Después de que el sitio web de Curve Finance sufriera un importante secuestro de DNS a principios de este mes, están aumentando las preocupaciones sobre las formas sofisticadas y nuevas en que los hackers atacan a las empresas de criptomonedas. Desde compromisos en redes sociales hasta exploits en el front-end y vulnerabilidades en smart contracts, el ecosistema web3 enfrenta una amenaza persistente.
A medida que DeFi y las criptomonedas se vuelven más populares, atraen más miradas maliciosas. Los ataques se han vuelto casi inevitables. Entonces, ¿cómo se logra la resistencia? Michael Egorov, fundador de Curve Finance, abordó estos temas y más en una entrevista exclusiva con BeInCrypto.
Curve Finance responde al hack
El mayor robo en la historia de las criptomonedas ocurrió este año, y no fue un incidente aislado. Los hacks sofisticados al ecosistema DeFi están creciendo, con phishing interno en Coinbase, exploits a nivel de protocolo en zkSync, y un importante hack de DNS en Curve Finance. Egorov discutió las vulnerabilidades estructurales de la industria Web3 y cómo enfrentar el momento:
“Los problemas de seguridad web tradicionales no son realmente nada nuevo. La cuestión es que, en el mundo Web2, el daño de tales problemas a menudo es contenible, por lo que no era un problema tan grande. Sin embargo, en las criptomonedas, las apuestas son muy diferentes porque todas las transacciones se vuelven finales casi instantáneamente. Como resultado, el estándar de seguridad es mucho más alto para este sector, y la infraestructura de internet actual simplemente no está construida para cumplir con estas demandas”, afirmó.
Curve Finance, un importante exchange descentralizado, tiene un sólido historial en la discusión de las vulnerabilidades de DeFi. A lo largo de su larga historia, Curve ha enfrentado y gestionado incidentes de seguridad críticos en varias ocasiones, obligando a la empresa a adaptar continuamente su enfoque de seguridad.
Sin embargo, a principios de este mes, el sitio web del exchange fue el último objetivo. Finalmente, el DEX tuvo que cambiar su dominio oficial. En opinión de Egorov, el problema es en última instancia intrínseco a internet tal como lo conocemos:
“Hasta donde puedo ver, no había nada que pudiéramos haber hecho mejor en términos de tecnología. El problema esta vez fue externo. En mi opinión, hay un problema fundamental con la forma en que se construyen las aplicaciones web. Necesitamos aplicaciones de escritorio seguras construidas desde cero con la seguridad como prioridad”, declaró Egorov.
Específicamente, señaló algunas vulnerabilidades estructurales que permitieron el hack a Curve y otros hacks recientes. Las aplicaciones Web3 todavía tienen que interactuar con un sitio web estático de algún tipo, utilizando registradores de DNS para conectar el nombre de dominio del sitio al alojamiento del front-end.
Si los hackers engañan, secuestran o sobornan a estos servidores, se abre un camino de ataque altamente efectivo, una táctica utilizada recientemente en Curve.
Esa es solo una de varias cuestiones estructurales con la infraestructura heredada de Internet ‘Web2’ hoy en día. Por ejemplo, las páginas web dependen de miles de micro-paquetes de JavaScript, que son difíciles de auditar individualmente.
Los paquetes comprometidos pueden eludir de manera furtiva y efectiva la seguridad de un protocolo DeFi de diversas maneras. Todo esto para decir que Web3 es vulnerable a muchos ataques de Web2.
Los problemas de Web3 requieren soluciones
Egorov afirmó que la industria cripto necesitará hacer cambios estructurales importantes para abordar permanentemente estos problemas. Por ejemplo, mencionó el Ethereum Name Service (ENS) como una forma nativa de blockchain para evitar hack de DNS.
Si se adopta, ENS sería efectivo, pero no tiene suficiente soporte a nivel de navegador para convertirse en mainstream. Incluso si Curve obtuviera el apoyo institucional para prevenir hacks con más medidas de seguridad basadas en Web3, el nuevo ecosistema podría ser algo irreconocible para nosotros:
Por ejemplo, Egorov mencionó que toda la estructura de monetización del tráfico web tendría que cambiar. En su lugar, los principales actores tendrían que manejar los costos de mantenimiento, lo cual sería incentivado por una mayor seguridad:
“Construir una aplicación así sería mucho trabajo: necesitaría reimplementar interfaces DeFi, evitando las tecnologías web por completo y probablemente sin ninguna capacidad de monetización. Pero creo que hay una fuerte demanda de ello, especialmente de instituciones que manejan fondos significativos de usuarios”, señaló.
Estas soluciones son indudablemente radicales, pero Egorov enfatizó que estos problemas son sociales, no tecnológicos. Solo sugirió medidas de seguridad que son posibles de construir utilizando la investigación existente en blockchain, pero serían suficientes. En otras palabras, si el ritmo de los ataques importantes sigue aumentando, podría generar más entusiasmo por estas reformas.
Curve Finance está lista para construir un futuro Web3 sin estas vulnerabilidades. Pero a medida que persisten las amenazas de seguridad actuales, el consejo de Egorov para DeFi es construir más aplicaciones de escritorio dedicadas:
“Como mencioné antes, el modelo actual de construir aplicaciones frontend es demasiado inseguro y tiene una superficie de ataque muy grande. Para lograr un mejor nivel de seguridad, las interacciones DeFi deberían idealmente trasladarse a aplicaciones de escritorio dedicadas”, concluyó el fundador de Curve.
eToro
eToro
eToro
eToro
Arkham
Plus500
Moonacy
Coinbase
Descargo de responsabilidad
Descargo de responsabilidad: en cumplimiento de las pautas de Trust Project, BeInCrypto se compromete a brindar informes imparciales y transparentes. Este artículo de noticias tiene como objetivo proporcionar información precisa y oportuna. Sin embargo, se recomienda a los lectores que verifiquen los hechos de forma independiente y consulten con un profesional antes de tomar cualquier decisión basada en este contenido.
