Según el informe de Cyvers que resume las tendencias clave de seguridad para 2024, las amenazas en la red Web3 han aumentado drásticamente, habiendo ocurrido 165 eventos de seguridad este año, causando pérdidas financieras que superan los 2,3 mil millones de dólares, un 40% más que en 2023 (1,69 mil millones de dólares). Entre ellos, los eventos relacionados con el control de acceso (67) representaron el 81% de las pérdidas de 2,3 mil millones de dólares, aproximadamente 98 eventos de vulnerabilidades en contratos inteligentes ocasionaron pérdidas totales de 456,3 millones de dólares, y un evento de envenenamiento de dirección causó pérdidas de más de 68 millones de dólares.
Sin embargo, en comparación con 2022 (3,78 mil millones de dólares), las pérdidas causadas por eventos de seguridad en 2024 se redujeron en 1,48 mil millones de dólares (una disminución del 40%), y se recuperaron 1,3 mil millones de dólares de fondos robados.
Si consideramos que Web3 es un bosque oscuro lleno de niebla, donde hay cazadores acechando y listos para atacar, también hay personal de seguridad con experiencia en reconocimiento, así como héroes que despejan la niebla y revelan la maldad. SlowMist, que está siendo entrevistado en esta edición de "Disruptors Unplugged" de Starlabs Consulting, pertenece a estas últimas.
SlowMist Technology es una empresa centrada en la seguridad del ecosistema blockchain, fundada en enero de 2018. Principalmente, ha servido a muchos proyectos líderes o conocidos a nivel mundial a través de "soluciones de seguridad integradas y adaptadas desde el descubrimiento de amenazas hasta la defensa de amenazas". Ahora se ha convertido en una de las principales empresas de seguridad de blockchain a nivel internacional, con miles de clientes comerciales de más de una docena de países y regiones. Sus soluciones de seguridad incluyen: auditoría de seguridad, inteligencia de amenazas (BTI), implementación de defensas, entre otros, y cuenta con productos de seguridad SaaS como la lucha contra el lavado de dinero (AML) para criptomonedas, escaneo de vulnerabilidades de recarga falsa, monitoreo de seguridad (MistEye), base de datos de archivos hackeados (SlowMist Hacked), y firewall para contratos inteligentes (FireWall.X). SlowMist ha descubierto y publicado de manera independiente numerosas vulnerabilidades de seguridad de blockchain de alto riesgo, recibiendo amplia atención y reconocimiento en la industria.
A continuación se presentan extractos destacados de esta edición de "Disruptors Unplugged".
Puntos clave de este artículo:
Las vulnerabilidades en contratos inteligentes, la filtración de claves privadas, los ataques de ingeniería social y los ataques a la cadena de suministro son las amenazas de seguridad más comunes y graves en el ecosistema Web3 actual, que continúan desafiando a la industria.
La seguridad es un proceso de gestión dinámica; las auditorías de seguridad de terceros pueden guiar a los proyectos a implementar requisitos de prácticas de seguridad a corto plazo, pero no pueden garantizar realmente la operación segura y estable a largo plazo de un proyecto. Por lo tanto, es crucial establecer y perfeccionar el propio sistema de seguridad.
Actualmente, MistTrack ha acumulado más de 300 millones de etiquetas de direcciones, más de 1,000 entidades de direcciones, más de 500,000 datos de inteligencia de amenazas y más de 90 millones de direcciones en riesgo, proporcionando una fuerte protección para garantizar la seguridad de los activos digitales y luchar contra los delitos de lavado de dinero.
El crecimiento explosivo de Web3 ha traído consigo una gran cantidad de nuevos proyectos y usuarios, pero los eventos de seguridad son frecuentes y la demanda del mercado por servicios de seguridad profesional sigue aumentando. Al mismo tiempo, cada vez más proyectos comienzan a valorar la combinación de seguridad y cumplimiento, lo que también brinda oportunidades para las empresas de servicios de seguridad profesionales.
01
Sobre la industria Web3
🌃 Starlabs Consulting: Desde la perspectiva de SlowMist, ¿cuáles son las amenazas de seguridad más graves en el actual ecosistema Web3?
SlowMist: En el actual ecosistema Web3, creemos que las siguientes categorías de amenazas de seguridad son bastante comunes y tienen un alto grado de gravedad; estas amenazas siguen representando un desafío para la industria.
Primero, las vulnerabilidades en contratos inteligentes son un problema ampliamente reconocido. Debido a la inmutabilidad de los contratos inteligentes, una vez que una vulnerabilidad es explotada maliciosamente, puede resultar en pérdidas irreparables, lo cual es la raíz de la mayoría de los eventos de ataque. Los problemas comunes en contratos inteligentes incluyen la gestión inadecuada de permisos, desbordamientos de enteros y errores lógicos, entre otros.
