Las finanzas descentralizadas (DeFi) llegaron para quedarse con más de $ 100 mil millones en valor total bloqueado (TVL), lo que destaca la evidencia de fe en estas nuevas herramientas financieras. Esta inversión seguirá aumentando, pero parece que con cada nuevo registro en TVL, se informa de otro ataque a la red con pérdidas astronómicas.

El crimen criptográfico cayó un 57% en 2020, pero los hacks de DeFi aumentaron, lo que les costó a las empresas e inversores miles de millones de dólares estadounidenses. Solo en marzo, hubo varios ataques en solo un período de cinco días, y Paid Network perdió $ 180 millones. Más tarde, en mayo, PancakeBunny perdió más de $ 200 millones en un exploit de préstamo flash.

Está claro que hay demasiadas lagunas y hackeos en los protocolos de seguridad actuales de blockchain. Desde los tirones de alfombras hasta las estafas de phishing, la seguridad y la tecnología de este espacio no son tan maduras como los números hacen parecer. Pero existen prácticas críticas que tanto los desarrolladores como los usuarios pueden implementar para cerrar esta brecha.

La tecnología descentralizada todavía está centralizada

No importa cuán descentralizado pretenda ser un protocolo, la estructura subyacente sigue estando centralizada. Al observar una de nuestras características principales de Internet, los registros DNS, cada nombre de dominio todavía está centralizado, ya sea propiedad de un gobierno, estado o empresa que tiene la máxima autoridad sobre el dominio, y podría cerrarlo si así lo desean.

Un ejemplo de centralización dentro de la descentralización son los contratos inteligentes. Aquellos que escriben contratos inteligentes de Ethereum o Binance tienen la última palabra en lo que está en el código, y hay formas de codificar programas nefastos, como tirones de alfombras, en contratos inteligentes.

Durante el auge de la agricultura de rendimiento del verano de 2020, vimos surgir muchos protocolos para beneficiarse del dinero que se vierte en DeFi, y esto continuó hasta este año. En marzo, TurtleDex ejecutó un tirón de alfombra, que fue efectivamente una puerta trasera en el contrato inteligente que resultó en el robo de $ 2.5 millones a los inversores. Esta característica intencional permite a los desarrolladores programar estafas que luego se ejecutan dependiendo de otros eventos en el código, y TurtleDex es uno de los muchos proyectos de este año que programaron un tirón de alfombra.

Relacionados: La agricultura de rendimiento es una moda, pero DeFi promete cambiar la forma en que interactuamos con el dinero

Las auditorías de contratos inteligentes son una buena manera de evitar tirones de alfombras, pero incluso así vemos casos en los que los desarrolladores cambiarán el contrato inteligente auditado por uno no auditado. El caso de Compounder demuestra lo fácil que es para un proyecto fraudulento ganar influencia a partir de nombres conocidos y de buena reputación en el espacio. Pudieron capitalizar rápidamente Harvest Finance y Yearn.finance antes de tirar de la alfombra a sus usuarios y marcharse con millones de dólares en criptomonedas.

Relacionados: La auditoría predeterminada para proyectos DeFi es imprescindible para el crecimiento de la industria

Tendencias recientes en hacks

Aparte de los tirones de alfombras, hay muchos ataques populares que pueden hacer que toda una empresa se derrumbe si no están preparados. Un ataque del 51%, que es cuando un grupo de mineros controla más del 50% de la tasa de hash de minería de la red, lo que les permite excluir o manipular los registros de transacciones para ejecutar gastos dobles o interrumpir una cadena de bloques, sigue siendo frecuente. Firo y Grin sufrieron recientemente ataques del 51%.

Incluso algunos proyectos de criptomonedas con tamaños de capitalización de mercado líderes todavía no son seguros. En febrero, se informó que se borraron 200 días de transacciones XVG en la red Verge, siendo efectivamente la “reorganización más profunda que haya tenido lugar en una de las 100 principales criptomonedas”.

Aceptamos estos errores como parte de la experiencia blockchain, pero ¿cuál sería la reacción si le sucediera lo mismo a un banco importante, por ejemplo? Probablemente habría muchos más titulares en los medios de comunicación y el alboroto de los usuarios y clientes. Estos eventos pasan en gran medida desapercibidos en las criptomonedas porque hay menos usuarios, pero con el reciente mercado alcista, esto está cambiando. Inevitablemente, se pondrá más escrutinio sobre la seguridad de las cadenas de bloques públicas.

Prácticas para prevenir hackeos como tirones de alfombras

Desafortunadamente para los desarrolladores, los hacks siempre son una posibilidad mientras se trabaja en criptografía. La cuestión no es cómo prevenir los piratas informáticos, sino cómo evitar las posibilidades de que los pirateen. Algunos avances en carteras de hardware, como la cartera de múltiples firmas de Gnosis Safe, por ejemplo, son elementos clave para mejorar la seguridad general.

