La comunidad de criptomonedas está muy acostumbrada a los ataques e incidentes de seguridad. Sin embargo, esto no significa que estos incidentes no sean motivo de preocupación.
Junio de 2021 fue un mes particularmente malo para la seguridad. Se han producido dos eventos de seguridad de alto perfil. Ambos eran problemas completamente diferentes, pero contribuyen a la cantidad total estimada pirateada por blockchains. Esta estimación se sitúa actualmente en 20,32 mil millones de dólares.
De lejos, el mayor de los dos fue el escándalo Africrypt. Resultó en pérdidas estimadas de $ 3.6 mil millones. El incidente, que tiene todas las características de una estafa de salida, comenzó en abril.
Fue entonces cuando el intercambio de Africrypt informó un hack. Sin embargo, los dos hermanos que dirigían el intercambio, Ameer y Raees Cajee, desaparecieron después de vender varios artículos de lujo en las semanas anteriores.
En particular, las plataformas comerciales locales parecen prestarse a este tipo de explotación. En abril, el CEO de la bolsa de criptomonedas turca Thodex desapareció junto con más de $ 2 mil millones en fondos de clientes.
Sin mencionar el infame caso de la bolsa canadiense Quadriga CX. A principios de 2019, se supo que el fundador Gerald Cotten estaba muerto, llevándose consigo $ 145 millones en fondos de clientes. Esa historia todavía se está investigando hasta el día de hoy.
Desembalaje del incidente de Fireblocks
Junto a Africrypt, hubo otro incidente un poco menos escandaloso en junio. Sin embargo, ilustra algunas lecciones críticas de seguridad de clave privada que vale la pena señalar. En particular para las instituciones y para quienes confían en los servicios de custodia para sus activos digitales.
A fines de junio, se supo que StakeHound, una empresa de criptomonedas involucrada en el staking, había presentado una demanda contra el proveedor de custodia Fireblocks. La demanda afirma que Fireblocks perdió alrededor de $ 75 millones en ethereum, del cual era responsable. Sin embargo, a medida que profundiza, hay mucho más debajo de la superficie.
Bloque de fuego le dijo a Forbes que ha sido contratado con StakeHound para dos servicios. El primero fue su oferta estándar de custodia de criptomonedas. El otro fue un acuerdo único en el que Fireblocks apoyó a StakeHound en la redacción de un programa para generar firmas para verificar la autenticidad de un acuerdo de participación.
StakeHound generó una clave usando el programa y luego usó la clave para enviar 38,178 ETH al contrato de participación de Ethereum 2.0.
Aquí es donde las cosas parecen haber ido mal. Fireblocks afirma que StakeHound quería que tuviera la mitad de la clave privada por razones de seguridad, lo que aceptó verbalmente.
StakeHound envió su parte de la clave a Coincover como respaldo, pero Fireblocks no lo hizo. Como este arreglo era único y las firmas no formaban parte de los procedimientos normales de respaldo de Fireblocks. Cuando uno de los sistemas de la empresa falló, perdió la llave. Además, no hubo respaldo.
Ahora, StakeHound no puede acceder a ninguno de los 38,178 ETH bloqueados en el contrato de participación. Además, es probable que los fondos se pierdan para siempre.
HSM frente a MPC
No hay forma de saber quién dijo qué o cómo irá la demanda. Para el registro, también vale la pena señalar que Fireblocks declaró que sus clientes no tienen motivos para preocuparse, ya que este incidente se realizó fuera de sus procedimientos normales.
La compañía también dijo que StakeHound todavía usa Fireblocks para los servicios diarios de custodia de criptomonedas. Sin embargo, vale la pena investigar el incidente. Destaca una falla de seguridad fundamental de confiar en cálculos de múltiples partes o carteras de múltiples firmas para la seguridad.
En este punto de la evolución de la seguridad de los activos digitales, las carteras de múltiples firmas ofrecen una seguridad bastante débil. Después de todo, no hay forma de saber quién tiene acceso a las claves privadas, lo que significa que no son intrínsecamente más seguras que una billetera de firma única.
Actualmente, los custodios utilizan dos formas principales de seguridad para proteger las claves privadas y, por lo tanto, los activos digitales. Son módulos de seguridad de hardware, o HSM, y computación de varias partes, o MPC.
Los HSM son dispositivos de hardware físico que cumplen con varios estándares reconocidos a nivel mundial que verifican la creación y el almacenamiento seguros de claves privadas. Los HSM se utilizan en los sectores público y privado. Esto incluye casos de uso militar y bancario.
MPC implica dividir la clave privada en partes y almacenar cada parte por separado en diferentes dispositivos o servidores de almacenamiento en la nube, según lo acordado por StakeHound y Fireblocks. La idea es que si un hacker piratea uno, el atacante no tiene acceso a suficiente información para ensamblar la clave privada completa.
Una solución de respaldo probada
La diferencia clave entre los dos es que los HSM tienen mecanismos de respaldo integrados para las claves que garantizan que los usuarios nunca pierdan el acceso a sus fondos.
Por lo general, los usuarios de HSM cuentan con tarjetas de respaldo físicas que se almacenan de forma segura en varias ubicaciones. Los usuarios pueden distribuir tarjetas de respaldo para restaurar una clave de respaldo generada cada vez que se solicita una nueva clave.
Las soluciones MPC no tienen un mecanismo integrado para generar claves de respaldo. Además, es intrínsecamente bastante complejo generar copias de seguridad para claves MPC. Esto se debe a que el proceso involucra a múltiples partes. Por esta razón, existen preocupaciones sobre la usabilidad de cualquier solución de respaldo.
Hasta ahora, en la evolución de la seguridad de las criptomonedas, los HSM han demostrado ser la única forma en que las organizaciones pueden hacer copias de seguridad de sus claves privadas de forma segura. Garantiza que, en caso de pérdida, aún puedan acceder a sus criptomonedas.
En este sentido, siguen siendo la forma más sólida de seguridad contra ataques. Al mismo tiempo, MPC sigue siendo una nueva y emocionante rama de la criptografía. Ofrece una gran promesa en el campo de la ciberseguridad. También proporciona más comodidad a los usuarios con métodos probados y comprobados para proteger sus fondos de los atacantes.
Descargo de responsabilidad
Toda la información contenida en nuestro sitio web se publica de buena fe y solo con fines de información general. Cualquier acción realizada por el lector sobre la información que se encuentra en nuestro sitio web es estrictamente bajo su propio riesgo.
Si quiere puede hacernos una donación por el trabajo que hacemos, lo apreciaremos mucho.
Direcciones de Billetera:
- BTC: 14xsuQRtT3Abek4zgDWZxJXs9VRdwxyPUS
- USDT: TQmV9FyrcpeaZMro3M1yeEHnNjv7xKZDNe
- BNB: 0x2fdb9034507b6d505d351a6f59d877040d0edb0f
- DOGE: D5SZesmFQGYVkE5trYYLF8hNPBgXgYcmrx
También puede seguirnos en nuestras Redes sociales para mantenerse al tanto de los últimos post de la web:
- Telegram
Disclaimer: En Cryptoshitcompra.com no nos hacemos responsables de ninguna inversión de ningún visitante, nosotros simplemente damos información sobre Tokens, juegos NFT y criptomonedas, no recomendamos inversiones