DeFi continúa sangrando millones de dólares a los piratas informáticos cada mes, lo que llevó a un experto en seguridad a ofrecer una solución controvertida al problema: a saber, la centralización de ciertos aspectos de los protocolos descentralizados.
Nanak Nihal Khalsa, cofundador de la startup de seguridad Web3 Holonym, dijo que entiende que introducir la centralización sería ciertamente polémico en una industria que se enorgullece de ser “incensurable”. Pero sostiene que es posible que los protocolos DeFi logren un delicado equilibrio que impida que cualquiera bloquee las transacciones diarias y al mismo tiempo evite el robo de grandes cantidades de fondos.
“Si queremos que la gente común use criptomonedas, debemos esforzarnos por diseñar e implementar formas de evitar ‘transacciones aterradoras’, y esto se puede hacer agregando centralización en lugares que estén bien para estar centralizados”, dijo Khalsa.
Los comentarios de Khalsa surgieron como reacción a un informe reciente de la empresa de criptoseguridad Peckshield, que reveló que los protocolos DeFi perdieron 85,5 millones de dólares a manos de los piratas informáticos en noviembre, lo que eleva la pérdida anual de la industria a más de 2,43 mil millones de dólares en lo que va de 2024.
El mes pasado, Peckshield registró más de 30 ataques de piratería distintos, siendo los mayores perdedores Thala, que perdió 25,5 millones de dólares en fondos criptográficos, y DEXX, a quien le quitaron 21 millones de dólares mediante un pirateo de protocolo.
El informe destaca cómo los piratas informáticos atacan cada vez más los protocolos DeFi, debido a la prevalencia continua de vulnerabilidades en su código subyacente y contratos inteligentes. Si bien las pérdidas de noviembre fueron inferiores a los 102,42 millones de dólares robados en octubre, se robó más dinero de las plataformas DeFi que el mes anterior.
Junto con Thala y DEXX, plataformas como Gifto, Polter Finance y Delta Prime también fueron víctimas de ataques multimillonarios el mes pasado.
Khalsa dice que estos últimos incidentes dan más peso al argumento de que la industria DeFi nunca podrá confiar únicamente en las auditorías de contratos inteligentes, ya que simplemente no es posible descubrir todas las vulnerabilidades que se introducen en su código.
“Las auditorías ya están algo maduras”, señaló Khalsa. “No creo que vayamos a ver más grandes avances en términos de auditorías de seguridad.
Más bien, la industria Web3 necesita aprender de sus contrapartes en Web2, que sufre comparativamente menos incidentes de piratería debido a la forma en que sus sistemas están centralizados, dijo Khalsa. Dijo que Web2 se ha vuelto muy bueno en la prevención del fraude porque ha creado varios sistemas y herramientas que pueden detectar cuando los piratas informáticos están intentando procesar una transacción maliciosa y bloquearles para que no retiren fondos.
“Esto es lo que hacen su tarjeta de crédito y su banco, y es por eso que la mayoría de la gente los considera seguros”, argumenta Khalsa. “Si los bancos permitieran a los usuarios realizar cualquier transacción sin verificar primero su seguridad, les garantizo que los ataques se producirían en esa industria con mucha más frecuencia y por cantidades mucho mayores de lo que vemos ahora. Las pérdidas superarían con creces las pérdidas de Web3”.
El problema es que, si un protocolo DeFi es capaz de bloquear transacciones sospechosas, también tendría la capacidad de bloquear retiros legítimos. Eso significaría que ya no es resistente a la censura, y sería enormemente controvertido, ya que las criptomonedas se basan en el ideal de ser resistentes a la censura.
Sin embargo, Khalsa señala que sólo es posible introducir un grado limitado de centralización en los protocolos Defi.
“No tenemos que centralizar todo el protocolo, ya que existe todo un espectro de control que se puede introducir”, argumentó. “Por ejemplo, podemos programar contratos inteligentes para bloquear solo transacciones superiores a 1 millón de dólares, si cumplen con criterios específicos que las marquen como sospechosas. Eso evitaría enormes pérdidas de protocolos, sin censurar las actividades diarias de los usuarios”.
Khalsa también pidió que los protocolos DeFi trabajen más duro para prevenir incidentes como ataques de phishing, que siguen siendo una de las causas más comunes de los ataques a DeFi.
“Existen un montón de herramientas, como Blockaid, Tenderly, Alchemy, Blowfish y GoPlus”, dijo. “Ellos [protocols] “Deberíamos asegurarnos de alertar a los usuarios o aplicar políticas basadas en cambios de equilibrio y amenazas potenciales detectadas por estas herramientas”.
Además, instó a los protocolos DeFi a mantenerse al tanto, señalando que la rápida respuesta del equipo de Thala significó que pudo recuperar $25,2 millones del total de $25,5 millones que fueron robados, debido a las rápidas acciones que tomó.
“El tiempo de respuesta es muy importante; cuanto antes responda, antes podrá impedir que un atacante retire los fondos a mezcladores o intercambios”, señaló Khalsa. “Las empresas más grandes suelen formar a sus empleados para responder rápida y eficazmente a los incidentes de seguridad, y muy a menudo funciona”.
La publicación Los continuos problemas de seguridad de DeFi provocan un llamado a un replanteamiento radical que apareció por primera vez en TechBriefly.
Source: Los continuos problemas de seguridad de DeFi provocan un llamado a un replanteamiento radical
