El primer trimestre de 2024 se ha desarrollado como un capítulo fundamental en la narrativa de la seguridad Web 3.0, marcado tanto por notables logros en la mitigación de amenazas como por profundos desafíos.
Este informe sintetiza las principales conclusiones del análisis exhaustivo de los incidentes de seguridad del primer trimestre de 2024 realizado por la empresa de seguridad Web 3.0 de AI Cyvers, destacando las amenazas emergentes y subrayando la importancia de la resistencia dentro del ecosistema.
Criptomonedas hackeadas: Un resumen ejecutivo
En medio del continuo avance de DeFi, DePIN (Redes de Infraestructuras Físicas Descentralizadas), RWA (Activos del Mundo Real) y otras aplicaciones basadas en blockchain, hemos observado la correspondiente escalada de sofisticadas amenazas a la seguridad.
Los vectores de ataque se han diversificado, con vulnerabilidades de código que conducen a repercusiones financieras sustanciales y violaciones del control de acceso que resultan excepcionalmente costosas. Estas tendencias ponen de manifiesto la urgente necesidad de mejorar las medidas de seguridad y de aumentar la vigilancia en la comunidad Web 3.0.
Cyvers, en asociación con BeInCrypto, ha demostrado su compromiso con esta causa siendo pionera en la detección de amenazas en tiempo real y en soluciones de seguridad basadas en IA. El objetivo es proporcionar una identificación rápida y precisa de las amenazas, ofreciendo una mitigación proactiva y salvaguardando los activos a través de la blockchain.
Leer más: Conoce los 10 hacks de criptomonedas más importantes en 2022
Estas amenazas despliegan una serie de vectores de ataque -desde vulnerabilidades de smart contracts a scams de phishing– con el objetivo de explotar la naturaleza abierta e interconectada de las tecnologías Web 3.0. En respuesta a estos desafíos, la comunidad de Web 3.0 se ha unido, haciendo hincapié en la importancia de la seguridad como elemento fundamental de la infraestructura del ecosistema.
Principales tendencias y estadísticas de seguridad
El valor total robado (TSV) en el primer trimestre de 2024 es de aproximadamente 739,7 millones de dólares. Enero fue testigo del mayor número de hacks (27), seguido de marzo (21) y febrero (18). A pesar de tener el menor número de hacks, febrero tuvo un alto impacto financiero, con alrededor de 405,3 millones de dólares perdidos por hacks.
La pérdida media por hack se calculó en unos 6,7 millones de dólares, lo que indica lo mucho que está en juego en la seguridad de Web 3.0. El vector de hack más común fue el de las vulnerabilidades de código, con 37 casos, lo que supuso una pérdida de unos 165,9 millones de dólares.
Aunque menos frecuentes, los hacks al control de acceso fueron mucho más costosos, con pérdidas de unos 573,8 millones de dólares.
Hubo 10 casos en los que los hacks fueron detectados exclusivamente por Cyvers, lo que subraya la importancia de las medidas de seguridad proactivas, los algoritmos sofisticados y la optimización continua. Tres de estos casos se encontraban entre los 10 principales hacks del primer trimestre de 2024.
Análisis de las brechas de seguridad de PlayDapp
En febrero de 2024, la destacada plataforma de juegos y NFT PlayDapp se enfrentó a un grave problema de seguridad cuando sufrió dos hacks consecutivos que provocaron una acuñación de tokens PLA sin precedentes. Inicialmente, el 9 de febrero, una entidad no autorizada acuñó 200 millones de tokens PLA, valorados en unos 36,5 millones de dólares.
Leer más: Estafas con NFT: algunos consejos para detectarlas y evitarlas
Unos días más tarde, el 12 de febrero, la misma entidad acuñó otros 1,790 millones de fichas PLA, lo que equivale a la asombrosa cifra de 253,9 millones de dólares. En conjunto, estos hacks supusieron una pérdida total de unos 290 millones de dólares.
