Los datos sobre hackeos, estafas y exploits ya están disponibles, y 2022 ya es el año más caro para Web3 del que se tiene constancia. Mientras que en 2021 se produjeron pérdidas por valor de 1.300 millones de dólares, a finales de junio de 2022 las pérdidas ascendían ya a 2.000 millones. Extrapolando estas cifras, se prevé que en 2022 se produzca un aumento del 223% en la cantidad perdida por hackeos, estafas y exploits en comparación con 2021. Unas cifras cuanto menos impactantes.
Sin duda, esto será descorazonador para una comunidad de Web3 que aún lucha por encontrar su lugar en el contexto de un mercado bajista. Momentos como éste exigen un análisis sobrio y sensato de cómo se han producido estas pérdidas y cuáles son los próximos pasos para quienes trabajan en la adopción masiva.
El aumento de las pérdidas es descorazonador, pero la experiencia deja claro lo que debe ocurrir para que Web3 logre una adopción masiva. Para ello, es vital que la comunidad tenga claros los retos y las oportunidades de la situación actual: las vulnerabilidades del ecosistema actual, lo que significan para el estado actual de la comunidad y los pasos que hay que dar para alcanzar un futuro seguro y estable de Web3. He aquí cuatro de los pasos más críticos:
1. Entender el papel de Web2 en las infracciones de Web3
Se ha producido un aumento significativo en el número de ataques de phishing, con un incremento de más del 170% en comparación con el trimestre anterior. Este aumento es frustrante por múltiples razones, sobre todo porque los ataques de phishing deberían evitarse fácilmente, ya que incluso los inversores ingenuos saben que las promesas de regalos demasiado buenos para ser verdad de extraños al azar son probablemente fraudulentas.
Sin embargo, a medida que los ataques de phishing se han vuelto más sofisticados, incluso los inversores experimentados han caído en ellos, ya que los atacantes operan cada vez más bajo la apariencia de autenticidad después de obtener acceso a las cuentas oficiales de los proyectos en las redes sociales. Esto ha llevado a que los ataques de phishing sean más lucrativos y tengan una mayor tasa de éxito, ya que los inversores, que de otro modo serían expertos, son engañados para que sigan enlaces aparentemente auténticos.
Un ejemplo de ello es el hackeo de Bored Ape Yacht Club (BAYC) que se produjo en junio después de que un hacker comprometiera la cuenta de Discord del community manager del proyecto. Con acceso al Discord de BAYC, el hacker publicó un enlace a un duplicado del sitio de BAYC que atrajo a los usuarios para que conectaran sus carteras con la promesa de NFT gratis. En total, se perdieron más de 200 ETH de NFT en el ataque.
El aumento de estos ataques pone de manifiesto uno de los puntos clave de la seguridad de Web3: Los proyectos de Web3 se están haciendo dependientes de la infraestructura de Web2 para tener éxito. Como resultado, los hackers son capaces de aprovechar las vulnerabilidades de Web2 para comprometer proyectos Web3 que de otra manera serían seguros.
Esto es especialmente frustrante para los que trabajamos para asegurar el ecosistema de Web3, ya que, por sí solos, los principios de una arquitectura descentralizada que sustentan a Web3 deberían dejar obsoletos los riesgos de punto único de fallo y de centralización. Ver cómo los piratas informáticos explotan estas vulnerabilidades en las plataformas de medios sociales para lanzar el que posiblemente sea el truco más antiguo en el libro de los ataques en Internet es como presenciar el robo de un banco porque alguien dejó la puerta trasera abierta.
Entonces, ¿qué puede hacer la comunidad Web3 al respecto? En primer lugar, cualquier proyecto de Web3 que se apoye en infraestructuras de Web2, como un mercado de sitios web, o Discord y Telegram, necesita fomentar prácticas de descentralización en torno a estos puntos de centralización. En la práctica, esto implica exigir múltiples firmas cada vez que se accede a una cuenta con controles privilegiados y revocar esa autorización después de cada uso. Además, es necesario aplicar las mejores prácticas de seguridad tradicionales de Web2 y soluciones como la seguridad antiphishing. Esto hace que sea mucho más difícil para un hacker ejercer un ataque al estilo de Web2, obtener acceso e infligir daños.
En el otro extremo está la educación. Los usuarios deben tener la máxima precaución cuando se conecten a cualquier plataforma que les pida conectar su cartera u ofrezca regalos. Incluso si parece provenir de una fuente fiable, nunca se puede ser demasiado cuidadoso dada esta nueva clase de ataque de phishing. Verifique siempre la autenticidad de un enlace comparando los mensajes y los sitios web con sus homólogos oficiales y, en caso de duda, póngase en contacto con el equipo del proyecto a través de un correo electrónico oficial. Los proyectos de buena fe estarán tan dispuestos a evitar una posible estafa como tú.
