¿Cómo mitigan los firewalls web3 y los servicios de seguridad de contratos inteligentes las fallas de criptoseguridad?

TL;DR

🔹 Se han robado más de 27 billones de dólares estadounidenses en criptomonedas desde 2012, según SlowMist, una empresa de seguridad de cadena de bloques con sede en Xiamen, y los tres principales tipos de ataques son estafas, ataques de préstamos rápidos y vulnerabilidades de contratos.

🔹 Algunas fallas de seguridad de Web3 surgen de la interacción de las arquitecturas Web3 y Web 2.0, mientras que otras son inherentes a la forma en que operan protocolos como blockchain y otras funciones.

🔹 Los numerosos ataques y la cantidad de vulnerabilidades causadas por la falta de parches de seguridad han dado lugar a servicios de seguridad de contratos inteligentes. Estos servicios de contratos inteligentes brindan servicios de monitoreo, detección de problemas, análisis de eventos de contratos en tiempo real y alertas.

🔹 Los firewalls Web3 y los servicios de seguridad de contratos inteligentes mitigan las fallas de criptoseguridad al filtrar el tráfico malicioso, auditar los contratos inteligentes y proporcionar alertas y advertencias de seguridad.

Introducción

El creciente número de estafas criptográficas de alto perfil ha resaltado la necesidad de soluciones de seguridad Web3. Las celebridades han sido atacadas, incluidos Bill Murray y Seth Green en los Estados Unidos, así como la sensación del mandopop taiwanés Jay Chou, quien perdió un valioso Bored Ape Yacht Club NFT en un sitio web de phishing en abril. Se han robado más de 27 billones de dólares estadounidenses en criptomonedas desde 2012, según SlowMist, una empresa de seguridad de cadena de bloques con sede en Xiamen. Los tres principales ataques fueron estafas, ataques de préstamos rápidos y vulnerabilidades de contratos. Se han producido muchos ataques de contratos inteligentes a lo largo de los años, lo que ha costado a las víctimas grandes sumas de dinero.

Por otro lado, los hacks de DAO y Parity Wallet son bien conocidos. El contrato inteligente de DAO contenía fallas que permitían a los atacantes robar fondos de la red. Debido a la falla, el pirata informático podría solicitar fondos del contrato inteligente antes de que se actualizara el saldo.

¿Qué son los Firewalls Web3?

El cambio de la Web 1.0 a la Web 2.0 expuso a los usuarios y las empresas a varias amenazas de seguridad nuevas. Debido a que cualquier usuario podría publicar contenido en Internet, las entradas no confiables y maliciosas podrían comprometer más fácilmente los sitios web, filtrar datos e infectar bases de datos. A medida que las personas comienzan a explorar el nuevo mundo de Web3, ha surgido un nuevo conjunto de vulnerabilidades de seguridad, algunas de las cuales nunca antes habían encontrado. Un firewall Web3 es un dispositivo de seguridad de red web3 que busca ayudar a las empresas a combatir los ataques cibernéticos que con frecuencia tienen como objetivo sus productos y servicios en este nuevo terreno.

Riesgos de seguridad Web3

Algunas fallas de seguridad de Web3 surgen de la interacción de las arquitecturas Web3 y Web 2.0, mientras que otras son inherentes a la forma en que operan protocolos como blockchain y otras funciones. Los ejemplos de riesgos de seguridad de Web3 incluyen:

Falta de cifrado

Web3 está totalmente descentralizado en teoría, y cualquier nodo conectado en la red puede interactuar directamente con los datos almacenados. En la práctica, los front-end de las aplicaciones Web3 seguirán dependiendo de las tecnologías Web 2.0 con las que los terminales de los usuarios pueden interactuar fácilmente. La mayoría de los front-end de la aplicación Web3 utilizan consultas API al back-end de Web3 para la lógica empresarial y el almacenamiento de datos.

Actualmente, muchas consultas de la API de Web3 no están firmadas criptográficamente. Esto los expone a ataques en ruta, intercepción de datos y otros ataques, al igual que el uso de aplicaciones HTTP Web 2.0 sin cifrar y sin firmar expone a los usuarios a fugas de datos y ataques en ruta.