En segundo lugar, la filtración de claves privadas también es un riesgo de seguridad significativo. Tanto para los usuarios como para los proyectos, la negligencia en la gestión de claves privadas (como el almacenamiento inadecuado de claves privadas o ataques a dispositivos) es una de las principales causas del robo de activos; la seguridad de las claves privadas está directamente relacionada con el control de los activos.
Además, los ataques de ingeniería social (como el phishing, el robo de cuentas, la suplantación de identidad, etc.) también son métodos comunes de ataque. Debido a la falta de conciencia de seguridad de algunos usuarios y equipos de proyectos, a menudo se convierten en puntos de entrada para los atacantes.
Finalmente, en tiempos recientes ha habido varios incidentes de ataques a la cadena de suministro, por lo que creemos que la seguridad de la cadena de suministro se está convirtiendo en un problema de seguridad importante en la industria Web3. Las vulnerabilidades en la seguridad de la cadena de suministro pueden tener consecuencias graves; el malware y el código pueden ser insertados en varios eslabones de la cadena de suministro de software, incluidos herramientas de desarrollo, bibliotecas de terceros, servicios en la nube y procesos de actualización. Una vez que estos elementos maliciosos son inyectados con éxito, los atacantes pueden utilizarlo para robar activos criptográficos, obtener información sensible de los usuarios, dañar la funcionalidad del sistema, extorsionar o propagar malware ampliamente.
🌃 Starlabs Consulting: Frente a la alta frecuencia de eventos de ataque en el campo de Web3, ¿qué pueden hacer las empresas (especialmente las startups) en términos de defensa diaria, además de colaborar con proveedores de servicios de seguridad de terceros como SlowMist? Por favor, denles algunos consejos.
SlowMist: En la actualidad, los proyectos Web3 enfrentan una variedad de técnicas de ataque, y la interacción entre proyectos se vuelve cada vez más compleja, lo que a menudo introduce nuevos riesgos de seguridad. Muchos equipos de desarrollo de proyectos Web3 carecen de experiencia en defensa y ataque en primera línea. Durante el proceso de desarrollo del proyecto, el equipo suele centrarse más en la validación comercial general y en la implementación de funciones comerciales, descuidando la construcción de un sistema de seguridad. Por lo tanto, sin un sistema de seguridad completo, es difícil garantizar la seguridad de los proyectos Web3 a lo largo de su ciclo de vida.
Para garantizar la seguridad, los proyectos suelen contratar equipos profesionales de seguridad de blockchain para realizar auditorías de código. Las auditorías de seguridad pueden guiar a los proyectos a implementar requisitos de prácticas de seguridad a corto plazo, pero no pueden ayudar a los proyectos a establecer su propio sistema de seguridad. Por ello, el equipo de seguridad de SlowMist ha abierto el (Requerimiento de Prácticas de Seguridad para Proyectos Web3) (https://github.com/slowmist/Web3-Project-Security-Practice-Requirement) para ayudar continuamente a los equipos de proyectos dentro del ecosistema blockchain a dominar las habilidades de seguridad de los proyectos Web3. Esperamos que los proyectos puedan establecer y perfeccionar su propio sistema de seguridad basado en estos requisitos, manteniendo una capacidad de seguridad incluso después de la auditoría; los interesados pueden buscar y leer más al respecto.
Siempre creemos que la seguridad es un proceso de gestión dinámica. Confiar únicamente en las auditorías a corto plazo de equipos de seguridad externos no puede garantizar realmente la operación segura y estable a largo plazo de un proyecto. Por lo tanto, es crucial establecer y perfeccionar el sistema de seguridad de los proyectos Web3. El equipo del proyecto debe poseer ciertas capacidades de seguridad para asegurar mejor la seguridad y la operación estable del proyecto. Además, sugerimos que los equipos de proyectos también participen activamente en la comunidad de seguridad, aprendan las últimas técnicas y experiencias de defensa y ataque, y se comuniquen y colaboren con otros equipos de proyectos y expertos en seguridad para mejorar la seguridad de todo el ecosistema. Al mismo tiempo, el fortalecimiento de la capacitación de seguridad interna y la difusión del conocimiento para mejorar la conciencia y capacidad de seguridad de los empleados es un paso clave para establecer un sistema de seguridad completo.
🌃 Starlabs Consulting: Frente a las técnicas de ataque en constante evolución, ¿cómo pueden las empresas de seguridad mantenerse un paso adelante?
SlowMist: Por ejemplo, en cuanto a nuestra forma actual de responder. Primero, debemos mantenernos constantemente alerta a nuevas amenazas, monitorear continuamente las últimas dinámicas de ataque, y desarrollar herramientas personalizadas de detección de vulnerabilidades, análisis en cadena y monitoreo para lograr una protección en tiempo real y una capacidad de respuesta más eficiente.