La causa principal de la brecha se identificó como una vulnerabilidad del smart contract, que permitió al atacante acuñar tokens sin la autoridad necesaria. Las repercusiones fueron inmediatas y graves, ya que el precio de mercado de los tokens PLA se desplomó debido a la repentina afluencia de tokens no autorizados.
El equipo de PlayDapp intentó negociar con el hacker, ofreciéndole una recompensa de un millón de dólares por la devolución de los fondos robados, pero fue en vano. Las medidas de seguridad tomadas tras el incidente incluyeron la pausa del smart contract PLA y el inicio de una migración de contrato basada en instantáneas previas a la explotación de los saldos de los holders.
Más sobre la seguridad en la Web3
La rápida respuesta de PlayDapp para pausar el contrato y colaborar con las fuerzas de seguridad y las empresas forenses de blockchain demostró su compromiso con la seguridad y la transparencia. Los esfuerzos para ponerse en contacto con los exchanges y rastrear los fondos robados estaban en curso, y se estaban debatiendo activamente estrategias para mitigar el impacto y evitar este tipo de incidentes en el futuro.
El incidente de PlayDapp sirve de advertencia sobre las vulnerabilidades inherentes a los smart contracts, especialmente en lo que respecta a la acuñación y gestión de tokens.
Leer más: Web3 ¿qué es? Todo lo que debes saber
De hecho, las lecciones del incidente de PlayDapp son múltiples: la necesidad absoluta de una vigilancia continua de la seguridad, la importancia de las medidas de seguridad proactivas y reactivas, y la necesidad siempre presente de la educación de la comunidad sobre las mejores prácticas de seguridad.
Cambios normativos en la seguridad Web3
En el primer trimestre de 2024, el panorama mundial de los activos digitales experimentó notables avances normativos que han tenido un impacto considerable en la seguridad de Web 3.0.
El informe Global Crypto Regulatory Report de PwC hace hincapié en la continua evolución de la regulación de los activos digitales, sugiriendo que, aunque en 2023 se lograron avances sustanciales, el sector sigue enfrentándose a una importante carga de trabajo regulatorio.
Estos avances son cruciales, ya que proporcionan un marco estructurado para las operaciones, mejoran las políticas regulatorias globales y ayudan a establecer estándares prudenciales globales, influyendo potencialmente en la regulación de Mercados de Criptoactivos de la UE y otras políticas internacionales.
Además, tras el sonado colapso de FTX, los organismos reguladores se han visto impulsados a adoptar un enfoque más estricto de las normas sobre activos digitales para proteger mejor al público inversor.
La SEC y las posibles normas para regular los exchanges de criptomonedas
La Comisión del Mercado de Valores de Estados Unidos (SEC), por ejemplo, tenía previsto publicar nuevas normas que regulasen los exchanges y las ofertas de activos digitales. Se esperaba que estas normas regularan de forma exhaustiva las ofertas de activos digitales, junto con directrices para los exchanges de activos digitales.
Esta respuesta a sucesos pasados demuestra una clara intención de los organismos reguladores de mejorar la supervisión y prevenir sucesos similares en el futuro. Estas normativas no sólo pretenden salvaguardar a los inversores, sino también garantizar el funcionamiento ordenado de los mercados de activos digitales.
Leer más: Mejores exchanges de criptomonedas para principiantes
Para Cyvers, esta evolución podría suponer una oportunidad de contribuir a los debates reguladores, aprovechando su experiencia para orientar la formulación de políticas que equilibren la necesidad de seguridad con el potencial de innovación en el espacio Web 3.0.
A medida que evolucionan las normativas, la capacidad de Cyvers y BeInCrypto para prestar servicios de seguridad. Lo anterior, acordes con la normativa se vuelve cada vez más crítica.
El primer trimestre de 2024 ha sido, por tanto, un momento crucial para la seguridad de Web 3.0. Marcado por los organismos reguladores de todo el mundo que han aprendido de los acontecimientos pasados para fortalecer las defensas del sector. Y establecer una base segura para la floreciente economía digital.