2. Hackeo de contratos

inteligentes Los contratos inteligentes, como cualquier otro código, pueden tener importantes fallas de seguridad que exponen los datos del usuario o, en muchos casos, los fondos a vulnerabilidades. En diciembre de 2021, los defectos en los contratos inteligentes permitieron a los atacantes robar aproximadamente $31 millones en moneda digital. En mayo de 2022, una falla en el algoritmo TerraUSD hizo que la criptomoneda perdiera alrededor de $ 50 mil millones en valor.

3. Preocupación por la privacidad

En contraste con un modelo Web 2.0, donde el acceso a las bases de datos puede estar altamente restringido, cualquier nodo conectado puede almacenar y acceder a los datos en una cadena de bloques. Dependiendo de los datos almacenados, esto plantea muchos problemas de seguridad y privacidad. Incluso si se anonimiza mientras está en tránsito, los estudios muestran que ningún dato es verdaderamente anónimo.

4. Bridge and Protocol Attack

Web3 no se basa completamente en blockchain. Blockchain, como Internet, se compone de capas construidas una encima de la otra. Un ejemplo es el uso generalizado de "puentes", que son protocolos que permiten transferencias entre cadenas de bloques. Estos protocolos también son vulnerables a los ataques. Por ejemplo, en febrero de 2022, los ladrones usaron el puente Wormhole para robar aproximadamente $320 millones en criptomonedas.

5. Robo de billetera y cuenta

Los medios están inundados de historias sobre criptomonedas o ataques a billeteras NFT. Esto se logra más comúnmente cuando los atacantes obtienen acceso a las claves privadas de los usuarios o engañan a los usuarios para que las entreguen mediante phishing. Si estas claves privadas se guardan localmente en el dispositivo de un usuario, pueden ser robadas físicamente.

¿Qué son los contratos inteligentes y los servicios de seguridad de contratos inteligentes?

Un contrato inteligente es un protocolo de transacción que está diseñado para ejecutar, controlar o documentar eventos y acciones legalmente relevantes siguiendo los términos de un contrato o acuerdo. El contrato inteligente brinda muchas ventajas sobre el sistema heredado, pero también representa oportunidades para los atacantes que buscan beneficiarse de las vulnerabilidades. Las cadenas de bloques públicas exacerban el problema de asegurar contratos inteligentes. El código de contrato implementado generalmente no se puede modificar para parchear las fallas de seguridad. Además, los activos robados de los contratos inteligentes son complicados de rastrear y, en la mayoría de los casos, irreemplazables debido a la inmutabilidad. Aunque las cifras varían, se estima que el valor total robado o perdido debido a fallas de seguridad en los contratos inteligentes supera los mil millones de dólares.

Estos ataques y la cantidad de vulnerabilidades provocadas por la falta de parches de seguridad han dado lugar a los servicios de seguridad de contratos inteligentes. Estos servicios de contratos inteligentes brindan monitoreo, detección de problemas, análisis de eventos de contratos en tiempo real y alertas. Cuando las partes del proyecto necesitan actualizar los contratos, algunos servicios de seguridad de contratos inteligentes brindan herramientas de soporte técnico sistemático, como actualizaciones de contratos y migraciones entre cadenas.

Cómo los firewalls web3 y los servicios de seguridad de contratos inteligentes mitigan las fallas de criptoseguridad

Los firewalls Web3 y los servicios de seguridad de contratos inteligentes mitigan las fallas de criptoseguridad de muchas maneras. Algunas de estas formas incluyen:

1. Un escudo entre las aplicaciones Web3 e Internet:

cuando se implementa un firewall Web3, crea una barrera entre la aplicación web3 e Internet. Mientras que un servidor proxy protege la identidad de una máquina cliente mediante el uso de un intermediario, un firewall Web3 es un tipo de proxy inverso que protege al servidor de la exposición al requerir que los clientes atraviesen el firewall antes de llegar al servidor.