En segundo lugar, tenemos una red de intercambio de inteligencia de amenazas. A través de una estrecha colaboración con socios de la industria y proyectos, podemos obtener oportunamente las últimas informaciones de seguridad, y al mismo tiempo, utilizando tecnologías de análisis de datos en cadena, rastrear el flujo de fondos de los atacantes, ayudando a las víctimas a recuperar pérdidas en la medida de lo posible.
Además, la ingeniería inversa y la revisión de casos también son partes indispensables. A través de un análisis profundo de eventos de seguridad pasados y sesiones regulares de Hacking Time, mejoramos continuamente nuestras habilidades técnicas.
02
Sobre SlowMist
🌃 Starlabs Consulting: Ustedes realizan tanto trabajo diariamente, analizando direcciones de hackers, analizando enlaces, rastreando el flujo de fondos, ¿qué proporción de esto es por encargo y cuánta es por interés público?
SlowMist: Nuestro negocio de lucha contra el lavado de dinero y rastreo de fondos proviene principalmente de dos aspectos: encargos proactivos de clientes y servicios de interés público.
En términos de servicios de interés público, hemos participado en el seguimiento de muchos eventos de ataque públicos importantes. Independientemente de si los proyectos nos han contactado proactivamente, siempre seguimos en el primer momento; este trabajo se basa principalmente en nuestra responsabilidad hacia el desarrollo saludable de la industria. Al revelar oportunamente las acciones de los hackers y analizar las técnicas de ataque, esperamos contribuir a la seguridad del ecosistema Web3 en su totalidad. Además, SlowMist recibe diariamente una gran cantidad de solicitudes de ayuda de víctimas, incluyendo a víctimas que han perdido decenas de millones de dólares, solicitando nuestros servicios de rastreo de fondos y recuperación de pérdidas. Para estos casos, ofrecemos un servicio de evaluación de casos de asistencia comunitaria de forma gratuita (https://aml.slowmist.com/recovery-funds.html).
Por otro lado, SlowMist también ofrece servicios de respuesta a incidentes específicamente dirigidos a proyectos Web3 (https://cn.slowmist.com/service-incident-response.html). Este servicio ayuda a los proyectos a poder responder rápida y eficazmente a los riesgos en caso de ataques de hackers y otros eventos inesperados. Analizamos detalladamente la ruta de entrada del atacante y su comportamiento tras la intrusión, y construimos un perfil del atacante tanto en cadena como fuera de ella. Al mismo tiempo, también rastreamos el flujo de los activos robados. Este servicio abarca todo el proceso desde el análisis de la intrusión en cadena y fuera de ella hasta el rastreo de fondos, ayudando a los proyectos a revisar eventos de seguridad, y basándose en el sistema de lucha contra el lavado de dinero (AML) de SlowMist y la red de inteligencia de amenazas InMist, ayudamos a los proyectos a recuperar pérdidas de fondos en la medida de lo posible.
🌃 Starlabs Consulting: Los registros de transacciones en cadena son complejos y enredados. Nos sentimos abrumados como usuarios comunes al analizar una sola transacción, ustedes enfrentan diariamente una gran cantidad de trabajo de rastreo, ¿tienen herramientas de análisis y bases de datos más eficientes? ¿En qué se diferencian las herramientas de análisis que utilizan internamente de MistTrack, que está orientada a usuarios finales?
SlowMist: De hecho, nosotros también usamos MistTrack (https://misttrack.io), ya que es sencillo y fácil de usar, con datos completos. Actualmente, MistTrack ha acumulado más de 300 millones de etiquetas de direcciones, más de 1,000 entidades de direcciones, más de 500,000 datos de inteligencia de amenazas, y más de 90 millones de direcciones en riesgo, lo cual proporciona una fuerte protección para garantizar la seguridad de los activos digitales y combatir los delitos de lavado de dinero. Lo que nos diferencia es que nuestro equipo ha establecido una base de conocimiento interna que asegura la eficiencia en el trabajo de seguimiento.
🌃 Starlabs Consulting: ¿Los usuarios que utilizan el servicio de rastreo MistTrack de SlowMist deben preocuparse por su privacidad personal? ¿Cómo protegen la información personal de los clientes?
SlowMist: No te preocupes, como empresa de seguridad, SlowMist valora mucho la protección de la privacidad y siempre informamos a los usuarios sobre nuestra política de privacidad antes de colaborar. Intentamos conservar solo los datos necesarios para realizar el servicio, al tiempo que limitamos estrictamente los permisos de acceso, asegurando que solo el personal autorizado tenga acceso a la información relevante. Todos los datos de los usuarios son protegidos mediante tecnologías de encriptación robustas durante su transmisión y almacenamiento.
