Polygon CSO culpa a las vulnerabilidades de Web2 por la reciente ola de hacks



Mudit Gupta, director de seguridad de Polygon, instó a las empresas de Web3 a contratar profesionales de seguridad tradicionales para poner fin a los ataques fácilmente evitables, argumentando que el código perfecto y la criptografía no son suficientes.

Hablando con Cointelegraph, Gupta explicó que varios de los hacks criptográficos recientes se derivaron en última instancia de las vulnerabilidades de Web2, como la gestión de claves privadas y los ataques de phishing para obtener inicios de sesión, en lugar de una tecnología de cadena de bloques mal diseñada.

Gupta complementó su punto, enfatizando que obtener una auditoría de seguridad de contrato inteligente certificada sin adoptar prácticas estándar de ciberseguridad Web2 no es suficiente para proteger un registro y las billeteras de los usuarios de la explotación:

“Al menos he instado a todas las grandes empresas a contratar a un oficial de seguridad dedicado que realmente sepa que la gestión de claves es importante”.

“Tienen claves API que se han utilizado durante décadas. Por lo tanto, hay mejores prácticas y procedimientos apropiados a seguir. Para mantener estas llaves seguras. Debe haber un registro de seguimiento de auditoría adecuado y una gestión de riesgos relacionada con estas cosas. Pero como hemos visto, estas empresas de criptomonedas simplemente ignoraron todo”, agregó.

Si bien las cadenas de bloques a menudo están descentralizadas en el backend, “los usuarios interactúan con [applications] a través de un sitio web centralizado”, Gupta dijo que la implementación de medidas tradicionales de ciberseguridad en torno a factores como el Sistema de nombres de dominio (DNS), el alojamiento web y la seguridad del correo electrónico siempre deben “mantenerse”.

Gupta también enfatizó la importancia de la gestión de claves privadas, citando el hackeo de $600 millones de Ronin Bridge y el hackeo de $100 millones de Horizon Bridge como ejemplos de libros de texto de la necesidad de reforzar los procedimientos de seguridad de claves privadas:

“Estos hacks no tenían nada que ver con la seguridad de la cadena de bloques, el código estaba bien. La criptografía estaba bien, todo estaba bien. Excepto por la gestión de claves, no lo era. las claves privadas […] no se mantuvieron seguros y la forma en que funcionaba la arquitectura era que si las claves se comprometían, se comprometía todo el protocolo”.

Gupta sugirió que la opinión actual de las empresas de blockchain y Web3 es que “si cae en un ataque de phishing, es su problema”, sin embargo, argumentó que “si queremos una adopción masiva”, las empresas de Web3 tendrían que asumir más responsabilidad. de hacer lo mínimo indispensable.

“Para nosotros […] no solo queremos la seguridad mínima que mantiene a raya la responsabilidad. Realmente queremos que nuestro producto sea seguro para los usuarios. […] Así que pensamos en las trampas en las que podrían caer y tratamos de proteger a los usuarios de eso”.

Polygon es un marco de interoperabilidad y escalabilidad para crear cadenas de bloques compatibles con Ethereum que permite a los desarrolladores crear aplicaciones descentralizadas escalables y fáciles de usar.

Relacionado: Cadenas cruzadas en la mira: los hackers exigen mejores mecanismos de defensa

Con un equipo de 10 profesionales de seguridad ahora empleados en Polygon, Mudit ahora quiere que todas las empresas de Web3 adopten el mismo enfoque.

Después del hackeo de $190 millones de Nomad Bridge en agosto, los hackeos de criptomonedas ahora han superado la marca de los $2 mil millones, según la firma de análisis de cadenas de bloques Chainalysis.