La cantidad de dinero perdida por hackeos y estafas alcanzó los 685 millones de dólares en el tercer trimestre de 2023, lo que eleva las pérdidas en lo que va de a?o a 1.400 millones de dólares.
El informe trimestral recopilado por la plataforma de recompensas por fallos Immunefi de Web3 muestra que pocas áreas de las criptomonedas son inmunes a los ataques y, aunque la seguridad de los monederos personales es una cosa, es a nivel de plataforma donde se producen la mayoría de los ataques.
La mayor parte de la suma del tercer trimestre la perdieron dos proyectos concretos: Mixin Network, una red transaccional para activos digitales, y Multichain, un protocolo de enrutamiento entre cadenas.
Estos dos incidentes supusieron pérdidas de 200 y 126 millones de dólares respectivamente, lo que representa el 47,5% de todas las pérdidas sufridas durante el tercer trimestre.
Las pérdidas del tercer trimestre representan un aumento del 59,9% respecto a los 428,7 millones de dólares perdidos en el segundo.
Y el número de incidentes notificados también ha aumentado hasta 76, frente a los 30 del tercer trimestre del a?o pasado, lo que representa un incremento interanual del 153%.
Entre la financiación descentralizada (DeFi) y la financiación centralizada (CeFi), la DeFi siguió siendo el principal objetivo de la mayoría de los exploits, con un 72,9%, frente a la CeFi, con un 27,1% de las pérdidas totales.
Immunefi también se?aló que los actores respaldados por el Estado desempe?aron un papel crucial, ya que supuestamente estuvieron detrás de varios casos este trimestre. Su especial atención a CeFi provocó un fuerte aumento de las pérdidas en este sector.
A lo largo del trimestre, el grupo Lazarus, financiado por el Estado norcoreano, ha orquestado presuntamente ataques de gran repercusión en varias plataformas, entre ellas CoinEx, de la que se llevaron 70 millones de dólares, y Alphapo, de la que robaron 60 millones.
El grupo también habría atacado Stake por 41,3 millones de dólares y CoinsPaid por 37,3 millones. En total, se acusa al grupo de 208,6 millones de dólares, es decir, el 30% de las pérdidas del tercer trimestre.
El impacto de los hackeos de criptomonedas en la adopción de Web3
A pesar del creciente número de hackeos y estafas de criptomonedas, Web3 y las criptomonedas son tecnologías innatamente muy útiles cuyo objetivo es dar a los usuarios el control sobre sus activos, así como el acceso a transacciones ilimitadas y seguras.
Esta visión es positiva y ha atraído a muchos usuarios e inversores. Sin embargo, el ritmo al que el público está adoptando Web3 es limitado y se ve muy afectado por los informes y temores fundados de hackeos de criptomonedas.
Algunas de estas vulnerabilidades incluyen errores en el código de contratos inteligentes, sistemas de almacenamiento descentralizados comprometidos y ataques dirigidos a usuarios individuales y personas con acceso privilegiado a través de phishing e ingeniería social, entre otros.
En la mayoría de los casos, la seguridad de los activos de un usuario se aborda sobre todo desde el punto de vista del propietario y de lo que debe hacer para proteger sus activos. Sin embargo, la mayoría de los ataques se producen en la plataforma que gestiona los fondos de muchos usuarios y ocurren con menos frecuencia a nivel individual.
Por ello, la seguridad debe priorizarse y abordarse desde el principio a nivel de la plataforma antes de que el propietario haga esfuerzos adicionales para salvaguardar los activos.
?Qué pueden hacer mejor los criptoproyectos?
Las plataformas pueden tomar varias medidas para proporcionar más seguridad a los activos de sus usuarios. Esto, a su vez, ganará la confianza de los usuarios e inversores y fomentará una mayor adopción de cripto y web3.
Auditorías
La base de las auditorías suele ser el contrato inteligente o cualquier código que construya la infraestructura de la plataforma. Este código es propenso a errores y lagunas que pueden explotarse para acceder a los fondos de los usuarios.
