Las empresas de criptomonedas están gastando mucho en auditorías de seguridad, pero los piratas informáticos todavía se llevan miles de millones de dólares. Según un nuevo informe de Oak Security, muchos de los ataques más importantes ya no se dirigen a fallas en el código de los contratos inteligentes. En cambio, los atacantes aprovechan las credenciales robadas, los controles internos débiles y los errores operativos.
Desde 2022, los ciberdelincuentes, incluido el Grupo Lazarus de Corea del Norte, han robado más de 2.200 millones de dólares de plataformas criptográficas. Durante el mismo período, la industria aumentó considerablemente el número de auditorías de códigos. Sin embargo, muchas violaciones de seguridad importantes se han originado en áreas que las auditorías tradicionales no están diseñadas para evaluar, incluida la gestión de claves privadas, los mecanismos de gobernanza y los controles de seguridad internos.
El informe señala una brecha cada vez mayor entre lo que las auditorías pueden proteger y cómo operan ahora los atacantes. Como resultado, los expertos en seguridad dicen que las empresas de cifrado deben mirar más allá del código y fortalecer los sistemas y procesos que protegen los fondos de los clientes.
Los atacantes van más allá de los contratos inteligentes
Las auditorías de código se han vuelto mucho más sofisticadas, lo que ayuda a los desarrolladores a detectar vulnerabilidades antes de que los proyectos entren en funcionamiento y reducen la cantidad de fallas encontradas en los contratos inteligentes. Pero a medida que la tecnología mejoró, los piratas informáticos cambiaron su enfoque.
Los atacantes intentan explotar a los humanos y los sistemas dentro de una organización en lugar de los errores en la codificación. Estos tipos de ataques incluyen ataques de phishing, robo de claves privadas, explotación de actualizaciones del sistema y amenazas internas. Muchos robos a gran escala en los últimos tiempos se han debido a este tipo de ataques, no a fallos en la codificación de las aplicaciones.
Los investigadores dijeron que las auditorías todavía funcionan según lo previsto, identificando problemas de seguridad antes de la implementación. El problema es que las auditorías sólo pueden evaluar el código. No pueden evitar que un empleado entregue credenciales, apruebe una transacción fraudulenta o sea víctima de un ataque de phishing. Como resultado, un código seguro ya no es suficiente para proteger una plataforma criptográfica por sí solo.
Relacionado: Binance corre el riesgo de perder el acceso a la UE mientras Grecia rechaza la licencia MiCA
La falsa confianza crea nuevos riesgos
Los proyectos criptográficos a menudo señalan las auditorías de seguridad como evidencia de que sus plataformas son seguras, destacando revisiones e informes completos de empresas auditoras. Para muchos usuarios, esas auditorías pueden crear la impresión de que un proyecto está protegido contra fallas de seguridad importantes.
Los investigadores dicen que esa suposición puede ser engañosa. Una auditoría solo evalúa el código de un proyecto en un momento específico. Pueden surgir nuevos riesgos a medida que las plataformas actualizan su infraestructura, cambian las estructuras de gobernanza o amplían sus operaciones.
El reciente hackeo de KelpDAO subraya ese desafío. Si bien el ataque no estuvo relacionado con una falla en el código de contrato inteligente auditado, los usuarios aún vieron cómo otra plataforma criptográfica perdía fondos. Los expertos en seguridad dicen que la mayoría de los inversores no distinguen entre un fallo de codificación y un fallo operativo cuando se pierde dinero.
Según el informe, reducir esos riesgos requerirá más que revisiones de código. Los investigadores dijeron que los proyectos deberían fortalecer la seguridad de las claves privadas, mejorar los sistemas de monitoreo, ampliar la capacitación en seguridad de los empleados y agregar salvaguardas que puedan detectar actividades sospechosas antes de que aumenten las pérdidas.
Relacionado: SBF dice que podría lanzar una nueva moneda después de la prisión a medida que las inversiones perdidas alcanzan miles de millones