Schwed señaló la falta de deficiencias en ciberseguridad en algunos proyectos, también reconoció que ciertas violaciones, como los ataques de día cero derivados de tecnología vulnerable, son inevitables. Sin embargo, enfatizó la necesidad de que las empresas estén preparadas.
En seguridad cibernética, un día cero (vulnerabilidad, exploit o ataque) se refiere a una vulnerabilidad de software desconocida para aquellos responsables de parchear o solucionar el software. El cero se refiere a la cantidad de tiempo que los desarrolladores tuvieron para abordar y solucionar la vulnerabilidad.
"Si confías en una pieza de tecnología y hay una vulnerabilidad en esa tecnología que es un día cero, no culparía a esa organización", dijo Schwed. "Lo que les reprocharía potencialmente es buscar controles de tipo detective". Los controles detective están diseñados para encontrar errores o problemas después de que se haya realizado la transacción.
"Así que si comienzas a ver anomalías en un contrato inteligente o un comportamiento anómalo en la cadena, es entonces cuando deberías tener un programa de respuesta a incidentes sólido o tener la capacidad de emitir interruptores de circuito dentro de un contrato o poder transferir los fondos a una billetera potencialmente no afectada".
Los ataques de día cero son solo una de las posibles amenazas a las que se enfrentan los proyectos DeFi. La semana pasada, el exchange descentralizado de criptomonedas Balancer fue víctima de un ataque de denegación de servicio (DNS) que resultó en el robo de más de $250.000 en fondos.
Desde su creación, las blockchains han sido elogiadas por su descentralización, con muchos defensores afirmando que hackear blockchains como Bitcoin y Ethereum es imposible debido a que estas cadenas son descentralizadas. Sin embargo, aunque la tecnología blockchain puede ser descentralizada, Schwed dijo que las dapps construidas sobre ellas no lo son.
"Desde el momento en que se construye hasta el momento en que se implementa, todavía hay ingenieros que trabajan en todas estas organizaciones que actualizarán los contratos inteligentes", dijo, agregando que todavía existe cierta centralización en la implementación de contratos inteligentes, su seguridad y monitoreo.
Schwed señaló la dependencia de plataformas como Amazon Web Services (AWS), Azure y Google Cloud para los proyectos de Web3, subrayando que la "verdadera descentralización al 100%" sigue siendo esquiva. "Siempre hay puntos de estrangulamiento de centralización en el ecosistema, y un cierto nivel de centralización podría beneficiar a todos", dijo.
Schwed sugiere que las empresas de Web3 consideren sus proyectos como un actor amenazante y vean dónde se encuentran las posibles vulnerabilidades. Otra opción que sugiere es buscar profesionales o equipos de seguridad llamados "red teams" para abordar las preocupaciones de seguridad. Para las empresas que no tienen los fondos para contratar a estos profesionales, Schwed sugiere ofrecer participación en la organización.
A pesar del riesgo que representan los ciberdelincuentes y los ataques, Schwed es optimista sobre el futuro de la tecnología blockchain.
"Creo que esta [tecnología] tiene la capacidad de interrumpir y realmente innovar y proporcionar un valor tan grande para nosotros como sociedad, y todos en este espacio están dispuestos a ayudar", concluyó.