Blockchain y la batalla de las Finanzas descentralizadas

¿Puede ser un mundo global sin que el Blockchain u otro sistema logre que las operaciones de finanzas descentralizadas sean seguras?

 

Nos gusta pensar que el tema de la globalización es como la mareas y sube o baja según la posición de la Luna. Para los ingleses que todavía no superan el impacto de Brexit la imagen puede no serles tan grata. 

Lo cierto es que, mientras al comienzo de la pandemia se daba a la globalización por muerta, la misma salió de la crisis del Covid-19 con cicatrices, no pocas lesiones. Nada de eso le impide gozar de buena salud. 

La ciberseguridad global, sin duda, es el punto de mayor vulnerabilidad:

• En 2021 US$ 1800 millones de pérdidas analizadas  se debieron a ataques no sofisticados
• 90% de estos incidentes
• Ocurrieron en 65 eventos entre plataformas de Finanzas Descentralizadas, mejor conocidas como DeFi

Así lo ha afirmado un análisis reciente realizado por Dylan Dubief, consultor senior de Seguridad de Bishop Fox, la principal autoridad en seguridad ofensiva.

Esto, si in duda, debilitó la confianza en estos sistemas y puso la lupa en la, hasta hace poco, llamada invulnerabilidad del Blockchain. 

¿Realmente existe tal cosa? 

 

El precio del crecimiento

Dubief destaca que durante 2021 las finanzas descentralizadas crecieron enormemente. Pero un mayor uso también ha tenido ncrementado el número de ataques. No es poca cosa:

• Las carteras se vaciaron
• Los contratos inteligentes fueron despojados  
• Los inversionistas perdieron su dinero

Es por ello que en la empresa y todo el sector se han analizado las nuevas tecnologías, los casos de uso de blockchain, así como los principales hackeo del año pasado.

El mundo DeFi experimentó un promedio de cinco hackeos al mes durante 2021, aunque hubo dos picos de actividad en mayo y diciembre. 

Se ha establecido que estos picos de actividad se debieron a:

1.- El descubrimiento de un nuevo método de explotación o tipo de vulnerabilidad

Una vez dominada una técnica, los atacantes recorren las aplicaciones para encontrar y hackear todas las que son vulnerables antes de que los desarrolladores puedan parchar su código.

2.- Ataques en cadena dirigidos a Smart Contracts que han sido bifurcados varias veces

A menudo, si la aplicación original es vulnerable, todas las bifurcaciones también lo son.

Hallazgos y blindaje del blockchain

El consultor senior de Bishop Fox explicó que, al revisar estos incidentes se encontró que, en la mayoría de los casos el ataque proviene de una vulnerabilidad en los Smart Contracts o en la propia lógica del protocolo.

“Esto no es sorprendente para una tecnología reciente que puede carecer de cierta retrospectiva técnica sobre la aplicación de medidas de seguridad”, señaló Dubief. 

Señaló también que otro vector importante respecto a estos incidente fue que los monederos y sus claves privadas fueron comprometidas. 

Por último, entre estos ataques se encontraba la famosa estafa del tirón o de la salida, en la que el atacante es interno o se encuentra en el origen del proyecto y se conforma con tomar el dinero y salir corriendo.

Entonces, ¿son DeFi y el Blockchain realmente un campo de batalla peligroso?

DD: Podemos decir sin dudar que el DeFi es actualmente un objetivo apetecible que atrae a los ladrones que buscan grandes y rápidas ganancias. 

Esta observación es obvia dada la juventud de esta tecnología y el hecho de que todo gira en torno al dinero.

¿Un blockchain público no monetizado que permita la gestión de imágenes de vigilancia tendría el mismo atractivo para estos atacantes? Probablemente no. 

Sin duda, sería el objetivo de los grupos criminales que buscan falsificar registros y ocultar información, pero no tendría ningún atractivo financiero, lo que reduciría el riesgo constante de un ataque devastador desde todos los ángulos.

Frente a esta realidad, las recomendaciones son las tradicionales propias del sentido común:

1.- Ser fanáticos del control

Es preferible llegar tarde, dudar y estar neurótico repitiendo una prueba tres veces–que confiarse y perderlo todo en unos minutos.

Los usuarios deben comprobar la estrategia de seguridad de los proyectos en los que quieren empezar: una vez perdido el dinero, es demasiado tarde.

2.- No fiarse de nadie

No se sugiere que uno se convierta en paranoico disociado. 

En ciberseguridad, se debe aplicar el principio de confianza cero: se puede confiar en un amigo o en un familiar, pero aunque uno pueda protegerse, nunca podrá estar seguro de que su amigo no será vulnerable o estará comprometido algún día. 

Es profundamente erróneo que un sistema crítico o un conjunto de datos importantes alineen su seguridad basándose únicamente en la posesión de una clave privada. 

Cuanto mayor sea el riesgo, mayor será la necesidad de añadir capas de seguridad para evitar que un atacante consiga sus objetivos. Siempre hay que asumir que una clave se verá comprometida en algún momento; por lo tanto, depende de uno asegurarse de limitar el impacto de esa pérdida.

3.- Invertir sólo lo que uno pueda perder

Nunca está de más decirlo: no hay que invertir el dinero que se necesita para vivir.

Invertir en DeFi es poner recursos en un sistema financiero incipiente que aún no ha aprendido de sus errores. 

Un día u otro, uno será inevitablemente víctima de este sistema.