Mucho se ha dicho sobre los recientes “hacks” en el área de las finanzas descentralizadas, particularmente en los casos de Harvest Finance y Pickle Finance. Esta conversación es más que necesaria considerando que los piratas informáticos robaron más de $ 100 millones de proyectos DeFi en 2020, que es el 50% de todos los ataques este año, según un informe de CipherTrace.
Conectado: Resumen de los hacks, exploits y robos de criptomonedas en 2020
Algunos señalan que los eventos fueron simplemente exploits que destacaron las debilidades de los respectivos contratos inteligentes. Los ladrones realmente no entraron en nada, simplemente caminaron casualmente a través de la puerta trasera abierta. Según esta lógica, la explotación es más ética, ya que los piratas informáticos explotaron los errores sin realmente piratear en el sentido tradicional.
¿Pero es?
Las diferencias entre un exploit y un hack
Las vulnerabilidades son la raíz de las vulnerabilidades. Una vulnerabilidad es una vulnerabilidad que un adversario podría aprovechar para comprometer la confidencialidad, disponibilidad o integridad de un recurso.
Un exploit es un código especialmente diseñado que un adversario utiliza para explotar una vulnerabilidad específica y poner en riesgo un recurso.
Incluso la mención de la palabra “pirateo” en relación con blockchain podría desconcertar a un forastero de la industria que esté menos familiarizado con la tecnología, ya que la seguridad es una de las piezas centrales del atractivo principal de la tecnología de contabilidad distribuida. Si bien blockchain es un medio inherentemente seguro para intercambiar información, nada es completamente pirateable. Hay ciertas situaciones en las que los piratas informáticos pueden obtener acceso no autorizado a las cadenas de bloques. Estos escenarios incluyen:
- 51% de ataques: Estos ataques ocurren cuando uno o más piratas informáticos obtienen el control de más de la mitad de la potencia informática. Es una tarea muy difícil para un hacker, pero sucede. Más recientemente, Ethereum Classic (ETC) estuvo expuesto a tres ataques exitosos del 51% en un mes en agosto de 2020.
- Error de creación: Ocurren cuando se pasan por alto las brechas de seguridad o los errores en la creación del contrato inteligente. Estos escenarios tienen lagunas en el sentido más fuerte del término.
- Seguridad insuficiente: Si los ataques se llevan a cabo mediante el acceso inadecuado a una cadena de bloques con prácticas de seguridad débiles, ¿es realmente tan malo si la puerta se deja abierta de par en par?
¿Son los exploits más éticos que los hacks?
Muchos dirían que algo no puede considerarse ético sin el consentimiento, incluso si se hubieran cometido actos peores. Esta lógica también plantea la cuestión de si un exploit es 100% ilegal. Por ejemplo, registrar una empresa estadounidense en las Islas Vírgenes también puede considerarse una explotación fiscal legal, aunque aparentemente no se considera ilegal. Por lo tanto, existen ciertas áreas grises y lagunas en el sistema que las personas pueden usar para su propio beneficio, y un exploit también puede verse como una laguna en el sistema.
Luego hay casos como el cryptojacking, una forma de ciberataque en el que un pirata informático hace un mal uso del poder de procesamiento de un objetivo para extraer la criptomoneda en nombre del pirata informático. El cryptojacking puede ser malintencionado o no.
Puede ser más seguro decir que las hazañas están lejos de ser éticas. También son totalmente prevenibles. En las primeras etapas del proceso de creación de contratos inteligentes, es importante seguir los estándares más estrictos y las mejores prácticas del desarrollo de blockchain. Estos estándares están diseñados para prevenir vulnerabilidades e ignorarlos puede generar efectos inesperados.
También es importante que los equipos realicen pruebas intensivas en una red de pruebas. Las revisiones de contratos inteligentes también pueden ser una forma poderosa de detectar debilidades, aunque existen muchas empresas de auditoría que realizan auditorías de bajo costo. El mejor enfoque sería cuando las empresas reciban múltiples auditorías de diferentes empresas.
Los puntos de vista, pensamientos y opiniones expresados aquí son derechos exclusivos del autor y no reflejan ni representan necesariamente los puntos de vista y opiniones de Cointelegraph.
Pawel Stopczynski es el investigador y director de I + D de Vaiot. Anteriormente, fue director de I + D y cofundador de Veriori y UseCrypt. Desde 2004, Pawel ha estado involucrado en el desarrollo de 18 proyectos de TI en Polonia y el Reino Unido, con un enfoque en el sector privado. Ha sido ponente en varias conferencias de TI y organizador de dos conferencias TEDx. Por su trabajo, Pawel recibió una medalla de oro en la Feria Internacional de Innovación Concours Lépine 2019 en París y una medalla de oro del Ministro de Defensa francés.
Dejar una contestacion