Los hacks en el mundo DeFi siempre están en las noticias. Los protocolos DeFi deberían comenzar a usar conjuntos de reglas y herramientas de gestión de riesgos que ya se usan en las finanzas tradicionales, dice. kate kururbanova desde Apóstol.
Una sola vulnerabilidad en los contratos inteligentes puede costar a los proyectos DeFi millones de fondos de usuarios. Si bien las vulnerabilidades técnicas y los errores son los primeros vectores de ataque que buscan los piratas informáticos, no se pueden olvidar otros medios utilizados para robar fondos de los protocolos DeFi.
Verificación formal, prueba de estrés, auditoría y simulación: los protocolos DeFi tienen una extensa lista de prácticas y herramientas para elegir cuando se trata de auditoría técnica y verificación exhaustiva del código en busca de errores y vulnerabilidades ocultos.
Sin embargo, incluso todo lo anterior no garantiza la seguridad del protocolo, ya que algunas vulnerabilidades surgen de fallas en la lógica comercial del producto y la dependencia de los mercados externos y los componentes básicos de DeFi. Estas son las llamadas vulnerabilidades económicas: requieren una auditoría económica adicional y, en general, son mucho más difíciles de interceptar, ya que el espacio cambia constantemente y cualquier actualización de código puede generar nuevas posibilidades de explotación.
Por lo tanto, el espacio de seguridad de DeFi debe ir un paso más allá y adoptar las mejores prácticas de gestión de riesgos para proteger a los usuarios y protocolos de las amenazas económicas.
Los hacks siguen surgiendo
Muchos protocolos han sufrido vulnerabilidades a lo largo de los años, y los vectores de ataque más comunes ya se han documentado y reparado. Sin embargo, todavía hay formas de aprovechar el protocolo al afectar indirectamente la lógica del contrato o la lógica comercial del protocolo. Esto podría ser manipulación del mercado o del oráculo, influir en los protocolos conectados o monitorear continuamente posibles puertas traseras creadas por actualizaciones de código.
Los exploits de este tipo pueden usar múltiples protocolos mientras se ejecutan. En particular, una posibilidad sería usar ataques de préstamos rápidos para manipular el oráculo de precios del protocolo. Para entender esto mejor, podemos ver un ejemplo específico.
La hazaña de las finanzas ficticias
Esto sucedió en noviembre de 2021 y resultó en una pérdida de $ 130 millones. El atacante manipuló el precio de yUSD inflando la liquidez y explotando el oráculo de precios, lo que llevó al sistema a creer que 1 yUSD equivalía a $2 y que el depósito inicial del atacante de $1500 millones en yUSD tenía un costo correspondiente de $3 mil millones. Luego, el hacker convirtió su depósito de yUSD en $ 3 mil millones y usó la ganancia de $ 1 mil millones para drenar toda la liquidez de Cream Finance (~ $ 130 millones).
Frijol
Otro hackeo reciente usó una vulnerabilidad en el sistema de gobierno Beanstalk. El hacker usó una puerta trasera en el gobierno del protocolo al adquirir dos tercios de todo el poder de gobierno a través de un préstamo rápido. Esto les permitió ejecutar las propuestas de gobernanza que crearon con un solo día de retraso (a diferencia del retraso habitual de 7 días requerido para la revisión).
Las propuestas aparentemente seguras resultaron ser un mal contrato. Esto se desencadenó en el momento del préstamo flash y esencialmente agotó el protocolo de $ 182 millones (en el momento del exploit).
Ambos ataques explotaron la lógica comercial del protocolo al abusar de la economía detrás de él. Estos tipos de exploits muestran cuán importante es contar con herramientas de gestión de riesgos y monitoreo continuo, ya que pueden aprovechar y prevenir tales oportunidades fácilmente.
Hack: adopción de herramientas de gestión de riesgos para mejorar la seguridad
Para proporcionar una capa adicional de seguridad contra este tipo de ataques, los protocolos DeFi deberían comenzar a usar conjuntos de reglas y herramientas de gestión de riesgos que han sido probados durante años de práctica en el mundo financiero tradicional.
Por ejemplo, uno de los métodos aquí sería implementar el retraso de transacción en el protocolo. Esta función puede retrasar las transacciones de protocolos sospechosas, alertar a los desarrolladores sobre actividades maliciosas y darles tiempo para mitigar cualquier impacto negativo. Esto se puede mejorar aún más al combinar el retraso con herramientas de monitoreo para retrasar o suspender automáticamente las transacciones que representan una amenaza para el protocolo.
Otra gran práctica es el límite de liquidez, que limita la cantidad de fondos que se pueden transferir en una transacción. Si bien no afecta a los usuarios promedio, el límite de liquidez puede retrasar o prevenir ataques similares al exploit Cream Finance, lo que hace que sea más difícil y costoso para los piratas informáticos realizar el ataque.
El campo de la seguridad DeFi puede beneficiarse enormemente de la experiencia en ciberseguridad de las finanzas tradicionales, ya que aportaría habilidades y especialistas adicionales para trabajar hacia una mayor seguridad y una infraestructura más sólida que los protocolos Web3.
Hackear en DeFi: el siguiente paso
Si bien el rápido crecimiento de la industria DeFi es tentador tanto para los usuarios promedio como para los inversores, la falta de prácticas y soluciones de seguridad sigue siendo un gran inconveniente para la adopción más amplia y los inversores institucionales.
El público en general necesita más seguridad en lo que respecta a la seguridad de sus fondos, y el conocimiento y las prácticas financieras tradicionales pueden impulsar la escena DeFi al siguiente nivel de desarrollo. Adopción de herramientas de gestión de riesgos, prácticas de seguridad operativa, límites de seguridad y monitoreo continuo: la industria DeFi puede beneficiarse enormemente con la aplicación adecuada.
Sobre el Autor
kate kururbanovaun veterano de blockchain y comerciante de acciones, es cofundador y director de operaciones de Apóstol. Apostro es un protocolo de gestión de riesgos que protege contra amenazas de seguridad externas, ya sea un error estúpido en un código o un exploit mediante la manipulación de oráculos.
¿Tiene algo que decir sobre TradFi, hacks de DeFi o lo que sea? Escríbanos o únase a la discusión en nuestro Canal de telegramas. Incluso puedes atraparnos Tik tok, Facebooko Gorjeo.
Descargo de responsabilidad
Toda la información contenida en nuestro sitio web se publica de buena fe y solo con fines de información general. Cualquier acción realizada por el lector sobre la información que se encuentra en nuestro sitio web es estrictamente bajo su propio riesgo.
Si quiere puede hacernos una donación por el trabajo que hacemos, lo apreciaremos mucho.
Direcciones de Billetera:
- BTC: 14xsuQRtT3Abek4zgDWZxJXs9VRdwxyPUS
- USDT: TQmV9FyrcpeaZMro3M1yeEHnNjv7xKZDNe
- BNB: 0x2fdb9034507b6d505d351a6f59d877040d0edb0f
- DOGE: D5SZesmFQGYVkE5trYYLF8hNPBgXgYcmrx
También puede seguirnos en nuestras Redes sociales para mantenerse al tanto de los últimos post de la web:
- Telegram
Disclaimer: En Cryptoshitcompra.com no nos hacemos responsables de ninguna inversión de ningún visitante, nosotros simplemente damos información sobre Tokens, juegos NFT y criptomonedas, no recomendamos inversiones