La industria tecnológica ha tenido sus ojos fijos en la inteligencia artificial, y los profesionales de la ciberseguridad se están alineando para encontrar vulnerabilidades y parchear agujeros de seguridad en plataformas de IA como ChatGPT de OpenAI. Pero la empresa de ciberseguridad blockchain Halborn ha mantenido sus ojos en la pelota, continuando buscando formas de apoyar y asegurar los proyectos Web3.
“Creo que a medida que el ecosistema comience a madurar, comenzaremos a ver una desaceleración de algunos de los errores tontos que muchos proyectos están cometiendo, muchas organizaciones están cometiendo”, dijo el director de operaciones de Halborn, David Schwe. Descifrar en Messari Mainnet. “Esta es una declaración controvertida, pero muchos hackeos son prevenibles”.
Schwed señaló un informe por la firma de seguridad blockchain que dijo que se habían perdido más de $ 5 mil millones en hackeos DeFi entre 2016 y 2022.
“Varios de los hackeos no fueron necesariamente vulnerabilidades en cadena”, dijo Schwe. “Eran seguridad estándar de Web2 que simplemente se vio comprometida o violada debido a prácticas de seguridad deficientes”.
Si bien Schwed señaló la falta de deficiencias de ciberseguridad en algunos proyectos, también reconoció que ciertas infracciones, como los ataques de día cero derivados de tecnología vulnerable, son inevitables. Sin embargo, enfatizó la necesidad de que las empresas estén preparadas.
En ciberseguridad, un Día cero (vulnerabilidad, exploit o ataque) se refiere a una vulnerabilidad del software desconocida para los responsables de parchear o reparar el software. El cero se refiere a la cantidad de tiempo que los desarrolladores tuvieron que abordar para abordar y parchear la vulnerabilidad.
“Si confías en una pieza de tecnología, y hay una vulnerabilidad en esa tecnología que es un día cero, no culparía a esa organización”, dijo Schwe. “Lo que les culparía potencialmente es buscar controles de tipo detective”. Detective mandos están diseñados para encontrar errores o problemas después de que se haya producido la transacción.
“Entonces, si comienzas a ver anomalías en un contrato inteligente, o anomalías en el comportamiento en la cadena, es cuando deberías tener un fuerte comportamiento. Respuesta a incidentes programa, o tener la capacidad de emitir disyuntores dentro de un contrato o poder barrer los fondos en una billetera potencialmente no afectada”.
Los ataques de día cero son solo una de las amenazas potenciales que enfrentan los proyectos DeFi. La semana pasada, el intercambio descentralizado de criptomonedas Balancer fue golpeado por un ataque de denegación de servicio (DNS) que llevó al robo de más de $ 250,000 en fondos.
Desde su inicio, las cadenas de bloques han sido elogiadas por su descentralización, y muchos defensores dicen que piratear cadenas de bloques como Bitcoin y Ethereum es imposible porque estas cadenas están descentralizadas. Pero mientras que la tecnología blockchain puede estar descentralizada, Schwed dijo que las dapps construidas sobre ellas no lo son.
“Desde el momento en que se construye hasta el momento en que se implementa, todavía hay ingenieros que trabajan en todas estas organizaciones que actualizarán los contratos inteligentes”, dijo, y agregó que todavía hay una cierta centralización en el despliegue de contratos inteligentes, su seguridad y monitoreo.
Schwed señaló la dependencia de plataformas como Amazon Web Services (AWS), Azure y Google Cloud para proyectos Web3, subrayando que la “verdadera descentralización del 100%” sigue siendo difícil de alcanzar. “Siempre hay puntos de estrangulamiento de centralización en el ecosistema, y un cierto nivel de centralización podría beneficiar a todos”, dijo.
Schwed sugiere que las empresas de Web3 vean sus proyectos como un actor de amenazas y vean dónde se encuentran las vulnerabilidades potenciales. Otra opción que sugiere es buscar profesionales o los llamados equipos rojos para abordar las preocupaciones de seguridad. Para las empresas que carecen de los fondos para contratar a estos profesionales, Schwed sugiere ofrecer equidad en la organización.
A pesar del riesgo que representan los ciberdelincuentes y los hacks, Schwed es optimista sobre el futuro de la tecnología blockchain.
“Creo que esto [technology] tiene la capacidad de interrumpir y realmente innovar y proporcionarnos tal valor como sociedad, y todos en este espacio lo hacen y estarán más que dispuestos a ayudar”, concluyó.