¿Qué hemos aprendido del hack de MonoX?

¿Qué hemos aprendido del hack de MonoX?

Publicado por
Comparte en redes sociales


cryptoshitcompra.com/wp-content/uploads/2021/12/¿Que-hemos-aprendido-del-hack-de-MonoX.jpg» alt=»» width=»1210″ class=»content-img»/>
Fuente: Adobe / Maksim Kabakou

Gleb Zykov es cofundador y director de tecnología de HashEx, una firma de auditoría de seguridad y consultoría de blockchain.
_____

El reciente ciberataque a Finanzas MonoX que llevó al robo de $ 31 millones, una vez más indica una seguridad insuficiente en los protocolos de finanzas descentralizadas (DeFi). Para respaldar esta instancia reciente con más datos, veamos los números en un informe de fraude y robo DeFi 2020 realizado por una empresa de análisis de datos. elíptico. El informe dice que se robaron $ 12 mil millones del espacio DeFi desde 2020 hasta el 18 de noviembre de 2021, con $ 10.5 mil millones marcados para los once meses inconclusos de 2021.

Estos datos reflejan prácticamente el crecimiento de DeFi en sí y envían un mensaje claro sobre la importancia de la seguridad en las finanzas descentralizadas a todos sus participantes y comunidades de varios protocolos DeFi. Vemos esto como el mayor obstáculo para que la industria avance porque DeFi no podrá convertirse en una alternativa sostenible a las finanzas centralizadas mientras sus usuarios expongan sus fondos a niveles tan altos de riesgo.

En este artículo, explicaré cómo se materializó el ataque MonoX y hablaré sobre la importancia de las auditorías de seguridad en DeFi y cómo los fundadores y comerciantes de proyectos pueden proteger los fondos bloqueados en contratos inteligentes.

Explicación del ataque de intercambio de MonoX

MonoX es un intercambio descentralizado de múltiples cadenas de bloques (DEX) que permite a los inversores y comerciantes proporcionar liquidez para las cadenas de bloques Ethereum (ETH) y Polygon (MATIC). Se ha descubierto que este tipo de protocolos DeFi son los más vulnerables a las amenazas cibernéticas, ya que su nivel de complejidad de código es mayor que el de los protocolos DeFi implementados en una sola cadena de bloques. Sin embargo, el exploit que llevó a la pérdida de fondos de usuario de MonoX Finance es algo bastante elemental.

Los estafadores utilizaron el error que les permitió usar el token MONO nativo de MonoX Finance como activo base y cotizar en una sola operación de intercambio. Esto les permitió subir el precio de MONO sin ninguna liquidez real. Después de hacerlo, simplemente cambiaron su MONO por activos como WETH, LINK, IXM, MIM, DUCK, GHST, dejando tokens digitales prácticamente sin valor para los proveedores de liquidez.

Leer también  Una ciudad de Corea del Sur está lista para estrenar la plataforma de activos digitales

MonoX Finance había sido verificado por Halborn Y Peckshield, sin embargo, y tenía una lista extensa de problemas identificados en el informe de auditoría. Esto es indicativo de la mala calidad del código de la base del código del proyecto, lo que hace que sea mucho más difícil no ignorar un error u otro. Por lo tanto, no solo es un error de parte de los revisores encontrar un exploit importante, sino también un error de los desarrolladores al proporcionar un código fácil de leer para sus contratos inteligentes.

En este contexto, me gustaría enfatizar lo importante que es escribir código fácil de leer, que es el trabajo de los programadores. Además, antes de entregárselo a los revisores, el equipo de desarrolladores haría mejor en ejecutar algunas pruebas de funcionalidad para asegurarse de que cada contrato inteligente funciona según lo previsto.

¿Qué puede ayudar a ahorrar fondos?

No hay duda de que las auditorías son un modus operandi para hacer que un contrato inteligente DeFi sea más seguro. Pero, ¿cuáles son las otras formas de ahorrar dinero atrapado en un contrato inteligente por robo? Existen varias tácticas para inversores y propietarios.

Para los fundadores de DeFi

Multi-firma o DAO

Para ganarse la confianza de la comunidad, un proyecto DeFi honesto debe tomar medidas para garantizar que no haya ningún tipo de nocaut, es decir, dinero robado dentro del proyecto. Lo primero que se debe hacer en este sentido será descentralizar la propiedad del contrato inteligente entre diferentes miembros del equipo. Significa que para ejecutar cambios o comandos en un contrato inteligente, se requerirá la autorización de varias claves privadas.

