Ciberseguridad en Web3: Cómo subirse al carro de forma segura

Recientemente me encontré con un nuevo informe de Forrester que dice que "las aplicaciones Web3 (incluidas las NFT) no solo son vulnerables a los ataques, sino que a menudo presentan una superficie de ataque más amplia (debido a la naturaleza distribuida de las cadenas de bloques) que las aplicaciones convencionales".

Este hallazgo me llevó a hablar con un experto en Web3 para profundizar en el espacio de ciberseguridad de Web3 y ver qué riesgos existen y pueden afectar potencialmente el mercado que vale casi $ 3 mil millones (a partir de 2021).

Me puse en contacto con Hartej Sawhney , fundador y director ejecutivo de Zokyo , un estudio de riesgo que crea, asegura y financia empresas de criptomonedas, DeFi y NFT. Como pionero de la industria de Web3, Hartej ha desempeñado un papel clave en la elevación de los estándares en el ecosistema de activos digitales y en la introducción de productos y servicios que establecen el punto de referencia de la industria en cuanto a seguridad, transparencia y cumplimiento.

En particular, hemos hablado sobre las vulnerabilidades de seguridad cibernética comunes identificadas durante las auditorías de contratos inteligentes, el papel de la ingeniería social en el fraude cibernético relacionado con web3, qué riesgos de seguridad cibernética deben tenerse en cuenta antes de invertir en el desarrollo de aplicaciones web3, cómo proteger los NFT y más.

¡Disfruta de la conversación!

Hartej, ¿podría contarme más sobre usted y cómo se convirtió en un experto en seguridad de blockchain/web3?

¡Por supuesto! Me metí en criptografía en serio mientras vivía en Las Vegas en 2013. En ese momento, dirigía una startup de fintech llamada Zuldi, una solución de punto de venta (PoS) móvil que se integraba con los sistemas PoS heredados de alimentos y bebidas.

En 2016, cofundé Hosho junto con Yo Sub Kwon, un "cripto OG", con la visión de construir una empresa que se ubicara en la intersección de la cadena de bloques y la ciberseguridad.

En ese momento, no había ninguna empresa en el mundo que estuviera sentada en esta intersección. Por supuesto, algunas empresas crearon una división separada dentro de su entidad más grande para centrarse en la auditoría de contratos inteligentes. Aún así, no había una sola empresa que se llamara a sí misma "una empresa de ciberseguridad criptográfica/Web3" y cubriera más que solo el código fuente y la auditoría de contratos inteligentes. Dicho esto, no había ninguna empresa que se especializara en cosas como infosec, seguridad operativa, pruebas de penetración y cumplimiento en general.

Construimos Hosho muy rápido. Con sede en Las Vegas, EE. UU., rápidamente crecimos hasta convertirnos en un equipo de 37 personas y generamos alrededor de $4 millones en ingresos solo en los primeros 12 meses de existencia de la empresa. Primero no éramos remotos, y la mayoría de nuestros empleados tenían su sede en Las Vegas. Aprendimos muchas lecciones de tener ese enfoque.

Nunca lanzamos nuestra ICO porque no pudimos encontrar una razón por la cual un auditor de contratos inteligentes necesitaría su propio token. Entonces, nunca lanzamos nuestro propio token y decidimos no recaudar capital de riesgo, especialmente en ese momento. Esto se debió principalmente al hecho de que no construimos nuestros propios productos. En esencia, seguíamos siendo una empresa orientada a los servicios que no resultaba muy atractiva para los capitalistas de riesgo de Silicon Valley.

En 2018, el mercado de las criptomonedas colapsó y todas las demandas de auditoría de contratos inteligentes prácticamente desaparecieron. No podíamos mantener un costoso equipo de hackers de sombrero blanco famosos y de buena reputación trabajando para nosotros en nuestra oficina de Las Vegas. Entonces, trágicamente, tuvimos que dejar ir a todos y despedir a nuestro equipo.

