A medida que el sector DeFi continúa atrayendo dinero y usuarios, los malos actores de todo el mundo continúan viéndolo como un objetivo atractivo que está listo para ser elegido y mal protegido.
Durante los últimos meses, he estado al tanto de algunas de las vulnerabilidades más notables de los protocolos DeFi, y al menos siete de ellas parecen ser el resultado de fallas en los contratos inteligentes únicamente.
Por ejemplo, los piratas informáticos atacaron y robaron Wormhole, robando más de $ 300 millones, Qubit Finance ($ 80 millones), Meter ($ 4.4 millones), Deus ($ 3 millones), TreasureDAO (más de 100 NFT) y, por último, Agave y Hundred Finance que, juntos , perdió $ 11 millones en total. Todos estos ataques resultaron en el robo de cantidades bastante importantes de dinero, causando daños importantes a los proyectos.
Muchos de los protocolos objetivo han visto una devaluación de su criptomoneda, desconfianza por parte de los usuarios, críticas sobre la seguridad de DeFi y contratos inteligentes y consecuencias negativas similares.
¿Qué tipos de exploits ocurrieron durante los ataques?
Naturalmente, cada uno de estos casos es único y se utilizaron diferentes tipos de exploits para abordar cada proyecto individual, según sus vulnerabilidades y fallas. Los ejemplos incluyen errores lógicos, ataques de reingreso, ataques flashloan con manipulación de precios y más. Creo que este es el resultado de que los protocolos DeFi se vuelven más complejos y, a medida que lo hacen, la complejidad del código hace que sea cada vez más difícil eliminar todas las fallas.
Además, noté dos cosas al analizar cada uno de estos incidentes. El primero es que los piratas informáticos lograron salirse con la suya con cantidades masivas cada vez: millones de dólares en criptografía.
Este "día de pago" da a los piratas informáticos un incentivo para dedicar el tiempo necesario a estudiar los protocolos, incluso meses a la vez, ya que saben que la recompensa valdrá la pena. Eso significa que los piratas informáticos están motivados para pasar mucho más tiempo buscando fallas que los auditores.
Lo segundo que se destacó es que, en algunos casos, los trucos eran en realidad extremadamente simples. Tome el ataque Hundred Finance como ejemplo. El proyecto se vio afectado por un error conocido que normalmente se puede encontrar en las bifurcaciones Compound si se agrega un token al protocolo. Todo lo que el pirata informático debe hacer es esperar hasta que uno de estos tokens se agregue a Hundred Finance. Después de eso, todo lo que se necesita es seguir unos simples pasos para usar el exploit para obtener el dinero.
¿Qué pueden hacer los proyectos DeFi para protegerse?
En el futuro, lo mejor que pueden hacer estos proyectos para protegerse de los malos actores es centrarse en las auditorías. Cuanto más profundo, mejor, y realizado por profesionales experimentados que saben a qué prestar atención. Pero, hay otra cosa que pueden hacer los proyectos, incluso antes de recurrir a las auditorías, y es asegurarse de que tengan una buena arquitectura creada por desarrolladores responsables.
Esto es especialmente importante ya que la mayoría de los proyectos de blockchain son de código abierto, lo que significa que su código tiende a copiarse y reutilizarse. Acelera las cosas durante el desarrollo y el código es gratuito.
El problema es si resulta que tiene fallas y se copia antes de que los desarrolladores originales descubran las vulnerabilidades y las solucionen. Incluso si anuncian e implementan la solución, es posible que quienes la copiaron no vean las noticias y su código siga siendo vulnerable.
¿Cuánto pueden ayudar realmente las auditorías?
Los contratos inteligentes funcionan como programas que se ejecutan en tecnología blockchain. Como tal, es posible que tengan fallas y que contengan errores. Como mencioné antes, cuanto más complejo sea el contrato, mayores serán las probabilidades de que uno o dos defectos se escapen de las revisiones de los desarrolladores.
Desafortunadamente, hay muchas situaciones en las que no existe una solución fácil para corregir estos defectos, por lo que los desarrolladores deben tomarse su tiempo y asegurarse de que el código esté hecho correctamente y que los defectos se detecten de inmediato o al menos lo antes posible.
Aquí es donde entran las auditorías, ya que si prueba el código y documenta adecuadamente el progreso de su desarrollo y las pruebas, puede deshacerse de la mayoría de los problemas desde el principio.
Por supuesto, incluso las auditorías no pueden garantizar al 100 % que no habrá problemas con el código. Nadie puede. No es casualidad que los piratas informáticos necesiten meses para descubrir la vulnerabilidad más pequeña que pueden usar en su beneficio: no se puede crear el código perfecto y hacerlo útil, especialmente cuando se trata de nuevas tecnologías.
Las auditorías reducen la cantidad de problemas, pero el problema real es que muchos de los proyectos que se ven afectados por los piratas informáticos ni siquiera tuvieron ninguna auditoría.
Por lo tanto, cualquier desarrollador y propietario de proyecto que todavía esté en el proceso de desarrollo debe recordar que la seguridad no proviene de pasar una auditoría. Sin embargo, ciertamente comienza allí. Trabaja en tu código; asegúrese de que tenga una arquitectura bien diseñada y que los desarrolladores hábiles y diligentes trabajen en ella.
Asegúrese de que todo esté probado y bien documentado, y utilice todos los recursos a su disposición. Las recompensas de errores, por ejemplo, son una excelente manera de que las personas revisen su código desde el punto de vista de los piratas informáticos, y una nueva perspectiva de alguien que busca una forma de ingresar puede ser invaluable para asegurar su proyecto.
Mensaje invitado por Gleb Zykov de HashEx
Gleb comenzó su carrera en el desarrollo de software en un instituto de investigación, donde obtuvo una sólida formación técnica y de programación, desarrollando diferentes tipos de robots para el Ministerio Ruso de Situaciones de Emergencia.
Más tarde, Gleb aportó su experiencia técnica a la empresa de servicios de TI GTC-Soft, donde diseñó aplicaciones para Android. Pasó a convertirse en el desarrollador principal y, posteriormente, en el CTO de la empresa. En GTC, Gleb lideró el desarrollo de numerosos servicios de monitoreo de vehículos y un servicio tipo Uber para taxis premium. En 2017, Gleb se convirtió en uno de los cofundadores de HashEx, una empresa internacional de consultoría y auditoría de blockchain. Gleb ocupa el cargo de director de tecnología y encabeza el desarrollo de soluciones de cadena de bloques y auditorías de contratos inteligentes para los clientes de la empresa.
Fuente: https://cryptoslate.com/op-ed-the-latest-trends-in-hacker-attacks-and-how-to-deal-with-them/