Web3, buena higiene y la necesidad de seguridad integral

Tener una auditoría de contrato inteligente es muy parecido a lavarse las manos: hágalo solo una vez y esté preparado para las consecuencias.

A medida que la conversación sobre la seguridad criptográfica se calienta en respuesta a un año devastador de pérdidas por el delito cibernético: Informe reciente de CertiK señala que "2022 será el año más caro para web3 registrado"; es vital revisar algunas de las mejores prácticas de seguridad. El principal de ellos es la importancia de auditorías de contratos inteligentes exhaustivas y periódicas .

Con demasiada frecuencia, los nuevos proyectos de cadenas de bloques tratan sus controles de seguridad como algo para quitarse de en medio antes de su lanzamiento, en lo que nunca se volverá a pensar. Esta actitud desordenada se ve más clara en proyectos que solo han tenido una auditoría de contrato inteligente. Los proyectos que hacen esto parecen pensar que las auditorías tienen más fines de marketing que de seguridad real. Si bien es cierto que tanto los inversores como los usuarios deben mantenerse alejados de los proyectos que no han tenido ningún tipo de auditoría de contrato inteligente, también deben asegurarse de que los proyectos en los que invierten adopten un enfoque activo de extremo a extremo. seguridad.

Quizás se esté preguntando '¿por qué un proyecto debería necesitar auditorías periódicas? ¿No debería uno cubrir el proyecto en su totalidad?'. Este es un error común (y costoso). Si bien cualquier buena auditoría de contrato inteligente debe proporcionar una evaluación integral del código subyacente de un proyecto, no puede evaluar ningún cambio o actualización que ocurra después de que se haya realizado la auditoría, especialmente cada vez que se realiza un cambio en el código subyacente.

Por supuesto, cualquier proyecto tecnológico que nunca se actualice pronto se volverá redundante, y esto es especialmente cierto en el mundo de rápido movimiento de web3. Cualquier buen inversionista o usuario tecnológico sabe evitar un proyecto que se niega a actualizarse y desarrollarse, pero regularmente invierte su dinero en proyectos que nunca (o rara vez) actualizan su seguridad. Volviendo a la metáfora de la limpieza, esto es como darle la mano a alguien después de decir que no se ha lavado las manos en un año.

toma el Explotación de Deus Finance como ejemplo, en el que un atacante drenó cerca de $ 16 millones de dólares en fondos. Si bien Deus hizo auditar sus contratos inteligentes, un atacante pudo apuntar a un nuevo contrato inteligente no auditado con un sofisticado ataque flashloan. A lo largo del ataque, el pirata informático pudo cambiar el precio de los tokens DEI de Deus y obtener los beneficios de esta acción de precio predecible. Lo hicieron manipulando un grupo de préstamos que fue utilizado por el oráculo, un nodo de código que interpreta los datos, que dictó el precio del token.

Ahora, cualquier contrato inteligente que valga la pena le advertirá de los peligros de usar un oráculo que determina un precio mediante el uso de un par comercial, ya que estos pueden manipularse fácilmente. Sin embargo, dado que el contrato inteligente vulnerable estaba fuera del alcance de la auditoría inicial, los auditores no tuvieron la oportunidad de resaltar el problema.

Deus debería servir como una clara advertencia a los proyectos de que deben tratar las auditorías de contratos inteligentes como una característica continua en su marco de seguridad y hacer que se auditen cada vez que se realice un cambio significativo en el proyecto. Sin embargo, no todas las auditorías son iguales. Una y otra vez vemos que proyectos bien planificados sufren los defectos de una mala auditoría.

Toma lo reciente Explosiones FEG como ejemplo. El token de meme de gobierno hiperdeflacionario FEG (Feed Every Gorilla) fue atacado recientemente por dos ataques de préstamo repentino que colectivamente drenaron $ 3.2 millones de dólares en fondos del protocolo en el transcurso de dos días.

En cada ataque, el pirata informático (o piratas informáticos) apuntó a la misma vulnerabilidad en el contrato inteligente de FEG. El análisis de CertiK del exploit descubrió que esto se debió a una falla en el token [[Función de intercambio a intercambio](https://docs.fegtoken.com/fegex/smartswap#:~:text=Swap%2DTo%2DSwap%20(S2S,found%20in%20the%20next%20section) , que toma directamente la "ruta" de entrada del usuario como una parte confiable sin ningún saneamiento. En términos simples, esta falla permitió al pirata informático llamar repetidamente a funciones que les permitieron obtener asignaciones ilimitadas y vaciar el contrato de sus activos.

Quizás lo más frustrante para FEG es el hecho de que esta falla debería haber sido detectada por una auditoría de contrato inteligente. Aunque FEG hizo auditar sus contratos inteligentes, los auditores deberían haber notado que el parámetro de "ruta" no confiable de FEG pasó al protocolo y se aprobó para gastar los activos del contrato. Cualquier buena auditoría señalaría esto como una gravedad importante y aconsejaría al proyecto que actuara y editara en consecuencia.

Hay una lección que aprender aquí para la industria de la seguridad criptográfica: a medida que los piratas informáticos continúan encontrando formas nuevas e ingeniosas de explotar proyectos, ya no es suficiente que los auditores simplemente actualicen sus controles en respuesta a nuevos ataques. En cambio, deben estar constantemente actualizando su tecnología para que cuando ocurra un nuevo ataque estén preparados para ello.

Ambos exploits resaltan no solo la necesidad de auditorías de contratos inteligentes rigurosas y periódicas, sino también la necesidad de un enfoque proactivo, coherente y de extremo a extremo para la seguridad web3. Esto equivale a un cambio hacia la visión de la seguridad como algo que debe construirse y mantenerse en lugar de solo una etiqueta para comprar y vender. Esto se aplica a los equipos que necesitan actualizar la seguridad de su proyecto junto con su tecnología, y también a las empresas de auditoría que necesitan anticiparse a los ataques, en lugar de simplemente responder a ellos.