2. Aprenda de los ataques de flashloan
Además de los ataques de phishing, en el segundo trimestre de 2022 continuó el aumento de lo que está demostrando ser uno de los exploits más devastadores en el arsenal de un hacker: el infame ataque flashloan.
Después de ver más pérdidas por ataques flashloan que en cualquier otro trimestre registrado (un asombroso aumento del 2.000% respecto al trimestre anterior), el segundo trimestre pone de manifiesto la urgencia de que los proyectos Web3 y las empresas de seguridad aborden las vulnerabilidades que los hacen posibles.
Los ataques con flashloans rara vez siguen patrones predecibles o estandarizados, y los acontecimientos recientes no son una excepción. Más bien, los datos muestran cómo los hackers encuentran continuamente nuevas formas de aprovechar los flashloans para atacar algún fallo en el código o la arquitectura de un proyecto. Esto significa que los ataques de flashloan suelen adaptarse a las vulnerabilidades específicas de cada proyecto y, como resultado, son uno de los vectores de ataque más difíciles de detectar.
Para poner en perspectiva la urgencia de este problema, se prevé que en 2022 se produzcan pérdidas de 656 millones de dólares por ataques de flashloan. Esto supone un aumento del 78% de las pérdidas con respecto al año anterior, una cifra preocupante en una categoría que tiene como objetivo algunas de las características más innovadoras de Web3. Cambiar esta trayectoria dependerá del esfuerzo colectivo de toda la comunidad de Web3 para redoblar las mejores prácticas de seguridad y para que esas mismas prácticas avancen más allá de sus limitaciones actuales.
Sin embargo, esta dificultad para hacer frente a los ataques de flashloan pone de manifiesto un problema al que se enfrenta el ecosistema Web3 en su conjunto: ¿Cómo pueden los proyectos de Web3 pasar a una posición de anticipación y preparación para las nuevas formas de ataque en lugar de limitarse a responder a ellas a posteriori?
3. Implementar la seguridad de extremo a extremo para una Web3 segura
Los proyectos de Web3 deben introducir la seguridad de extremo a extremo como parte de su postura de seguridad. Esto significa tener auditorías regulares y exhaustivas de los contratos inteligentes, ya que los ataques a menudo se dirigen a nuevas características que quedan fuera del alcance de la auditoría anterior de un proyecto. Más allá de esto, las herramientas de análisis de la cadena de bloques, como el seguimiento de carteras y transacciones y el análisis en la cadena, ayudan a los proyectos Web3 a mantenerse al tanto de su actividad en la cadena. Al proporcionar un seguimiento de la liquidez y la detección de los préstamos relámpago, este tipo de herramientas dan a los proyectos un tiempo vital para anticiparse y responder a un ataque.
Aunque las herramientas ya disponibles son vitales para mantener un ecosistema Web3 seguro, existe una necesidad urgente de aumentar tanto la variedad como el rendimiento de estas herramientas. En última instancia, los métodos de detección de vulnerabilidades deben ser mucho más agudos y granulares que los de los hackers, y los métodos para imaginar vectores de ataque nuevos e inéditos aún más creativos.
4. Identificar el margen de mejora e innovar en consecuencia
Como ocurre con cualquier nueva tecnología y cualquier innovación, especialmente con una que ha crecido a un ritmo tan rápido, las vulnerabilidades en el código son una parte inevitable del crecimiento de Web3. Por ello, es de vital importancia que la seguridad de Web3 crezca y se implemente al mismo tiempo que el crecimiento de la tecnología Web3.
Parte de esto significa desarrollar nuevos y mejores mecanismos de detección y prevención. Pero también implica fomentar la cultura de la transparencia en torno a los proyectos a través de herramientas más humanas, como los controles KYC. Esto no sólo combate los hackeos y los tirones de orejas introduciendo formas de responsabilizar a los equipos de proyecto, sino que ayuda a impulsar la inversión reforzando la confianza de los usuarios en los proyectos.
En última instancia, no podemos saber dónde estará la industria de la Web3 a finales de 2022, ni en qué condiciones estará. Sin embargo, podemos asegurarnos de que el estado de nuestra seguridad colectiva en Web3 mejore impulsando la seguridad de extremo a extremo en los proyectos Web3.
Esto se debe, en gran medida, a que los proyectos Web3 adoptan estos enfoques y, por supuesto, a que los proveedores de seguridad Web3 continúan desarrollando y perfeccionando sus métodos. Sin embargo, la comunidad más amplia de inversores y usuarios de Web3 también puede contribuir a ello tomando más conciencia de la seguridad y utilizándola para invertir en proyectos que hagan todo lo posible por protegerse a sí mismos y a su base de usuarios. Este esfuerzo colectivo es clave para contrarrestar las crecientes pérdidas por hackeos y asegurar un ecosistema Web3 saludable.
Fuente WEB | Editado por CambioDigital OnLine