Los datos sobre hacks, estafas y exploits están disponibles, y 2022 ya es el año más caro para Web3 registrado. Mientras que en 2021 se produjeron pérdidas de 1300 millones de dólares, las pérdidas ya eran de 2000 millones de dólares al cierre de junio de 2022. Extrapolando estos números, se prevé que en 2022 se produzca un aumento del 223 % en la cantidad perdida por piratería informática, estafas y exploits en comparación con 2021. Cifras impactantes, por decir lo menos.

Sin duda, esto será desalentador para una comunidad Web3 que aún lucha por encontrar su lugar en el contexto de un mercado bajista. Momentos como este requieren un análisis sobrio y sensato de cómo ocurrieron estas pérdidas y cuáles son los próximos pasos para cualquiera que trabaje hacia la adopción masiva. 

El aumento de las pérdidas es desalentador, pero la experiencia deja en claro lo que debe suceder para que Web3 logre una adopción masiva. Para hacerlo, es vital que la comunidad tenga los ojos claros sobre los desafíos y las oportunidades de dónde están las cosas en este momento: las vulnerabilidades del ecosistema actual, lo que significan para el estado actual de la comunidad y los pasos que se deben seguir. para alcanzar un futuro Web3 seguro y estable. Estos son cuatro de los pasos más críticos:

1. Comprender el papel de Web2 en las infracciones de Web3 

Ha habido un aumento significativo en el número de ataques de phishing, con un aumento de más del 170% en comparación con el trimestre anterior. Este aumento es frustrante por múltiples razones, sobre todo porque los ataques de phishing deben evitarse fácilmente, ya que incluso los inversionistas ingenuos saben que las promesas de obsequios demasiado buenos para ser verdad de extraños al azar probablemente sean fraudulentas. 

Sin embargo, a medida que los ataques de phishing se han vuelto más sofisticados, incluso los inversores experimentados han sido víctimas de ellos, y los atacantes operan cada vez más bajo el pretexto de la autenticidad después de obtener acceso a las cuentas de redes sociales oficiales de los proyectos. Esto ha llevado a ataques de phishing que son más lucrativos y tienen una mayor tasa de éxito, ya que, de lo contrario, los inversores inteligentes son engañados para que sigan enlaces aparentemente auténticos. 

Un ejemplo de esto es el pirateo de Bored Ape Yacht Club (BAYC) que ocurrió en junio después de que un pirata informático comprometiera la cuenta de Discord del administrador de la comunidad del proyecto. Con acceso a BAYC Discord, el pirata informático publicó un enlace a un duplicado del sitio de BAYC que atrajo a los usuarios a conectar sus billeteras con la promesa de NFT gratuitos. En total, se perdieron más de 200 ETH en NFT en el ataque. 

El aumento de estos ataques muestra uno de los principales puntos conflictivos para la seguridad de Web3: los proyectos de Web3 se están volviendo dependientes de la infraestructura de Web2 para tener éxito. Como resultado, los piratas informáticos pueden aprovechar las vulnerabilidades de Web2 para comprometer proyectos de Web3 que de otro modo serían seguros. 

Esto es especialmente frustrante para aquellos de nosotros que trabajamos para asegurar el ecosistema Web3 ya que, tomados por sí solos, los principios de una arquitectura descentralizada que defienden Web3 deberían hacer obsoletos los riesgos de punto único de falla y centralización. Ver a los piratas informáticos explotar estas vulnerabilidades a medida que ocurren en las plataformas de redes sociales para lanzar posiblemente el truco más antiguo en el libro de los ataques de Internet es como presenciar un robo en un banco porque alguien dejó la puerta trasera abierta.

Entonces, ¿qué puede hacer la comunidad Web3 al respecto? En primer lugar, cualquier proyecto Web3 que dependa de infraestructuras Web2, como un mercado de sitios web o Discord y Telegram, debe fomentar prácticas de descentralización en torno a estos puntos de centralización. En la práctica, esto implica requerir varias firmas cada vez que se accede a una cuenta con controles privilegiados y revocar esa autorización después de cada uso. Además, se deben implementar las mejores prácticas y soluciones de seguridad Web2 tradicionales, como la seguridad antiphishing. Esto hace que sea mucho más difícil para un hacker ejercer un ataque estilo Web2, obtener acceso e infligir daño.

