Estafas a usuarios finales y ataques de phishing en Web3: ¿no se denuncian?

cryptoshitcompra.com/wp-content/uploads/2023/01/Estafas-a-usuarios-finales-y-ataques-de-phishing-en-Web3.jpeg» alt=»» width=»1200″ class=»content-img»/>

Según el experto en ciberseguridad Christian Seifert, los usuarios finales de la industria de las criptomonedas se enfrentan a numerosos ataques que a menudo no se denuncian. Para que se produzca una adopción generalizada, se deben abordar las preocupaciones de seguridad de las tecnologías Web3 y se debe aumentar la confianza del usuario final en estos sistemas.

Phishing, vulnerabilidades, malware, centralización: elige tu veneno

Seifert dijo criptonoticias.com que el espacio Web3 está lleno de ataques de protocolo. Y en su mayoría son solo los ataques más grandes que se informan, como el ataque al puente Ronin visto en marzo de este año y Wintermute en septiembre.

Los ciberdelincuentes a menudo se dirigen a las empresas de Web3 para robar las claves privadas asociadas con sus direcciones de protocolo. Estas claves se pueden robar a través de ataques de phishing o explotando vulnerabilidades que permiten a los atacantes obtener el control de las direcciones. A medida que la industria se da cuenta de estas vulnerabilidades, generalmente se solucionan con actualizaciones de protocolo.

Algunos protocolos no actualizan sus contratos con regularidad, lo que los hace vulnerables a los ataques. Además de estas amenazas, también existe una variedad de malware capaz de robar claves privadas o alterar direcciones de transacciones.

Sin embargo, argumentó Seifert,

«Una cosa a tener en cuenta es que los protocolos realmente no deben estructurarse de manera que confíes en la confianza de una dirección o un desarrollador».

Ninguna persona debería poder, por ejemplo, cambiar un rol en un contrato. En su lugar, debe ser controlado por algo como un multisig, con varias personas o una comunidad que aprueba una decisión, por lo que «aunque estoy comprometido con malware y mi clave privada ha sido comprometida, yo solo no puedo hacer nada».

Relacionado con esto está la cuestión de si una cadena de bloques se puede pausar. Por ejemplo, el principal intercambio de criptomonedas Binance suspendió los retiros de Bitcoin (BTC) en junio debido a un retraso, según su CEO. Y está lejos de ser el único que lo hace, ya que muchos eligen esta opción cuando son atacados.

Detenerse en el nivel básico, que es la propia cadena de bloques, es preocupante, dijo Seifert, «porque ilustra la naturaleza centralizada de esa cadena de bloques en particular».

Por otro lado, la pausa de la capa de aplicación es una historia diferente y una medida necesaria para proteger los fondos de los usuarios cuando están bajo ataque, dijo. Puede haber, por ejemplo, una característica de pausa que no afecte todo el protocolo, pero que afecte las transacciones más allá de cierto valor.

“El objetivo de estas acciones es mitigar o ralentizar el ataque, al mismo tiempo que permite que los usuarios legítimos continúen trabajando con el protocolo”, dice Seifert.

Además, la transparencia sobre cómo se implementa la seguridad es fundamental, dijo el experto, lo que permite a los usuarios tener toda la información existente sobre las medidas de seguridad para decidir si usan o no el protocolo. Argumentó que,

«La seguridad a través de la oscuridad no es el camino a seguir».

Delitos generalizados pero no denunciados contra los usuarios finales

Hasta ahora, hemos hablado de problemas que afectan los protocolos y las empresas, pero nuevamente, es el usuario final el que más sufre. Además de estos robos masivos, también hay una miríada de ataques más pequeños, donde, por ejemplo, se roban activos estimados entre $40,000 y $50,000.

«Creo que en realidad no se denuncian», dijo Seifert. «Y creo que lo que aún no se denuncia es esencialmente el robo que experimentan los usuarios finales, porque bueno, en realidad no existe un mecanismo de denuncia».

Los usuarios finales a menudo son atacados a través de varios tipos de estafas y comúnmente a través de «phishing de hielo», firmando transacciones de respaldo que le dan al atacante acceso a los activos digitales asociados con la billetera de un usuario.

Seifert también dio un ejemplo de un ataque reciente en el que los usuarios finales fueron estafados con tokens que cobran una comisión por cada transacción: se robaron algunos dólares del dispensador de tokens además de las tarifas comerciales. Estos robos no son claramente visibles para el usuario final, advirtió.

Por ello, Seifert añadió: “Hemos hablado mucho de protocolos, pero también tenemos que pensar en los usuarios finales. Y lo que es realmente importante es que existen servicios de seguridad para proteger a los usuarios finales mediante el bloqueo de cuentas maliciosas, así como la abstracción de cuentas que permite a los usuarios establecer políticas en términos de cómo las aplicaciones pueden actuar sobre sus activos digitales.

Cómo proteger a los usuarios finales

Cuando se le preguntó si la existencia de Web3 se ve amenazada por estos ataques disruptivos o si es solo un problema inicial, Seifert respondió que «es una combinación», pero aún tiene un impacto negativo. Ciertamente es perjudicial para la adopción.

