Artículo por: SafePal

El 'bosque oscuro', un concepto que proviene de la sociología cósmica de (El Problema de los Tres Cuerpos), es la descripción más cruda del actual campo de seguridad de Web3: la cadena ofrece suficiente espacio para la imaginación y la innovación, pero es como un 'bosque oscuro', lleno de crueles juegos de suma cero, donde los inversores comunes a menudo desempeñan el papel de 'presas' en un entorno de asimetría de información.

El 16 de noviembre, varios usuarios de la comunidad informaron que el terminal de transacciones en cadena DEXX había sido robado. El análisis posterior reveló que la gestión de claves privadas de DEXX tenía fallas evidentes, e incluso se transmitían y almacenaban en texto claro. Hasta ahora, las pérdidas totales no confirmadas superan los 20 millones de dólares.

En este contexto, cómo los usuarios comunes pueden mejorar su mecanismo de autoprotección en la cadena se ha convertido en un tema de gran interés. Veronica, cofundadora y CEO de SafePal, también participó en el evento 𝕏 Space organizado por 137Labs titulado 'Reflexiones sobre la seguridad provocadas por el incidente DEXX: cómo evitar los 'trampas' en la inversión en criptomonedas', discutiendo el incidente de seguridad de DEXX junto a Andy, fundador de BlockSec, el trader veterano Club Brother y OneOne, investigador de 137Labs, para proporcionar consejos prácticos de seguridad a los inversores en criptomonedas.

Este artículo es un resumen de las valiosas intervenciones de los invitados en el Twitter Space, organizado para el disfrute de los lectores.

El 'peso insostenible' de las herramientas Bot de carrera

En la inversión en criptomonedas, a menudo es difícil equilibrar el alto rendimiento y la seguridad absoluta. Herramientas como DEXX y Unibot han ganado popularidad entre los usuarios gracias a funciones como el seguimiento de un solo clic y la rápida transferencia de fondos, pero esta conveniencia se basa en una arquitectura centralizada que requiere que los usuarios autoricen fondos o proporcionen acceso a la cartera, lo que aumenta significativamente el riesgo de activos.

Sin embargo, los usuarios generalmente subestiman los requisitos de seguridad de estas herramientas de comercio. Tienden a confiar en los grandes intercambios, pero ignoran los riesgos de plataformas de herramientas más pequeñas. El incidente DEXX expuso fallas fatales en la gestión de claves privadas de algunas herramientas de comercio: una verdadera 'cartera no custodiada' debe asegurar que las claves privadas se almacenen solo en el dispositivo del usuario y no depender de servidores centralizados. Incluso si las claves privadas están cifradas, la falta de soporte técnico para protección de seguridad a nivel de memoria (como TEE o enclave) aún no puede evitar la posibilidad de robo.

Al mismo tiempo, el método de ataque en esta ocasión fue complejo. Los hackers dispersaron y transfirieron fondos para aumentar la dificultad de rastreo, lo que no solo hizo que recuperar los fondos fuera más difícil, sino que también sugiere que eventos similares en el futuro pueden ser aún más complejos y difíciles de prevenir. Esto ha dado lugar a dos posibilidades: o la plataforma es vulnerada debido a fallas técnicas, o hay complicidad interna o infiltración profunda, y si es lo último, el riesgo futuro podría ser aún más grave.

Los datos de Dune muestran que, actualmente, los cinco bots con mayor volumen de transacciones son: Trojan, BonkBot, Maestro, Banana Gun y Sol Trading Bot, todos con un volumen de transacciones de más de 100 millones de dólares en los últimos 7 días y más de 300,000 usuarios acumulados. Por ello, la mentalidad de 'o ganas mucho, o pierdes todo' ha llevado a la mayoría de los usuarios a ignorar los enormes riesgos potenciales.

Fuente de la imagen: Dune

Veronica cree que casi todas estas herramientas de 'carrera' pueden enfrentar riesgos de seguridad similares. Estos bots pueden realizar transacciones en cadena ultra rápidas y evitar tener que firmar manualmente cada vez porque sacrifican parte de la seguridad y las características no custodiadas.

Normalmente, ya sea que se utilicen carteras de hardware, carteras de aplicaciones o extensiones de navegador, los usuarios deben gastar unos segundos en firmar manualmente la transacción. Sin embargo, para mejorar la velocidad de transacción y optimizar la experiencia del usuario, estos bots a menudo comprometen la seguridad de las claves privadas al mínimo para lograr una ejecución más rápida de las transacciones.

Este diseño no es completamente incorrecto y no se puede decir simplemente que todos estos proyectos son inseguros. Sin embargo, realmente exige un alto nivel de capacidad de defensa de seguridad por parte del equipo de desarrollo. Para lograr una experiencia fluida, si el equipo de desarrollo no puede garantizar una sólida capacidad de defensa y ataque en seguridad, una vez que se produzca un ataque, las consecuencias pueden ser extremadamente graves, y tanto los usuarios como los proyectos pueden enfrentar grandes pérdidas.