Poco tiempo después, me mudé de Las Vegas a Kiev, Ucrania . En dos meses, comencé a configurar Zokyo y a contratar auditores de contratos inteligentes con sede en Ucrania. Pusimos una página de inicio para Zokyo y comenzamos a auditar contratos inteligentes. Durante el mercado bajista, el trabajo pasó de auditar contratos inteligentes para ICO a auditar fragmentos de cadenas de bloques de capa 1.

Antes de que nos diéramos cuenta, llegó el verano de DeFi y regresaron las demandas de auditorías de contratos inteligentes. En ese momento, viajé por todo el mundo, hablando en las principales conferencias de blockchain y cripto y organizando eventos privados en los que seleccionamos a los mejores constructores de blockchain en cada geografía importante. Debido a este hecho y gracias a mi trayectoria en Hosho, no tardé mucho en ser contactado por empresas que buscaban soluciones de ciberseguridad, especialmente auditorías de contratos inteligentes.

Cuando audita contratos inteligentes, ¿a menudo encuentra vulnerabilidades de ciberseguridad en ellos? ¿Cuáles son los tipos más comunes de ciberataques a los contratos inteligentes? ¿Y qué hace si encuentra una laguna en un contrato inteligente que se está auditando?

Cuando auditamos contratos inteligentes, a veces encontramos vulnerabilidades como reingreso, bibliotecas maliciosas , violaciones de API ERC20 , niveles de visibilidad implícitos , inferencias de tipos inseguros , DoS con límite de gas de bloque y dependencias de marca de tiempo . Cada vez que encontramos vulnerabilidades potenciales, compartimos nuestros hallazgos con el equipo de desarrollo y les brindamos la oportunidad de solucionarlos. Una vez que el equipo haya solucionado todas las vulnerabilidades identificadas, volveremos a auditar el contrato inteligente.

La mayoría de las veces, los desarrolladores experimentados aprenden lecciones de los errores más comunes cometidos a lo largo de los años y tratan de no repetirlos.

Hoy en día, la mayoría de las vulnerabilidades críticas provienen de la lógica empresarial subyacente del contrato y los casos extremos que los desarrolladores no han considerado al escribir el código. Esta es la razón por la que es crucial realizar revisiones manuales de código línea por línea.

En general, ¿qué se necesita para que un contrato inteligente pase la auditoría de Zokyo con gran éxito?

Los contratos inteligentes que pasan nuestras auditorías implementan las mejores prácticas y no tienen un propietario de contrato con poderes especiales. Por ejemplo, un diseño robusto que podría mitigar los problemas en caso de un evento de cisne negro, descentralizado en términos de propiedad, que no permita que ningún actor tenga demasiado poder o control sobre la implementación o la lógica.

Es importante realizar pruebas unitarias con una cobertura del 95 % o incluso del 100 %. El equipo corregirá todos los errores según nuestras recomendaciones, independientemente del nivel de gravedad. También tendremos discusiones abiertas sobre planes de desarrollo futuros y cómo podrían afectar el producto real.

¿Qué riesgos de ciberseguridad deben tenerse en cuenta antes de realizar una inversión en la creación de una aplicación web3, una plataforma descentralizada o un Token?

Antes de invertir, es importante participar en múltiples auditorías simultáneas con miembros del equipo de buena reputación. Debe estudiar los informes de auditoría para comprender el diseño o la lógica del producto desde un alto nivel. En primer lugar, se crean informes de auditoría para la comunidad, en segundo lugar para los inversores y en tercer lugar para el equipo de desarrollo.

¿Es cierto que Web3 exige que la seguridad sea más preventiva que receptiva en comparación con Web2? ¿Por qué?

Las transacciones Web3 son inmutables. Por lo tanto, no se pueden revertir una vez que tienen lugar. Esto hace que la seguridad preventiva sea crítica para web3, ya que el impacto financiero puede ser significativo. Como tal, es una desviación del modelo de seguridad de respuesta y detección reactiva de web2.

Las redes de cadena de bloques son objetivos especialmente atractivos para los ciberdelincuentes debido a los activos digitales y, a menudo, tangibles que se gestionan en ellas. Según su experiencia de primera mano en Zokyo, ¿ve un mayor uso de estafas de ingeniería social, como el phishing de hielo, en web3? Y si es así, ¿podría contarnos más sobre su impacto en la seguridad web3 y cómo se deben combatir?