La DAO (organización autónoma descentralizada) es otra forma de minimizar la amenaza de la alfombra. Un DAO permite la distribución del poder de voto a través de tokens que serán necesarios para realizar cambios en el contrato inteligente del DAO. Para votar por los cambios, los titulares de tokens deberán bloquear sus tokens en el contrato inteligente hasta que finalice la votación. Por lo tanto, si el fundador del proyecto no tiene la gran mayoría de tokens, no podrá realizar cambios en el contrato por su cuenta.

Leer también  Bitcoin (BTC) lucha por mantener su precio por encima de los 26.000 dólares

Retraso en la ejecución del comando

Otra opción es habilitar un retraso en la ejecución de un comando en un contrato inteligente para los comandos ingresados ​​con la clave privada. No permitirá la ejecución inmediata de comandos, sino solo después de un cierto retraso. Los usuarios que hayan depositado fondos en el contrato inteligente pueden monitorear las transacciones en cola y podrán alertar a la comunidad antes de que sea demasiado tarde.

Para inversores

Comprobar el equipo

Busque miembros del equipo en las redes sociales y vea si sus datos personales coinciden con diferentes redes sociales. Si el equipo no revela sus verdaderas identidades, podría ser una señal de preocupación.

Ver el sitio

El sitio del proyecto debe ser presentable y el texto debe estar alfabetizado. Lo mismo ocurre con la documentación del proyecto: debe estar bien estructurada y redactada en un buen lenguaje. El lenguaje deficiente en el sitio es un gran motivo de preocupación.

Ver los informes de auditoría

Si no se habla de auditoría de proyectos, es un problema grave y debería alertar inmediatamente a un posible inversor. Si hay enlaces a los informes de auditoría, debe revisarlos y ver lo que dijo el auditor sobre el código del proyecto. También es importante ver lo que han escrito sobre la calidad del código.

Conclusión

Con los proyectos de DeFi volviéndose más complejos, la probabilidad de que haya errores en el código aumentó, pero esto no afectó el proceso de auditoría. Sin embargo, más del 90% del trabajo es verificación manual de códigos. Solo los nuevos tipos de exploits requieren una verificación de código adicional más allá de lo que estábamos haciendo anteriormente.

Los inversores también deben hacer su propia diligencia debida: investigar el sitio del proyecto, la documentación y los informes de auditoría como mínimo. Estar en guardia también es muy importante cuando se trata de DeFi, siempre que este mercado financiero conlleve un nivel tan alto de amenaza para los fondos de los usuarios.
____
Saber más:
Bitmart pirateado para compensar a los comerciantes de criptomonedas después de una pérdida de $ 200 millones
– AnubisDAO apunta a un «error crítico» después de perder $ 60 millones en dinero de los inversores

Leer también  El analista de ETF de Bloomberg opina mientras la SEC retira la apelación de la decisión del ETF de Bitcoin en escala de grises

– Higiene de billetera de Bitcoin y criptomonedas 101
– Al menos 6,000 clientes de Coinbase robados esta primavera, Exchange reembolsa las pérdidas

– Vulcan Forged pirateado afirma haber reembolsado a «la mayoría» de los usuarios afectados
– La tasa DAO parece haber perdido más de $ 120 millones en un ataque.



Source link

Si quiere puede hacernos una donación por el trabajo que hacemos, lo apreciaremos mucho.

Direcciones de Billetera:

- BTC: 14xsuQRtT3Abek4zgDWZxJXs9VRdwxyPUS 

- USDT: TQmV9FyrcpeaZMro3M1yeEHnNjv7xKZDNe 

- BNB: 0x2fdb9034507b6d505d351a6f59d877040d0edb0f

- DOGE: D5SZesmFQGYVkE5trYYLF8hNPBgXgYcmrx 

También puede seguirnos en nuestras Redes sociales para mantenerse al tanto de los últimos post de la web:

-Twitter

- Telegram

Disclaimer: En Cryptoshitcompra.com no nos hacemos responsables de ninguna inversión de ningún visitante, nosotros simplemente damos información sobre Tokens, juegos NFT y criptomonedas, no recomendamos inversiones

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *