Los hacks de DeFi generalmente se reducen a una seguridad deficiente: Halborn COO

La industria tecnológica ha tenido sus ojos puestos en la inteligencia artificial, y los profesionales de la ciberseguridad están haciendo fila para encontrar vulnerabilidades y reparar agujeros de seguridad en plataformas de inteligencia artificial como ChatGPT de OpenAI. Pero la firma de ciberseguridad blockchain Halborn ha mantenido sus ojos en la pelota y continúa buscando formas de respaldar y proteger los proyectos Web3. “Creo que a medida que el ecosistema comience a madurar, comenzaremos a ver una desaceleración de algunos de los errores tontos que Se están realizando muchos proyectos, se están realizando muchas organizaciones ”, dijo el director de operaciones de Halborn, David Schwed, a Decrypt en Messari Mainnet. «Esta es una declaración controvertida, pero muchos hacks se pueden prevenir». Schwed señaló un informe de la empresa de seguridad blockchain que decía que se habían perdido más de 5.000 millones de dólares en hacks de DeFi entre 2016 y 2022. «Varios de los hacks no estaban necesariamente en -Vulnerabilidades de la cadena”, dijo Schwed. «Eran seguridad Web2 estándar que simplemente se vio comprometida o violada debido a malas prácticas de seguridad». Si bien Schwed señaló la falta de deficiencias de ciberseguridad en algunos proyectos, también reconoció que ciertas violaciones, como los ataques de día cero derivados de tecnología vulnerable, son inevitable. Sin embargo, enfatizó la necesidad de que las empresas estén preparadas. En ciberseguridad, un día cero (vulnerabilidad, exploit o ataque) se refiere a una vulnerabilidad de software desconocida para los responsables de parchear o reparar el software. El cero se refiere a la cantidad de tiempo que los desarrolladores tuvieron que dedicar para abordar y parchear la vulnerabilidad. “Si confías en una pieza de tecnología y hay una vulnerabilidad en esa tecnología que es de día cero, no culparía a esa organización. ”, dijo Schwed. “Lo que potencialmente les reprocharía es que buscan controles tipo detective”. Los controles de detección están diseñados para encontrar errores o problemas después de que se haya producido la transacción. «Entonces, si comienza a ver anomalías en un contrato inteligente, o anomalías en el comportamiento en la cadena, es cuando debe tener un programa sólido de respuesta a incidentes, o tener la capacidad emitir disyuntores dentro de un contrato o poder transferir los fondos a una billetera potencialmente no afectada”. Los ataques de día cero son solo una de las amenazas potenciales que enfrentan los proyectos DeFi. La semana pasada, el intercambio descentralizado de criptomonedas Balancer se vio afectado por un ataque de denegación de servicio (DNS) que provocó el robo de más de 250 000 dólares en fondos. Desde sus inicios, las cadenas de bloques han sido elogiadas por su descentralización, y muchos defensores dicen que piratear cadenas de bloques como Bitcoin y Ethereum es imposible porque estas cadenas están descentralizadas. Pero si bien la tecnología blockchain puede estar descentralizada, Schwed dijo que las dapps construidas sobre ellas no lo son.“Desde el momento en que se construye hasta el momento en que se implementa, todavía hay ingenieros que trabajan en todas estas organizaciones que actualizarán los contratos inteligentes, » dijo, y agregó que todavía existe cierta centralización en la implementación de contratos inteligentes, su seguridad y monitoreo. Schwed señaló la dependencia de plataformas como Amazon Web Services (AWS), Azure y Google Cloud para proyectos Web3, subrayando que » «una verdadera descentralización del 100%» sigue siendo difícil de alcanzar. «Siempre hay puntos críticos de centralización en el ecosistema, y ​​un cierto nivel de centralización podría beneficiar a todos», dijo. Schwed sugiere que las empresas Web3 consideren sus proyectos como un actor de amenazas y vean dónde se encuentran las vulnerabilidades potenciales. Otra opción que sugiere es buscar profesionales o los llamados equipos rojos para abordar los problemas de seguridad. Para las empresas que carecen de fondos para contratar a estos profesionales, Schwed sugiere ofrecer acciones en la organización. A pesar del riesgo que representan los ciberdelincuentes y los hackers, Schwed es optimista sobre el futuro de la tecnología blockchain. “Creo que esto [technology] tiene la capacidad de alterar y realmente innovar y brindarnos ese valor como sociedad, y todos en este espacio están y estarán más que dispuestos a ayudar”, concluyó.

Fuente