El uso de una billetera multifirma permite que varios usuarios tengan claves para la misma billetera y requiere la participación mutua para ejecutar acciones en la cuenta. Debido a que una billetera como esta requiere la participación de varios usuarios para realizar intercambios, es casi imposible ejecutar tiradas de alfombra con este tipo de bóveda.

Otra práctica de seguridad para evitar tirones de alfombras son los bloqueos de tiempo. Muchas aplicaciones descentralizadas usan bloqueos de tiempo, de modo que si un desarrollador intenta atrapar a sus usuarios, usted tiene una advertencia de aproximadamente 12 a 24 horas para eliminar los fondos.

Este tipo de prácticas de seguridad fomentarán una mayor confianza en DeFi y crearán una cultura en torno a la seguridad que hará avanzar nuestra industria.

Mejorando la seguridad de la billetera en cripto

La seguridad de la billetera, en última instancia, se reduce a que los desarrolladores y usuarios implementen prácticas más inteligentes. Las auditorías de seguridad periódicas y las prácticas de seguridad interna pueden contribuir a una billetera más segura.

Si bien las auditorías de seguridad son una buena solución, Uniswap y otros intercambios descentralizados automatizados basados ​​en creadores de mercado (DEX) no tienen permiso, por lo que es imposible realizar auditorías regulares. La mejor práctica es comprender los detalles sobre las monedas de “lanzamiento justo”, proyectos que se lanzan desde un DEX. Aunque muchos de estos proyectos son de alta calidad, se sabe que muchos tienen grandes exploits. El código de fuente abierta hace que sea más fácil para cualquier persona auditar por sí mismo y verificar si el contrato inteligente es seguro, brindando a los usuarios más herramientas para practicar una buena seguridad.

Puede parecer una gran hazaña pedirle a un usuario que practique una buena seguridad, pero es necesario para acceder a los muchos beneficios de las criptomonedas y, especialmente, DeFi. Con los bancos tradicionales, el banco es responsable de la seguridad, pero en cripto, la seguridad se reduce a las prácticas de los desarrolladores y usuarios.

Si olvida su contraseña bancaria o envía fondos a la persona equivocada, puede comunicarse con su banco para mitigar la transacción hasta que se resuelva. Pero en criptografía, si pierde sus claves o envía dinero a la dirección incorrecta, no hay una opción de respaldo. Una de las muchas ventajas, por supuesto, es que no tiene que preocuparse por si sus fondos están disponibles en criptografía, mientras que los bancos pueden cerrar sus puertas e imponer controles de capital, como sucedió en la crisis bancaria de Grecia de 2015.

Conclusión

Como desarrolladores, debemos implementar auditorías de seguridad y validación cruzada, además de responsabilizarnos mutuamente por el desarrollo de prácticas de seguridad cada vez mejores.

Los usuarios deben considerar llevar a cabo sus propios protocolos de seguridad y comprender los matices en el almacenamiento y los posibles escenarios de piratería. Una buena práctica para los poseedores de criptografía pasiva es tener una billetera de hardware desconectada de Internet o una billetera de papel que esté 100% fuera de línea y no requiera sincronización en línea para las actualizaciones de firmware.

Los ataques de phishing, uno de los tipos originales de piratería informática, siguen siendo comunes y frecuentes. La forma de combatir los intentos de phishing es verificar si el remitente es genuino.

No ingrese sus claves privadas o frases iniciales en ningún sitio web ni las envíe a nadie en canales públicos o DM. Por lo general, solo debe ingresar su frase inicial cuando configure inicialmente su billetera. Además, solo debe ingresar su frase inicial si necesita recuperar su billetera después de olvidar su contraseña, necesita importar una billetera existente a un nuevo dispositivo o usar el software de billetera compatible. En general, se recomienda utilizar dispositivos de billetera de hardware que nunca filtrarán su semilla a ningún tipo de software; en muchos casos, ni siquiera se podría recomendar una aplicación o software de billetera confiable.

A medida que continuamos construyendo nuestra nueva economía global (principalmente) de DeFi, es crucial que se mejore la seguridad para que la adopción generalizada y el capital puedan continuar fluyendo hacia el espacio, para que la próxima generación pueda acceder a nuevas fronteras de independencia financiera.

Este artículo no contiene consejos ni recomendaciones de inversión. Cada movimiento de inversión y comercio implica un riesgo, y los lectores deben realizar su propia investigación al tomar una decisión.

Los puntos de vista, pensamientos y opiniones expresados ​​aquí son solo del autor y no reflejan ni representan necesariamente los puntos de vista y opiniones de Cointelegraph.

Kadan Stadelmann es un desarrollador de blockchain, experto en seguridad de operaciones y director de tecnología de Komodo Platform. Su experiencia abarca desde trabajar en seguridad de operaciones en el sector gubernamental y lanzar nuevas empresas de tecnología hasta el desarrollo de aplicaciones y criptografía. Kadan comenzó su viaje hacia la tecnología blockchain en 2011 y se unió al equipo de Komodo en 2016.