LAS VEGAS—Las llamadas empresas Web3 han sufrido suficientes colapsos como para mantener un sitio completo («Web3 va simplemente genial(Se abre en una nueva ventana)«) ocupados haciendo una crónica de ellos en múltiples publicaciones por día. Pero, ¿qué ha hecho que esta categoría de sitios que brindan criptomonedas y otros servicios basados en la tecnología de cadena de bloques parezcan tan engañosos?
Una sesión informativa en la conferencia de seguridad de la información de Black Hat aquí describió los aspectos comunes de los recientes hacks Web3 de alto perfil que han resultado en el robo de cientos de millones de dólares en criptomonedas. El factor más importante: la rapidez con la que un atacante puede convertir una vulnerabilidad en dinero.
«Los errores simples pueden tener consecuencias inmediatas y devastadoras», dijo Nathan Hamiel, director senior de investigación de Kudelski Security.(Se abre en una nueva ventana). «Ido en 60 segundos no es solo una película terrible de Nicolas Cage, también es lo que le sucede a todo tu dinero».
No ayuda, continuó Hamiel, que tantos desarrolladores de Web3 carezcan de experiencia y estén construyendo nuevas plataformas a la vista del público. Y las aplicaciones Web3 que unen diferentes cadenas de bloques y criptomonedas competidoras como Ethereum y Solana o integran aplicaciones de cadena de bloques de «contrato inteligente» autoejecutables se vuelven especialmente complejas.
«Cada uno de estos componentes amplía su superficie de ataque», dijo.
Y si bien puede ser tentador señalar y reír, Hamiel instó a los profesionales de seguridad a prestar atención debido al posible daño colateral, las altas recompensas por errores que ahora se ofrecen (en mayo, el servicio de puente de cadena de bloques Wormhole pagó $ 10 millones por la divulgación de una vulnerabilidad(Se abre en una nueva ventana)), y el riesgo de que los atacantes del estado-nación utilicen estas ganancias mal habidas para suscribir actividades hostiles en el mundo real.
Luego, Hamiel guió a la audiencia a través de cuatro hacks recientes de Web3.
Recomendado por Nuestros Editores
-
Un desarrollador de Nomad Bridge, otro servicio de cadena cruzada, tuvo un valor inicializado en cero por error, lo que resultó en la omisión de la autorización de mensajes y la pérdida de unos $ 190 millones en tokens.(Se abre en una nueva ventana). Significado: «Todo lo que tenía que hacer era capturar una transacción exitosa, reemplazar la dirección de la billetera y transmitirla en la red».
-
El servicio de billetera de criptomonedas Slope Wallet permitió el inicio de sesión detallado en una aplicación móvil, lo que resultó en que las claves privadas y los mnemotécnicos de los titulares de la billetera se sincronizaran con un servicio en la nube, después de lo cual los ladrones se llevaron alrededor de $ 4.5 millones.(Se abre en una nueva ventana) en fichas de Solana. Y, señaló Hamiel, los desarrolladores no habían usado los registros detallados para la depuración o el análisis: «Estaban recopilando toda esta información detallada y ni siquiera la miraron».
-
Ronin Network, una «cadena lateral» de Ethereum para el juego Axie Infinity, hizo que un desarrollador fuera víctima de un ataque de phishing en el que se le envió una carta de oferta falsa como un archivo adjunto. Eso permitió a los atacantes, aparentemente el grupo de piratería Lazarus vinculado a Corea del Norte, apoderarse de la mayoría de los nueve nodos «validadores» de Ronin y robar alrededor de $ 622 millones en Ethereum y USD Coin, el robo de criptomonedas más grande hasta la fecha. Ronin notó esto seis días después.
-
Un protocolo basado en Ethereum llamado Beanstalk fue tomado cuando un atacante obtuvo un préstamo rápido para comprar una participación mayoritaria en esta «organización autónoma distribuida» y votó para enviarse $ 182 millones.(Se abre en una nueva ventana). Hamiel notó que el uso del atacante de un protocolo de emergencia requería que esperara 24 horas para obtener las ganancias, pero nadie se dio cuenta.
Un enfoque inmaduro de la seguridad atraviesa muchas de estas historias, dijo Hamiel. Las operaciones de Web3 no contratan expertos en seguridad, intentan generar confianza al hacer que su código sea inmutable como una entrada en una cadena de bloques y, por lo tanto, no se pueda parchear. No se involucran en la mitigación de riesgos básicos, como poner límites a las transferencias de fondos, o creen que una auditoría de seguridad única arreglará las cosas.
En pocas palabras, es una falta de imaginación, una parte fundamental del modelado de amenazas adecuado. Dijo Hamiel: «Estos proyectos no están haciendo las cosas más básicas como preguntar qué sucede cuando algo sale mal».
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.