Además, la mayoría de los bots de transacciones actuales enfrentan un riesgo de seguridad significativo: para facilitar el comercio automatizado, generalmente generan y almacenan claves privadas para cada usuario. Aunque este método facilita el seguimiento automatizado de las transacciones, también conlleva un alto riesgo de seguridad. Si un atacante logra penetrar la plataforma, todas las claves privadas almacenadas de los usuarios podrían ser filtradas, lo que resultaría en pérdidas de activos.

Fuente de la imagen: página de 'Gestión de Carteras' de DEXX

Sin embargo, en realidad existe una estructura de transacciones más segura que puede lograr comercio automatizado sin usar las claves privadas del usuario:

Esta arquitectura se basa en contratos inteligentes. Al crear una 'cuenta PDA' asociada a las cuentas de los usuarios, se pueden realizar transacciones sin la firma de la clave privada del usuario. La plataforma puede ejecutar instrucciones de transacción a través de una 'cuenta de operación' restringida, pero los permisos de esta cuenta de operación están estrictamente controlados y solo pueden realizar operaciones de transacción, sin poder mover libremente los activos del usuario.

Este diseño impulsado por contratos inteligentes puede mejorar significativamente la seguridad, ya que las claves privadas del usuario siempre están bajo su control y no se almacenan en servidores centralizados. Aunque este diseño es más complejo y requiere mayores capacidades de ingeniería y tecnología de seguridad por parte del equipo, es completamente viable y más seguro.

Actualmente, la mayoría de los usuarios no son conscientes de las diferencias entre estos dos modelos de diseño, o se ven tentados a ignorar la seguridad en busca de conveniencia. Pero a medida que aumentan los incidentes de seguridad, tanto los usuarios como los equipos de desarrollo pueden empezar a valorar más las arquitecturas más seguras. Esta avanzada solución de diseño tiene el potencial de volverse progresivamente común en el futuro, reduciendo la ocurrencia de eventos como el de DEXX.

Desde la autorización de transacciones hasta la protección de claves privadas en la cadena de seguridad Web3

OneOne considera que actualmente se pueden dividir los riesgos de seguridad en la cadena en dos grandes categorías, que abarcan desde la autorización de transacciones hasta la protección de claves privadas.

La primera forma común de ataque es la 'engaño de aprobación'. Por ejemplo, enviar una pequeña cantidad de activos criptográficos o lanzar NFT a través de un 'ataque de polvo' para inducir a los usuarios a hacer clic y autorizar transacciones. Esta operación puede permitir que el atacante obtenga los permisos de la cartera del usuario, robando así los activos del usuario (incluyendo criptomonedas y NFT). Los usuarios deben manejar con precaución los tokens y airdrops de origen desconocido y evitar autorizar fácilmente.

La clave privada robada generalmente ocurre de varias maneras:

  • La primera forma es el 'ataque de malware', donde algunos atacantes pretenden invitar a los usuarios a probar nuevos proyectos y engañan a los usuarios para que descarguen archivos ejecutables que contienen virus troyanos. Una vez infectados, las claves privadas y las contraseñas de las cuentas del usuario pueden ser fácilmente robadas.

  • La segunda forma es el 'portapapeles'. Los atacantes obtienen acceso al portapapeles del usuario a través de sitios web de phishing. Cuando los usuarios copian y pegan su clave privada, esta información sensible puede ser interceptada y utilizada por los atacantes.

  • Además, hay casos de 'ataques de control remoto', como el uso de software malicioso para controlar la computadora del usuario, e incluso robar directamente la clave privada mientras el usuario descansa. Por ejemplo, los usuarios de airdrops suelen utilizar navegadores 'fingerprint' que normalmente involucran funciones de almacenamiento en la nube. Si estos son vulnerados, los activos del usuario son fáciles de robar, y muchos usuarios que utilizan estas herramientas no han configurado la verificación en dos pasos (2FA), lo que aumenta aún más el riesgo.

  • Por último, también existe el 'riesgo del método de entrada'. Muchos usuarios prefieren usar métodos de entrada inteligentes, pero estos pueden recopilar los datos de entrada del usuario y almacenarlos en la nube, lo que también aumenta la posibilidad de filtración de claves privadas. Se sugiere a los usuarios que utilicen preferiblemente el método de entrada del sistema, que aunque tiene menos funciones, es más seguro.

En general, los usuarios deben tomar medidas adicionales de seguridad al realizar transacciones en la cadena, especialmente al utilizar aplicaciones DeFi o herramientas de comercio. La gestión de autorizaciones es un problema que debe ser altamente considerado: dado que el mecanismo de Ethereum requiere que los usuarios otorguen autorización de tokens a contratos inteligentes, los atacantes pueden aprovechar este mecanismo de autorización para realizar operaciones maliciosas. Por lo tanto, los usuarios deben revisar regularmente la lista de autorizaciones de su cartera y revocar rápidamente las autorizaciones que ya no sean necesarias, especialmente aquellas autorizaciones tempranas que podrían haber sido olvidadas, para reducir riesgos.

