¿Se pueden prevenir con auditorías de contratos inteligentes?

Los hacks de blockchain continuarán mientras los ciberdelincuentes continúen descubriendo fácilmente las vulnerabilidades de seguridad. Esto es lo que sucede si falta seguridad, dice Sumit Siddharthfundador de la Operaciones de seguridad Grupo.

Con el crecimiento exponencial de las criptomonedas, NFT y otras implementaciones de blockchain, nunca ha habido un mejor momento para que un ciberdelincuente convierta una vulnerabilidad en dinero fácil y grande.

Hacks de blockchain y auditorías de seguridad

Vemos dos tipos diferentes de ataques que involucran criptomonedas. Uno de ellos se centra en el usuario final (la víctima). La técnica de ataque se basa en trucos de ingeniería social, como convencer a la víctima de que envíe criptomonedas a la billetera del atacante.

El otro tipo de pirateo que vemos es un poco más complicado y requiere una comprensión profunda de los contratos inteligentes de blockchain y los componentes asociados, como la cadena lateral, la cadena cruzada, las billeteras, la comprensión de varios protocolos y más.

El grupo SecOps ahora ha lanzado una auditoría de seguridad de los contratos inteligentes de blockchain, para ayudar a los desarrolladores de blockchain a identificar y corregir los problemas de seguridad antes de que sean explotados en la naturaleza.

Hacks de blockchain: de dónde parten

Blockchain es una base de datos de registros de transacciones que se distribuye, valida y mantiene en todo el mundo mediante una red de computadoras. En lugar de una única autoridad central como un banco, una gran comunidad supervisa los registros en Blockchain. Ninguna persona tiene control sobre estos registros. Blockchain se basa en tecnologías descentralizadas. Juntas, estas tecnologías funcionan como una red peer-to-peer (P2P).

La tecnología Blockchain se utiliza en muchas industrias diferentes. El gasto anual de blockchain de las empresas alcanzará los $ 16 mil millones para 2023, según una investigación reciente de CBInsights. La tasa de adopción de tecnología está aumentando.

Hoy en día, existen varias plataformas blockchain en el mercado. Cada plataforma utiliza su propia tecnología. Por ejemplo, la plataforma Ethereum utiliza el lenguaje Solidity. La plataforma Hyperledger usa el lenguaje Go. La plataforma EOS usa Node.js. La plataforma multicadena utiliza C ++. La plataforma Corda utiliza el lenguaje Java/Kotlin, etc. La criptomoneda Bitcoin (BTC) más popular se desarrolló en la plataforma Bitcoin. La criptomoneda Ether (ETH) se desarrolló en la plataforma Ethereum.

Cuando cualquiera de los anteriores se ve comprometido, pueden ocurrir grandes ataques.

Hacks notables de blockchain

Ataque a billeteras de Solana – $ 7 millones – 03 agosto 2022

Solana es una plataforma basada en blockchain. Muchas aplicaciones Web3 se distribuyen en la cadena de bloques de Solana, ya que es conveniente en términos de distribución. Recientemente se observó un hack basado en billetera en la cadena de bloques de Solana.

La causa raíz de la infracción no está clara, pero parece deberse a una falla en el software de la billetera utilizada, que resultó en el compromiso de la clave privada y/o la frase inicial. Una clave privada es única y vincula a un usuario con su dirección de cadena de bloques. Una frase inicial es una huella digital de todos los activos de la cadena de bloques de un usuario que se usa como respaldo si se pierde una billetera criptográfica. Se vaciaron más de 7.000 monederos de tokens SOL por valor de más de 7 millones de dólares.

Puente Axie Infinity Ronin – $ 625 millones – 28 de marzo de 2022

El hack criptográfico más grande jamás medido en dólares fiduciarios se produjo después de que los piratas informáticos obtuvieran el control de la mayoría de las claves criptográficas que protegían el puente de cadena cruzada del juego de jugar para ganar. Cuatro de las nueve claves fueron robadas cuando un desarrollador de Axie hizo clic en un PDF de una oferta de trabajo falsa.

Wormhole Cross Chain Bridge Attack – $ 325 millones – 2 de febrero de 2022

Wormhole es un puente Web3 basado en blockchain combinado con Ethereum y Solana. Utiliza un puente intermedio para transferir tokens entre dos redes diferentes. Un puente de cadena de bloques es un protocolo que conecta dos cadenas de bloques económica y tecnológicamente separadas para permitir interacciones entre ellas.

Un hacker explotó contratos inteligentes en el puente Solana-Ethereum para acuñar y éter envuelto en efectivo sin depositar garantías. Esto permitió a los piratas robar un total de $ 320 millones al combinar tokens de Ethereum y Solana. Wormhole ha cambiado el nombre de su portal puente y actualmente posee más de $ 480 millones, según la empresa de criptodatos. hoja DeFi.

Auditoría de contratos inteligentes

Una auditoría de contrato inteligente es un examen y análisis metódico y exhaustivo del código de un contrato inteligente que se utiliza para interactuar con una criptomoneda o cadena de bloques. Este proceso se lleva a cabo para descubrir errores, problemas y vulnerabilidades de seguridad en el código y sugerir mejoras y formas de solucionarlos. En general, se necesitan auditorías de contratos inteligentes, porque la mayoría de los contratos involucran activos financieros y/o valores.

La auditoría de seguridad de contratos inteligentes se ha vuelto importante hoy en día. Se han desarrollado miles de proyectos de finanzas descentralizadas y proyectos NFT en tecnología blockchain, también conocida como web 3.0, por lo que protegerlos es tan importante como construirlos.

Sobre el Autor:

png» alt=»» class=»lazy wp-image-222816″/>

Sumit Siddharth es el fundador de la Operaciones de seguridad Grupo. Es un emprendedor en serie de TI y un conocido profesional de la seguridad. Ha sido ponente y formador en multitud de congresos internacionales como Black Hat, Defcon, HITB, Owasp Appsec etc. Durante sus días como pentester es autor de numerosos libros, artículos, exploits y documentos técnicos sobre diversos temas relacionados con la seguridad de las aplicaciones. El primer negocio de Sid (NotSoSecure) fue adquirido en 2018 por el Grupo Claranet. Ahora dirige una firma de consultoría de seguridad boutique (pentesting) llamada The SecOps Group. También es consultor e inversor ángel en varias empresas emergentes de ciberseguridad de nicho, como Red Hunt Labs (Administración de superficie de ataque), PureID (Autenticación sin contraseña), VulnMachines (plataforma de laboratorio de pentesting gratuita) y Classified (plataforma de evaluación de vulnerabilidad).

¿Tiene algo que decir sobre los hacks de blockchain o cualquier otra cosa? Escríbanos o únase a la discusión en nuestro Canal de telegramas. Incluso puedes atraparnos Tik tok, Facebooko Gorjeo.

Descargo de responsabilidad

Toda la información contenida en nuestro sitio web se publica de buena fe y solo con fines de información general. Cualquier acción realizada por el lector sobre la información que se encuentra en nuestro sitio web es estrictamente bajo su propio riesgo.