🌃 Starlabs Consulting: Hemos notado que SlowMist también ofrece soluciones de seguridad para cadenas de consorcio. ¿Cuáles son las principales diferencias entre la seguridad de cadenas de consorcio y la seguridad de cadenas públicas?
SlowMist: Existen diferencias significativas en las demandas de seguridad entre las cadenas de consorcio y las cadenas públicas, estas diferencias se reflejan principalmente en la arquitectura de red, el grupo de usuarios y los escenarios de aplicación. Por ejemplo, en términos de control de acceso, las cadenas de consorcio suelen ser cadenas con permisos, donde solo los nodos y usuarios autorizados pueden unirse. Las cadenas de consorcio enfrentan amenazas más internas, como operaciones maliciosas de nodos, configuraciones de permisos inadecuadas y filtraciones de datos. Por otro lado, las cadenas públicas son una red abierta, y los desafíos de seguridad que enfrentan son más complejos y diversos, incluyendo ataques del 51%, explotación de vulnerabilidades en contratos inteligentes, ataques a puentes entre cadenas, etc.
En cuanto a la seguridad de los nodos, los nodos de las cadenas de consorcio son menos numerosos, generalmente mantenidos por unos pocos actores de confianza, lo que proporciona una base de confianza más alta, pero también conlleva un mayor riesgo de fallo en un solo punto. Para mejorar el rendimiento, las cadenas de consorcio suelen adoptar mecanismos de consenso eficientes (como PBFT, Raft), sacrificando parte de la descentralización. En comparación, los nodos de las cadenas públicas están ampliamente distribuidos y tienen un alto grado de descentralización, por lo que dependen más de los mecanismos de consenso para resistir las acciones de nodos maliciosos. Las cadenas públicas suelen adoptar mecanismos de consenso con un grado de descentralización más alto, pero con un rendimiento más bajo (como PoW, PoS), para mejorar la resistencia a la censura y la apertura del sistema.
En términos de requisitos de cumplimiento, las cadenas de consorcio suelen aplicarse en escenarios empresariales, por lo que necesitan cumplir con estrictas leyes, regulaciones y requisitos de cumplimiento. Al diseñar, las soluciones de seguridad deben considerar adecuadamente las necesidades de auditoría y supervisión. En contraste, el ámbito de operación de las cadenas públicas es más global, enfrentando desafíos legales y regulatorios transnacionales, y en su diseño de seguridad se debe equilibrar la descentralización y la eficiencia.
Con base en las características de estos dos tipos de cadenas, SlowMist ha proporcionado soluciones de seguridad diferenciadas para enfrentar los desafíos de seguridad que cada uno enfrenta.
03
Sobre la industria de la seguridad
🌃 Starlabs Consulting: ¿Sigue siendo el campo de la seguridad Web3 un océano azul? Si una startup desea ingresar a este campo, o si una empresa de seguridad de Web2 desea expandirse al negocio de seguridad Web3, ¿en qué áreas específicas creen que hay más oportunidades?
SlowMist: El crecimiento explosivo de Web3 ha traído consigo una gran cantidad de nuevos proyectos y usuarios, pero los eventos de seguridad son frecuentes, y la demanda del mercado por servicios de seguridad profesional sigue aumentando. Al mismo tiempo, cada vez más proyectos comienzan a valorar la combinación de seguridad y cumplimiento, lo que también brinda oportunidades para las empresas de servicios de seguridad profesionales. Por ejemplo, los usuarios a menudo sufren pérdidas de activos debido a ataques de phishing, malware y mala gestión de claves, por lo que la seguridad del lado del usuario es un aspecto a considerar. Asimismo, el rastreo de fondos en cadena es complejo y requiere mucho trabajo, y la demanda de lucha contra el lavado de dinero está en aumento, lo que también puede llevar a desarrollos en dirección al rastreo de fondos y AML. En resumen, el campo de seguridad de Web3 está lleno de desafíos, pero también contiene enormes oportunidades.
🌃 Starlabs Consulting: ¿Cómo evaluar la amenaza potencial que representa la computación cuántica para los algoritmos criptográficos existentes? ¿Qué estrategias se pueden implementar en el futuro en el campo de la criptografía?
SlowMist: Actualmente, la amenaza de la computación cuántica aún no se ha manifestado completamente, pero en el campo de Web3 y blockchain, la tecnología de computación cuántica depende en gran medida de la seguridad de los algoritmos criptográficos. En el ámbito de la criptografía, se puede garantizar la seguridad y el desarrollo sostenible del ecosistema a través de la innovación técnica, la cooperación internacional y la implementación de estrategias por etapas.