Además, los usuarios deben revisar las medidas de seguridad de la plataforma al elegir plataformas DeFi, incluyendo si tienen informes de auditoría completos, monitoreo de seguridad automatizado continuo, y si la plataforma actualiza y repara vulnerabilidades de manera regular. Al usar bots de comercio, se recomienda a los usuarios diversificar la gestión de activos y no almacenar grandes sumas de dinero en cuentas controladas por robots de comercio. Después de obtener ganancias, los fondos deben ser transferidos a una cartera más segura lo antes posible para reducir posibles pérdidas.

Club Brother indica que, como trader, es crucial familiarizarse con las herramientas de comercio y los mecanismos de las plataformas. En el actual entorno de comercio de perros callejeros, muchas personas solo se centran en la emoción de las subidas y bajadas, ignorando los riesgos de seguridad de las herramientas de comercio. Los usuarios deben establecer alertas de seguridad, como advertencias de vaciado de piscinas o liquidaciones, para controlar el riesgo en todo momento.

Veronica enfatizó un principio simple pero importante: siempre hay compromisos entre perseguir eficientemente las ganancias y garantizar la seguridad total. Por lo tanto, el consejo más crucial es mantener un buen aislamiento de fondos. Si descubres que estás ansioso y no puedes dormir debido a que has invertido demasiado, revisando tu teléfono con frecuencia, eso podría indicar que tu asignación de fondos ha superado tu capacidad de riesgo tolerable.

¿Qué herramientas prácticas de consulta de seguridad en la cadena existen?

Veronica recomienda a los usuarios utilizar herramientas de seguridad integradas en carteras no custodiadas como SafePal, como la función de revisión periódica de autorizaciones: los usuarios pueden escanear todos sus registros de autorización en múltiples cadenas y revocar de un solo clic aquellas autorizaciones innecesarias para reducir el riesgo de ser aprovechados por hackers.

Fuente de la imagen: función 'Approval Manager' de SafePal

Además, los estafadores a menudo disfrazan las direcciones de transferencia de los usuarios a través de pequeñas transferencias para engañarles. Actualmente, las carteras líderes como OKX Web3 y SafePal han añadido servicios de interceptación de transacciones de riesgo para 'ataques de inicio y fin'. Al mismo tiempo, el uso de una cartera de hardware junto con una frase de contraseña (Passphrase) es una función poco conocida pero muy práctica, especialmente adecuada para usuarios con múltiples cuentas de comercio:

La frase de contraseña como la 13ª palabra, combinada con las 12 palabras de recuperación originales, genera una nueva dirección de cartera. Incluso si alguien obtiene tus palabras de recuperación, sin la frase de contraseña no podrá acceder a los activos, lo que significa que los usuarios pueden crear múltiples cuentas de cartera de esta manera para garantizar la seguridad.

Este método no solo aumenta la seguridad de la clave privada, sino que también permite a los usuarios gestionar sus activos de manera flexible entre múltiples cuentas, y la frase de contraseña puede existir solo en la mente del usuario, lo que mejora aún más la seguridad.

Andy también enfatiza que muchas veces los usuarios enfrentan eventos de seguridad no solo por los riesgos inherentes de los proyectos, sino también por la falta de hábitos de seguridad. Incluso si los usuarios son conscientes de que tienen muchos activos criptográficos o saben que invertir y comerciar conlleva riesgos, a menudo sus malos hábitos los exponen a peligros.

Se sugiere a los usuarios mantener una conciencia y hábitos de seguridad aislados, como almacenar grandes activos en una cartera fría que solo se use para interacciones y no para transferencias directas de fondos, mientras que se utiliza un teléfono dedicado (como un iPhone) para gestionar activos criptográficos, usándolo solo para transacciones de criptomonedas o gestión de claves privadas, sin instalar otro software no relacionado con el comercio o realizar otras actividades en este dispositivo, lo que puede reducir significativamente el riesgo de filtración de claves privadas.

Conclusión

El incidente de seguridad de DEXX revela el dilema central en el campo de las herramientas de comercio en cadena: ¿cómo encontrar un equilibrio entre conveniencia y seguridad?

Al perseguir transacciones eficientes y una buena experiencia de usuario, el diseño de seguridad de la plataforma no puede convertirse en una víctima. Ya sea el almacenamiento centralizado de claves privadas o la falta de protección a nivel de memoria, ambas situaciones exponen los activos de los usuarios a altos niveles de riesgo.

'Siempre hay compromisos entre altos rendimientos y seguridad absoluta'. Para los inversores, entender la lógica de riesgo detrás de las herramientas de comercio y cultivar buenos hábitos de seguridad es fundamental para atravesar el 'bosque oscuro' de la cadena. En este ecosistema descentralizado y lleno de incertidumbre, solo al tener el control de tus claves privadas puedes realmente controlar tus activos y promover un desarrollo más saludable de todo el ecosistema en cadena.