En el otro extremo está la educación. Los usuarios deben tener la máxima precaución al interactuar con cualquier plataforma que les pida que conecten su billetera u ofrezcan obsequios. Incluso si parece provenir de una fuente confiable, nunca puede ser demasiado cuidadoso dada esta nueva generación de ataques de phishing. Verifique siempre la autenticidad de un enlace comparando los mensajes y los sitios web con sus contrapartes oficiales y, en caso de duda, comuníquese con el equipo del proyecto a través de un correo electrónico oficial. ¡Los proyectos de buena fe estarán tan ansiosos por evitar una posible estafa como usted!

2. Aprende de los ataques flashloan

Junto con los ataques de phishing, el segundo trimestre de 2022 vio una continuación del aumento de lo que está demostrando ser una de las hazañas más devastadoras en el arsenal de un pirata informático: el infame ataque flashloan . 

Después de ver más pérdidas por ataques flashloan que cualquier otro trimestre registrado (un aumento asombroso del 2000 % con respecto al último trimestre), el segundo trimestre destaca la urgencia de que los proyectos Web3 y las empresas de seguridad aborden las vulnerabilidades que los hacen posibles.

Los ataques Flashloan rara vez siguen patrones predecibles o estandarizados, y los eventos recientes no son una excepción. Más bien, los datos muestran cómo los piratas informáticos encuentran continuamente nuevas formas de aprovechar los préstamos rápidos para detectar fallas en el código o la arquitectura de un proyecto. Esto significa que los ataques flashloan a menudo se adaptan a las vulnerabilidades específicas de cada proyecto y, como resultado, son uno de los vectores de ataque más difíciles de detectar. 

Poniendo la urgencia de este problema en perspectiva, ahora se pronostica que en 2022 se verán $ 656 millones en pérdidas por ataques flashloan. Eso representa un aumento del 78 % en las pérdidas con respecto al año anterior, una cifra preocupante en una categoría que apunta a algunas de las funciones más innovadoras de Web3. Cambiar esta trayectoria dependerá del esfuerzo colectivo de toda la comunidad Web3 para duplicar las mejores prácticas de seguridad y para que esas prácticas avancen más allá de sus limitaciones actuales. 

Sin embargo, esta dificultad para abordar los ataques flashloan pone de relieve un problema que enfrenta el ecosistema Web3 en su conjunto: ¿Cómo pueden los proyectos Web3 cambiar a una posición de anticipación y preparación para nuevas formas de ataque en lugar de simplemente responder a ellos después del hecho?

3. Implementar seguridad de extremo a extremo para una Web segura3

Si bien las herramientas ya disponibles son vitales para mantener un ecosistema Web3 seguro y protegido, existe una necesidad apremiante de aumentar tanto la variedad como el rendimiento de estas herramientas. En última instancia, los métodos para detectar vulnerabilidades deben ser mucho más precisos y granulares que los de los piratas informáticos, y los métodos para imaginar vectores de ataque nuevos e invisibles aún más creativos. 

4. Identifique el margen de mejora e innove en consecuencia

Al igual que con cualquier nueva tecnología y cualquier innovación, particularmente una que ha crecido a un ritmo tan rápido, las vulnerabilidades en el código son una parte inevitable del crecimiento de Web3. Debido a esto, es de vital importancia que la seguridad Web3 crezca y se implemente a la par del crecimiento de la tecnología Web3. 

Parte de esto significa desarrollar nuevos y mejores mecanismos de detección y prevención. Pero también implica fomentar culturas de transparencia en torno a los proyectos a través de más herramientas basadas en humanos, como los controles KYC. Esto no solo lucha contra los hackeos y los tirones al presentar formas de responsabilizar a los equipos de proyectos, sino que también ayuda a impulsar la inversión al reforzar la confianza de los usuarios en los proyectos.  

En última instancia, no podemos saber dónde estará la industria de Web3 a fines de 2022, ni en qué condición estará. Sin embargo, podemos garantizar que el estado de nuestra seguridad colectiva de Web3 mejore al impulsar la seguridad de extremo a extremo en Web3. proyectos 

Esto se debe en gran medida a que los proyectos de Web3 adoptan estos enfoques y, por supuesto, a los proveedores de seguridad de Web3 que continúan desarrollando y perfeccionando sus métodos. Sin embargo, la comunidad más amplia de inversionistas y usuarios de Web3 también puede contribuir a esto tomando más conciencia de la seguridad y utilizando esta conciencia para invertir en proyectos que están haciendo todo lo posible para protegerse a sí mismos y a su base de usuarios. Este esfuerzo colectivo es clave para hacer retroceder las crecientes pérdidas provocadas por los piratas informáticos y asegurar un ecosistema Web3 saludable.

Fuente: venturebeat