\n<\/p>\n
LAS VEGAS\u2014Las llamadas empresas Web3 han sufrido suficientes colapsos como para mantener un sitio completo (\u00abWeb3 va simplemente genial(Se abre en una nueva ventana)<\/span>\u00ab) ocupados haciendo una cr\u00f3nica de ellos en m\u00faltiples publicaciones por d\u00eda. Pero, \u00bfqu\u00e9 ha hecho que esta categor\u00eda de sitios que brindan criptomonedas y otros servicios basados \u200b\u200ben la tecnolog\u00eda de cadena de bloques parezcan tan enga\u00f1osos?<\/p>\n Una sesi\u00f3n informativa en la conferencia de seguridad de la informaci\u00f3n de Black Hat aqu\u00ed describi\u00f3 los aspectos comunes de los recientes hacks Web3 de alto perfil que han resultado en el robo de cientos de millones de d\u00f3lares en criptomonedas. El factor m\u00e1s importante: la rapidez con la que un atacante puede convertir una vulnerabilidad en dinero.<\/p>\n \u00abLos errores simples pueden tener consecuencias inmediatas y devastadoras\u00bb, dijo Nathan Hamiel, director senior de investigaci\u00f3n de Kudelski Security.(Se abre en una nueva ventana)<\/span>. \u00abIdo en 60 segundos<\/em> no es solo una pel\u00edcula terrible de Nicolas Cage, tambi\u00e9n es lo que le sucede a todo tu dinero\u00bb.<\/p>\n No ayuda, continu\u00f3 Hamiel, que tantos desarrolladores de Web3 carezcan de experiencia y est\u00e9n construyendo nuevas plataformas a la vista del p\u00fablico. Y las aplicaciones Web3 que unen diferentes cadenas de bloques y criptomonedas competidoras como Ethereum y Solana o integran aplicaciones de cadena de bloques de \u00abcontrato inteligente\u00bb autoejecutables se vuelven especialmente complejas. <\/p>\n \u00abCada uno de estos componentes ampl\u00eda su superficie de ataque\u00bb, dijo. <\/p>\n Y si bien puede ser tentador se\u00f1alar y re\u00edr, Hamiel inst\u00f3 a los profesionales de seguridad a prestar atenci\u00f3n debido al posible da\u00f1o colateral, las altas recompensas por errores que ahora se ofrecen (en mayo, el servicio de puente de cadena de bloques Wormhole pag\u00f3 $ 10 millones por la divulgaci\u00f3n de una vulnerabilidad(Se abre en una nueva ventana)<\/span>), y el riesgo de que los atacantes del estado-naci\u00f3n utilicen estas ganancias mal habidas para suscribir actividades hostiles en el mundo real.<\/p>\n Luego, Hamiel gui\u00f3 a la audiencia a trav\u00e9s de cuatro hacks recientes de Web3.<\/p>\n Un desarrollador de Nomad Bridge, otro servicio de cadena cruzada, tuvo un valor inicializado en cero por error, lo que result\u00f3 en la omisi\u00f3n de la autorizaci\u00f3n de mensajes y la p\u00e9rdida de unos $ 190 millones en tokens.(Se abre en una nueva ventana)<\/span>. Significado: \u00abTodo lo que ten\u00eda que hacer era capturar una transacci\u00f3n exitosa, reemplazar la direcci\u00f3n de la billetera y transmitirla en la red\u00bb.<\/p>\n<\/li>\n El servicio de billetera de criptomonedas Slope Wallet permiti\u00f3 el inicio de sesi\u00f3n detallado en una aplicaci\u00f3n m\u00f3vil, lo que result\u00f3 en que las claves privadas y los mnemot\u00e9cnicos de los titulares de la billetera se sincronizaran con un servicio en la nube, despu\u00e9s de lo cual los ladrones se llevaron alrededor de $ 4.5 millones.(Se abre en una nueva ventana)<\/span> en fichas de Solana. Y, se\u00f1al\u00f3 Hamiel, los desarrolladores no hab\u00edan usado los registros detallados para la depuraci\u00f3n o el an\u00e1lisis: \u00abEstaban recopilando toda esta informaci\u00f3n detallada y ni siquiera la miraron\u00bb. <\/p>\n<\/li>\n Ronin Network, una \u00abcadena lateral\u00bb de Ethereum para el juego Axie Infinity, hizo que un desarrollador fuera v\u00edctima de un ataque de phishing en el que se le envi\u00f3 una carta de oferta falsa como un archivo adjunto. Eso permiti\u00f3 a los atacantes, aparentemente el grupo de pirater\u00eda Lazarus vinculado a Corea del Norte, apoderarse de la mayor\u00eda de los nueve nodos \u00abvalidadores\u00bb de Ronin y robar alrededor de $ 622 millones en Ethereum y USD Coin, el robo de criptomonedas m\u00e1s grande hasta la fecha. Ronin not\u00f3 esto seis d\u00edas despu\u00e9s.<\/p>\n<\/li>\n Un protocolo basado en Ethereum llamado Beanstalk fue tomado cuando un atacante obtuvo un pr\u00e9stamo r\u00e1pido para comprar una participaci\u00f3n mayoritaria en esta \u00aborganizaci\u00f3n aut\u00f3noma distribuida\u00bb y vot\u00f3 para enviarse $ 182 millones.(Se abre en una nueva ventana)<\/span>. Hamiel not\u00f3 que el uso del atacante de un protocolo de emergencia requer\u00eda que esperara 24 horas para obtener las ganancias, pero nadie se dio cuenta. <\/p>\n<\/li>\n<\/ul>\n Un enfoque inmaduro de la seguridad atraviesa muchas de estas historias, dijo Hamiel. Las operaciones de Web3 no contratan expertos en seguridad, intentan generar confianza al hacer que su c\u00f3digo sea inmutable como una entrada en una cadena de bloques y, por lo tanto, no se pueda parchear. No se involucran en la mitigaci\u00f3n de riesgos b\u00e1sicos, como poner l\u00edmites a las transferencias de fondos, o creen que una auditor\u00eda de seguridad \u00fanica arreglar\u00e1 las cosas.<\/p>\n En pocas palabras, es una falta de imaginaci\u00f3n, una parte fundamental del modelado de amenazas adecuado. Dijo Hamiel: \u00abEstos proyectos no est\u00e1n haciendo las cosas m\u00e1s b\u00e1sicas como preguntar qu\u00e9 sucede cuando algo sale mal\u00bb.<\/p>\n Matricularse en Vigilancia de la seguridad<\/strong> bolet\u00edn de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.<\/p>\n Este bolet\u00edn puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un bolet\u00edn informativo indica su consentimiento a nuestros T\u00e9rminos de uso y Pol\u00edtica de privacidad. Puede darse de baja de los boletines en cualquier momento.<\/p>\n<\/p><\/div>\n<\/div>\n<\/div>\nRecomendado por Nuestros Editores<\/h3>\n<\/div>\n<\/div>\n
\n
\u00bfTe gusta lo que est\u00e1s leyendo?<\/h4>\n