Hace apenas unos días, el intercambio Velocore perdió alrededor de $10 millones debido a una violación de seguridad en sus cadenas de bloques, lo que pone de relieve la gravedad de las crisis de seguridad que amenazan a la industria de la criptografía.
Por supuesto, este no es el primer incidente de seguridad que escuchamos sobre intercambios centralizados y descentralizados. Muchas tácticas de piratería y no piratería le han robado miles de millones a la industria de la criptografía, especialmente el desastre de 1.400 millones de dólares del año pasado.
Estas violaciones de seguridad han ocurrido y continuarán hasta que los intercambios de criptomonedas dediquen una mayor parte de sus recursos a cubrir puntos ciegos e implementar medidas preventivas.
Actualmente, la mayoría de los ataques a los intercambios de cifrado ocurren a través de una de estas puertas, algunos a intercambios centralizados y otros a DEX:
Contratos inteligentes
Vulnerabilidades encadenadas
Manipulaciones de precios
Errores de codificación y contratos inteligentes defectuosos
A pesar de su naturaleza innovadora, los contratos inteligentes no son infalibles. Uno de los casos más conocidos es el escenario del ataque de reentrada, en el que un atacante puede llamar a una función más de una vez antes de que finalice la primera llamada.
Lo mismo ocurre con los CEX en muchos escenarios, lo que sólo demuestra que todavía hay margen para un impulso de seguridad.
En general, la mayoría de los problemas provienen de estas dos fuentes:
Agujeros de codificación
Cuando se trata de violaciones de seguridad, la gente suele esperar algo mucho más glorioso que un error de codificación. La codificación, aunque es bastante básica, sigue siendo la base de cualquier proyecto criptográfico. Pequeños errores en el código pueden tener un gran impacto en el resultado final. Un buen ejemplo es el ataque DAO de 2016 que hizo perder 50 millones de dólares a manos de los piratas informáticos, sólo por un agujero de seguridad en el código.
Falta de auditoría adecuada
Muchos proyectos se ponen en marcha sin una auditoría exhaustiva por parte de un tercero, lo que los hace más susceptibles a las vulnerabilidades. Un asalto a la red Ronin en 2022 casi destruyó Axie Infinity, robando 173.600 Ethereum y 25,5 millones de USDC, casi 700 millones de dólares.
Vulnerabilidades encadenadas
Existen ventajas y desventajas en la forma en que los intercambios y los protocolos funcionan juntos. Cuantas más funciones añaden, más complicadas son las conexiones que presentan. Una sola infracción en un protocolo puede causar problemas en los demás, algo así como la situación de la manzana podrida.
Crisis de interoperabilidad e integraciones comprometidas
Una falla en un protocolo podría tener un efecto dominó en otros protocolos debido a lo interconectados que están. La violación de Cream Finance de 2021 fue solo un proyecto DeFi más comprometido por actores oportunistas. Los delincuentes robaron activos valorados en más de 130 millones de dólares de otras redes aprovechando un agujero de seguridad en la red Cream Finance.
El mismo escenario puede aplicarse prácticamente a los CEX y su falta de diligencia debida al asociarse con un servicio de liquidez de terceros o carteras y pasarelas de pago inseguras. Por supuesto, el monitoreo centralizado puede amortiguar el daño en muchos casos.
Préstamos flash
Con los préstamos rápidos, los prestatarios no necesitan ofrecer garantías siempre que devuelvan el dinero de una vez. Algunos malos actores han aprovechado los préstamos rápidos para inflar artificialmente los precios en un intercambio y robar dinero de protocolos más débiles que son susceptibles de manipulación.
Si bien el daño a menudo se limita a los DEX, puede conducir a manipulaciones de mercado similares en los CEX, lo que provocará un escrutinio regulatorio y grandes golpes a su reputación.
Manipulaciones de precios
Jugar deslealmente es el truco más básico que existe en cualquier mercado financiero. Los intercambios centralizados y descentralizados no son diferentes. Sufren de muchas maneras, incluyendo:
Pioneros
Los piratas informáticos con buen ojo para obtener ganancias podrían utilizar bots para “adelantarse” (ejecutar sus acuerdos a una tarifa más alta) al detectar los lucrativos en la piscina. Un buen ejemplo es el Merlin DEX. Para obtener el control de los tokens LP, los piratas informáticos irrumpieron en el intercambio y utilizaron una falla en el contrato inteligente. Al bombear tokens falsos al grupo, drenaron los reales del intercambio y abandonaron el intercambio con pérdidas masivas.
Suplantación de identidad y capas
Los falsificadores manipulan los precios del mercado creando una apariencia engañosa de oferta y demanda. Lo hacen colocando órdenes grandes sin intención de ejecutarlas, solo para cancelarlas antes de que se ejecuten. Una táctica similar se conoce como estratificación, donde los operadores colocan múltiples órdenes a diferentes niveles de precios para dar la falsa impresión de una profundidad significativa del mercado.
¿Cuáles son las Soluciones?
Si bien los intercambios de criptomonedas trabajan constantemente para aumentar la seguridad de los usuarios, a veces es difícil mantenerse al día con los piratas informáticos. Pero pueden reforzar su marco con varias medidas:
Auditorías periódicas e incentivos de recompensas por errores
Para encontrar fallas de seguridad en aplicaciones DeFi, como contratos inteligentes, antes de que puedan usarse para malos propósitos, es esencial realizar auditorías exhaustivas del código. Incluso los programadores más experimentados pueden pasar por alto algunas fallas y defectos de seguridad; Las auditorías exhaustivas realizadas por empresas de seguridad externas confiables pueden ayudar.
Los esquemas de recompensas por errores también alientan a los expertos en seguridad y a los piratas informáticos de sombrero blanco a revelar vulnerabilidades, lo cual es crucial para la industria DeFi. Además de reforzar la seguridad después del lanzamiento, estos pasos preparan el terreno para actualizar y mejorar los estándares de seguridad de forma rutinaria.
Ratios de pedido a comercio
Se espera que los comerciantes mantengan una proporción justa entre los pedidos realizados y las transacciones reales, y los CEX tienen la tarea de monitorear y hacer cumplir esta proporción. Después de eso, deben penalizar a las personas que sobrepasan los ratios establecidos entre pedidos y transacciones. Esto evitará que las personas realicen demasiados pedidos sin planificar su ejecución.
Medidas de capa 2
Es posible reducir los precios y el tráfico del gas mediante el uso de tecnologías de Capa 2. Sin embargo, los DEX deben tener cuidado de que estas soluciones no hagan que las actividades en cadena sean inseguras ni abran la puerta a nuevas vulnerabilidades.
Seguro DeFi
Tener un seguro en DeFi es crucial porque protege a los usuarios de perder dinero debido a piratas informáticos, exploits u otros problemas operativos.
Los usuarios pueden estar tranquilos y ver las plataformas DeFi como alternativas atractivas a los sistemas bancarios convencionales, ya que brindan protección contra una variedad de amenazas.
Transparencia e informes
Los comerciantes pueden discernir mejor entre comportamientos justos e injustos si tienen acceso a información y conocimientos completos del mercado. Hacer posible que los comerciantes revelen de forma anónima manipulaciones del mercado o actividades cuestionables.
Los delincuentes detrás de estas operaciones siempre están un paso por delante de las bolsas en lo que respecta a innovación tecnológica. Para proteger a sus clientes de malos actores, estas plataformas deben desarrollar e implementar continuamente nuevas medidas de seguridad.
La publicación Fortificación del intercambio de criptomonedas: desafíos y soluciones estratégicas apareció por primera vez en Metaverse Post.