2. Filtrado del tráfico malicioso:

un firewall Web3 funciona de acuerdo con un conjunto de reglas conocidas como políticas. Estas políticas tienen como objetivo proteger contra las vulnerabilidades de las aplicaciones al filtrar el tráfico malicioso.

3. Alerta y advertencia de riesgo:

Los cortafuegos de Web3 ayudan a las empresas de Web3 a combatir los ataques cibernéticos al permitir que los proveedores y custodios de billeteras brinden a los usuarios advertencias en tiempo real y contexto de transacciones.

4. Auditoría de seguridad de contratos inteligentes

Al igual que otras aplicaciones de software, los contratos inteligentes necesitan auditorías especializadas para abordar las fallas de seguridad. Los servicios de seguridad de contratos inteligentes llevan a cabo esta auditoría para realizar evaluaciones de seguridad periódicas, evitar errores costosos y garantizar que los contratos funcionen de manera óptima.

Una auditoría de contrato inteligente es un examen exhaustivo línea por línea del código subyacente de un contrato. La auditoría tiene como objetivo detectar y eliminar todas las vulnerabilidades potenciales y confirmar interacciones contractuales confiables.

Ejemplos de cortafuegos web3 y servicios de seguridad de contratos inteligentes.

Blowfish

Blowfish es un proveedor de servicios de seguridad y firewall web3 que aborda los riesgos de ciberseguridad asociados con las interacciones del usuario final con blockchains. Debido a la opacidad de las transacciones de blockchain, las transacciones maliciosas han aumentado en el espacio. Blowfish está desarrollando un servicio que analiza transacciones propuestas en busca de intenciones maliciosas en nombre de billeteras, custodios y usuarios individuales antes de firmarlas y enviarlas a la red, agregando una capa adicional de seguridad que puede proteger a los usuarios de ataques de phishing y dApps maliciosos o secuestrados.

2. Hacken

Hacken es una empresa de ciberseguridad fundada en 2017 para hacer de Web3 un lugar más seguro. Proporciona un conjunto competitivo de servicios profesionales de ciberseguridad en todo el mundo para empresas tecnológicas y comunidades criptográficas.

3. Certik

CertiK es un proveedor de servicios de seguridad de contratos inteligentes y web3 fundado en 2018. Utiliza la mejor tecnología de inteligencia artificial y verificación formal de su clase para asegurar y monitorear contratos inteligentes, cadenas de bloques y aplicaciones Web3.

4. OpenZeppelin

OpenZeppelin proporciona productos de seguridad para el desarrollo, automatización y operación de aplicaciones descentralizadas. Es uno de los principales proveedores de tecnología y servicios de ciberseguridad criptográfica y cuenta con la confianza de los proyectos DeFi y NFT más populares. OpenZeppelin, fundado en 2015 para proteger la economía abierta, protege decenas de miles de millones de dólares en fondos para organizaciones criptográficas líderes como Coinbase, Ethereum Foundation, Compound, Aave, the graph y muchas otras.

Conclusión

El número cada vez mayor de Web3, contratos inteligentes y proyectos DeFi que controlan enormes fondos ha hecho que las medidas de seguridad sean esenciales. A pesar de lo prácticos y confiables que son estos contratos inteligentes, pueden tener fallas de seguridad graves si no se examinan, auditan y monitorean a fondo. Del mismo modo, muchas consultas de la API de Web3 actualmente no están firmadas criptográficamente, lo que las expone a ataques. Los firewalls Web3 y los servicios de seguridad de contratos inteligentes mitigan estas fallas al filtrar el tráfico malicioso, auditar contratos inteligentes y alertas y advertencias.

Autor: M. Olatunji , investigador de Gate.io

Descargo de responsabilidad:

* Este artículo representa solo las opiniones de los observadores y no constituye ninguna sugerencia de inversión.

*Gate.io se reserva todos los derechos sobre este artículo. Se permitirá volver a publicar el artículo siempre que se haga referencia a Gate.io. En todos los demás casos, se emprenderán acciones legales por infracción de derechos de autor.