Recomendaciones para mejorar la seguridad de las criptomonedas
En la búsqueda de un paisaje Web 3.0 fortificado, Cyvers explicó a BeInCrypto formas estratégicas de mejorar aspectos. Tales como las posturas de seguridad de las diversas partes interesadas dentro del ecosistema:
Para proyectos:
- Auditoría de smart contracts: Asegurarse de que los contratos inteligentes se someten a auditorías de seguridad exhaustivas por parte de empresas de renombre. Realice auditorías periódicas tras actualizaciones o cambios importantes en la lógica del contrato. Consulte aquí nuestros auditores recomendados.
- Planificación de respuesta a incidentes: Desarrolle un plan de respuesta a incidentes adaptado a posibles violaciones específicas de Web3. Ello, detallando acciones inmediatas, protocolos de comunicación y medidas de contingencia.
- Integración de módulos de seguridad: Implemente módulos de seguridad y detección de amenazas en tiempo real. Como los proporcionados por Cyvers, para supervisar y proteger continuamente contra actividades maliciosas.
Solo desarrolladores:
- Diseño que da prioridad a la seguridad: Adopte un enfoque de seguridad ante todo al diseñar sistemas. Dando prioridad a la seguridad en cada fase del desarrollo.
- Formación continua: Manténgase informado sobre las últimas investigaciones de seguridad, vulnerabilidades y estrategias de protección. Colabore con la comunidad para compartir conocimientos y buenas prácticas.
- Descentralización del control: Evite puntos únicos de fallo en sus sistemas. Utilice monederos con varias firmas y una toma de decisiones distribuida para las operaciones críticas.
Leer más: Guía: 10 consejos básicos de seguridad OBLIGATORIOS para criptomonedas
La seguridad de criptomonedas para inversores
Para los inversores:
- Diligencia debida: Ejerza la diligencia debida revisando las prácticas de seguridad de los proyectos antes de invertir. Compruebe los informes de auditoría, las afiliaciones de seguridad y los historiales de incidentes.
- Diversifique los holdings: Proteja su cartera de hacks específicos diversificando sus holdings en varias plataformas y monederos.
- Utilice plataformas de confianza: Contrate plataformas con un historial de seguridad probado y que apliquen las últimas medidas de seguridad.
Para los usuarios:
- Prácticas seguras con los monederos: Utilice monederos físicos para los holdings importantes, guarde las claves privadas de forma segura y emplee la autenticación multifactor.
- Cuidado con el phishing: Infórmese sobre las tácticas habituales de phishing en el espacio Web3. Verifique las URL, compruebe dos veces las interacciones de los smart contracts y tenga cuidado con las solicitudes no solicitadas.
- Manténgase actualizado: Actualice regularmente su software a las últimas versiones, asegurándose de que se aplican los parches de seguridad.
Siguiendo estas recomendaciones, las partes interesadas del ecosistema Web 3.0 pueden reducir su perfil de riesgo. Además, contribuir a crear un entorno digital seguro y resistente. Gracias a la vigilancia colectiva y a las medidas proactivas podremos navegar por el ecosistema Web 3.0 con seguridad y confianza.
¿Tiene algo que decir sobre hacks de criptomonedas o otro tema? Escríbanos o únase a la discusión en nuestro canal de Telegram. También puede encontrarnos en Facebook o X (Twitter).
Trusted
Descargo de responsabilidad
Descargo de responsabilidad: siguiendo las pautas de Trust Project, este artículo presenta opiniones y perspectivas de expertos de la industria o individuos. BeInCrypto se dedica a la transparencia de los informes, pero las opiniones expresadas en este artículo no reflejan necesariamente las de BeInCrypto o su personal. Los lectores deben verificar la información de forma independiente y consultar con un profesional antes de tomar decisiones basadas en este contenido.