Por ejemplo, si a un usuario le roban su token criptográfico o no fungible (NFT), a menudo “no entienden lo que sucedió; Básicamente me enfrento a una billetera vacía”, dijo Seifert, y agregó:

“Creo que esto no aumenta la probabilidad de que esas personas permanezcan en Web3. Y creo que es probable que las víctimas en particular se alejen de Web3. Muchas de estas historias se comparten en línea y eso no inspira mucha confianza».

Mientras tanto, la reciente serie de fracasos y fracasos de proyectos, especialmente la caída del Extensión FTP exchange, una vez más ha puesto el tema de la centralización en el centro de atención, lo que lleva a una mayor confianza en las finanzas descentralizadas (DeFi) y las soluciones sin custodia, dijo el experto.

Pero donde hay dinero, hay malos actores. Los usuarios han estado retirando fondos de intercambios centralizados, por lo que es probable que haya una afluencia de usuarios que adopten aspectos no custodiales y participen en DeFi, sin embargo:

“Estoy seguro de que los delanteros intentarán aprovechar eso. Creo que habrá phishing generalizado, rugpull, todas las estafas que afectarán a los usuarios finales».

Por lo tanto, existe la necesidad de un mejor nivel de seguridad que advierta al usuario de una acción potencialmente peligrosa, más educación dirigida a los usuarios y mejoras de usabilidad para los usuarios finales, incluida una mayor simplicidad de los productos, carteras fáciles de usar y soluciones que ayuden a los usuarios finales. navegar Web3. Son estas complejidades dentro de los productos y transacciones que no son comprensibles para un usuario promedio las que los atacantes se están aprovechando, dijo Seifert, y agregó:

«Incluso los grandes proveedores de billeteras deben adoptar amplias funciones de seguridad para proteger a los usuarios finales».

Al mismo tiempo, la industria es bastante joven y Seifert ha visto «una plétora» de servicios de seguridad en línea en los últimos años para ayudar a los usuarios finales y los protocolos a protegerse.

Algunos de los componentes importantes de una estrategia de seguridad integral, dijo Seifert, son:

• auditoría: las auditorías son la técnica más adoptada para proteger un protocolo y no se debe tratar de reinventar la rueda, sino utilizar las bibliotecas de plantillas ya verificadas que eliminan muchos errores conocidos;
• error de recompensas: hay un aumento en la adopción de recompensas, y los investigadores de seguridad hacen un gran trabajo ético; un protocolo debe incentivar a los posibles atacantes a trabajar con no versus eso;
• monitoreo: una vez implementado el protocolo, el monitoreo es de suma importancia ya que dará tiempo para actuar en caso de un ataque para mitigarlo;
• capacidades de respuesta a incidentes: automatizadas o manuales, necesarias para poder actuar y proteger los fondos;
• funcionalidad de pausa: como se discutió anteriormente, esto ayuda a evitar que los fondos se agoten aún más;
• contratos actualizables;
• seguro cibernético.

Agregó que,

“Idealmente, estos deberían integrarse desde el primer día. Pero muchos de los protocolos son equipos pequeños, que innovan rápidamente y desean ser rápidos en el mercado. Y, en consecuencia, la seguridad en ese entorno no es una prioridad máxima.

Sin embargo, a medida que ingresan al mercado y deben tener éxito, verán una afluencia de usuarios y aumentará su valor total bloqueado (TVL), que es donde cambia el perfil de riesgo de este protocolo.

“Los atacantes ven cuántos activos digitales hay en el protocolo y te convertirás en un objetivo. Y debe adoptar una estrategia de seguridad integral una vez que se convierta en un riesgo.

Mientras tanto, lo que estamos viendo en la industria Web2 es una concentración de servicios de seguridad en proveedores de servicios administrados, donde una pequeña empresa puede pedirle a ese proveedor que los proteja. «Y espero que haya algo similar en el espacio Web3», dijo Seifert. Ahí está el problema de la centralización y la industria tendrá que encontrar formas de mitigarlo.

Los ataques son un gran problema tanto para los usuarios como para los protocolos, y la industria los reconoce como tales, produciendo «una ráfaga» de empresas, organizaciones autónomas descentralizadas (DAO) y comunidades que están configurando servicios de seguridad.

«Realmente espero que dentro de cinco años, la seguridad sea más madura en el espacio Web3, y estamos empezando a ver eso», concluyó Seifert.

____

Para saber mas:
– El CEO de Binance advierte a los usuarios sobre un nuevo hack dirigido al sector de criptomonedas
– El protocolo DeFi Ankr sufre un exploit de Infinity Minting: esto es lo que sucedió

– ¿Un tirón de alfombras de 160 millones de dólares? – La plataforma de staking de criptomonedas Freeway detiene los retiros citando una “volatilidad sin precedentes”
– GameFi Rug Pull and Exchange Cerrado accidentalmente – Tenga cuidado con los riesgos en Crypto

– Pool de minería BTC Poolin suspende los retiros de billetera en un esfuerzo por «estabilizar la liquidez»
– Devuélvanos nuestro dinero: el problema con las billeteras de custodia y las implicaciones de la detención de retiros en la reputación de Crypto