Los proyectos y plataformas de criptomonedas deben asegurarse de que su código está libre de errores y vulnerabilidades desde el principio. Esto puede garantizarse mediante auditorías que examinen cada línea de código, su función y las posibles formas de eludirlas, identificando así las vulnerabilidades.
Una vez realizada una auditoría en profundidad, es importante que los resultados transparentes se hagan públicos para que los usuarios, la comunidad y los inversores puedan evaluarlos. Estos resultados también deben incluir cualquier vulnerabilidad encontrada, así como lo que se ha hecho para solucionarla. Esto aumenta la confianza entre la industria y sus usuarios.
Sin embargo, como demuestran las diversas plataformas DeFi que han sido auditadas y luego comprometidas, una sola auditoría de seguridad es insuficiente. Por ello, deben realizarse nuevas auditorías cada vez que se modifique el código.
Esto ayudará a garantizar que no surjan nuevos problemas. A medida que los equipos crean e implementan contratos inteligentes, es crucial adoptar un enfoque más centrado en la seguridad, ya que incluso un cambio menor en el código puede tener consecuencias imprevistas.
Programas de recompensas por fallos
Los programas de recompensas por fallos y la divulgación responsable son cruciales para asegurar el espacio Web3, ya que animan a los hackers éticos a encontrar vulnerabilidades para que los desarrolladores puedan corregirlas de forma proactiva.
Sin embargo, en el pasado, las plataformas de criptomonedas han rechazado la posibilidad de pagar recompensas por fallos y posteriormente han sufrido pérdidas por la explotación de vulnerabilidades que los hackers éticos habían identificado.
Trabajar con hackers de sombrero blanco a través de programas de recompensas por fallos es un movimiento estratégico que revela cualquier vulnerabilidad y muestra la dedicación del proyecto a asegurar los activos de sus usuarios a toda costa.
Supervisión operativa
Incluso con auditorías frecuentes y periódicas, los proyectos deben mantener una conciencia operativa y de seguridad continua para detectar a tiempo cualquier actividad sospechosa. Tales actividades podrían incluir un repentino aumento del uso de una determinada cuenta, la interacción del sistema con direcciones incluidas en listas negras, así como propuestas de gobernanza presentadas utilizando préstamos flash.
Al vigilar las cuentas privilegiadas y la relación entre los sistemas de la plataforma y la cadena de bloques, el proyecto podrá identificar los primeros indicios de un ataque, como transacciones inusualmente grandes o muchas transacciones hacia una dirección determinada.
El proyecto también podrá mitigar las pérdidas que podrían sufrirse salvando los activos restantes en caso de ataque.
Educación
Parte del aumento de la confianza que la comunidad de criptomonedas y los inversores tienen en las plataformas de criptomonedas y su capacidad para mantener sus activos seguros es asegurarles que las personas con acceso privilegiado a sus fondos saben cómo asegurar sus activos.
Esto requiere que las personas sean educadas sobre cómo identificar posibles técnicas de estafa como el phishing y la ingeniería social para asegurarse de que no caen presa de tales trampas. Las plataformas de criptomonedas también deben asegurarse de que sus empleados están al día de las últimas técnicas de pirateo para garantizar que también aumentan su vigilancia.
Conclusión
Si queremos una adopción generalizada de Web3 y que la criptomoneda se utilice en el comercio minorista o como depósito de valor, es necesario garantizar la seguridad de los fondos.
Los defensores de las criptomonedas se?alan con frecuencia las ventajas de éstas sobre, por ejemplo, los bancos tradicionales, y es un argumento convincente que tiene mucho de cierto.
Pero hasta que los monederos, los intercambios y las plataformas defiendan el mismo nivel de seguridad y confianza que podríamos esperar de una cuenta bancaria, no podemos esperar que la gente de la calle se apresure a adoptar estas nuevas formas de dinero. El argumento convincente para la adopción llegará cuando estos informes trimestrales de hackeos empiecen a perder importancia.
Hasta entonces, los hackeos seguirán siendo noticia.