Los ataques de ingeniería social continúan plagando la industria. Sin embargo, la ingeniería social en web3 es un poco diferente. En lugar de enviar un correo electrónico de phishing, los actores de amenazas también pueden comprometer una cuenta popular de Twitter y promover esquemas de regalos criptográficos y proyectos NFT para usuarios desprevenidos.

El phishing es lo que recientemente llevó a un pirata informático a obtener acceso a los cuatro validadores Ronin de Sky Mavis y un validador de terceros administrado por Axie DAO.

Las empresas de Web3 no pueden darse el lujo de implementar un enfoque de seguridad reactivo y basado en incidentes.

Las empresas, incluso las que se encuentran en una etapa inicial, deben contratar a un Director de Seguridad de Innovación (CISO) que aproveche el Manual del Consejo de CISO que establece los mejores estándares y enfoques hacia las regulaciones cibernéticas. El Manual CISO cubre uno de los marcos más importantes: NIST (Instituto Nacional de Estándares y Tecnología) del Departamento de Comercio de EE. UU.

Vi a Zokyo entre los fondos criptográficos Tier1 que invierten en proyectos famosos como Layer Zero. ¿Cómo eliges las empresas en las que estás invirtiendo? ¿Y qué sector web3 es el que está más en auge ahora mismo?

Zokyo se asocia estrechamente con muchas firmas de inversión de primer nivel y ha acumulado la experiencia y los recursos internos para llevar a cabo la diligencia de inversión técnica y de seguridad de los proyectos. Las empresas en las que invertimos pasan la debida diligencia tanto cualitativa como cuantitativa. Hemos apoyado una variedad de empresas en etapa inicial con arquitectura tecnológica, ingeniería de contratos inteligentes, diseño y revisión de la economía de tokens y seguridad cibernética. Gran parte de nuestro enfoque de inversión se ha centrado en la infraestructura criptográfica central.

Hartej, en LinkedIn, te llamas a ti mismo un "acaparador de NFT". ¿Qué riesgos de ciberseguridad le preocupan más personalmente cuando se trata de mantener las colecciones de NFT? ¿Y cómo pueden protegerse contra el fraude de web3?

Lamentablemente, en 2022, hemos visto un aumento de más de 6 veces en las pérdidas por delitos NFT. La mayoría de los delitos de NFT que he visto son firmas/errores maliciosos que no tienen nada que ver con el almacenamiento o las frases iniciales.

El problema con los NFT es que están destinados a ser interactivos; no puedes simplemente saltearlos. A las personas a menudo se les recomienda usar una billetera de hardware. Aún así, una billetera de hardware como Ledger no puede salvarlo cuando firma transacciones maliciosas.

Para asegurar su cartera de NFT, debe tener una estructura en capas cuando use una billetera caliente, una billetera fría y una bóveda (una segunda billetera de hardware). Use una billetera caliente para acuñar NFT e interactuar con contratos. Solo desea tener los fondos necesarios para acuñar/comprar un NFT en períodos de tiempo específicos. En una billetera fría, almacenará los activos que ponga a la venta. En tercer lugar, tiene una bóveda que realiza únicamente transacciones de entrada/salida. Aún así, nunca conecta esta billetera a ningún sitio web ni interactúa con ningún contrato.

Cuando se trata de espacios mantenidos por el usuario en web3, hay una declaración de que si los usuarios no implementan una higiene cibernética adecuada y protegen sus propios datos y privacidad, es probable que haya pocos otros mecanismos de cumplimiento en su lugar. Esto representa un riesgo intrínseco para la seguridad de la propia infraestructura web3. ¿Es verdad?

Como usuario, debe asegurarse de seguir las mejores prácticas de ciberseguridad, especialmente en este espacio. El objetivo de web3 es empoderar a los usuarios y darles un control total. Sin embargo, esta es una espada de doble filo porque hace que los usuarios sean más responsables de sus datos. Como tal, en web3 (más que en web2), los ataques de ingeniería social como phishing, keyloggers y malware pueden ser mucho más destructivos que en web2 porque pueden generar pérdidas financieras significativamente mayores.