in

Seguridad basada en piratas informáticos y DeFi: cómo la inteligencia humana mejora la seguridad de las criptomonedas


Cómo DeFi está expandiendo las criptomonedas

Una de las principales ventajas de las criptomonedas es la suya. Privacidad y accesibilidad. Los usuarios no necesitan cuentas bancarias y, en cambio, se identifican mediante pares de claves públicas / privadas en lugar de su identidad real. Las transacciones en criptomonedas también ofrecen tarifas de transacción bajas y un procesamiento más rápido en comparación con las transacciones en moneda fiduciaria. Las transacciones con criptomonedas también pueden ser realizadas por aquellos que no tienen una cuenta bancaria.

DeFi está expandiendo la criptomoneda desde la transferencia de valor a casos de uso financiero más complejos.

Los tres ejemplos más comunes son:

  • Derivados de DeFiLos derivados de DeFi pueden representar activos y beneficios reales o virtuales Valor basado en el rendimiento de una empresa subyacente, como un activo criptográfico, moneda fiduciaria o materias primas como oro, acciones o bonos.
  • Préstamos y préstamosLos prestatarios individuales y las organizaciones pueden acceder fácilmente a las plataformas de préstamos DeFi y ganar intereses en forma de criptomonedas en sus fondos depositados, todo sin la interferencia de terceros.
  • Gestión de activos – DeFi Asset Management ayuda a los clientes a proteger y administrar activos financieros con herramientas para Plataformas de intercambio, diversificación de activos de cartera y seguimiento de inversiones en múltiples plataformas.

Casos de uso de DeFi de seguridad asistida por piratas informáticos

HackerOne habló recientemente con un pirata informático anónimo que se aferra al mango samczsun, experto en el espacio blockchain. Como ex ingeniero de seguridad en Trail of Bits y actualmente socio de investigación de Paradigm, samczsun es conocido por la divulgación de criptomonedas y los conocimientos que han ahorrado a los usuarios fondos significativos. samczsun está pirateando la economía digital abierta, global y en línea de las ofertas de tecnología Ethereum, incluido el dinero digital, los pagos globales y las aplicaciones.

Aprendimos más sobre sus experiencias en nuestra sesión de preguntas y respuestas con samczsun.

¿Cuánto dinero ha ahorrado a los usuarios de DeFi de sus divulgaciones?

Esto es dificil de decir. He informado más de 30 vulnerabilidades en registros individuales, pero no a todas las vulnerabilidades se les puede asignar fácilmente un valor monetario. En el momento de escribir este artículo, estimaría que he ahorrado más de 450 millones de dólares.

La mayor parte de este valor proviene de un error reciente de SushiSwap que encontré. Puedes encontrar la reseña aquídonde hablo de solución de problemas y resolución de problemas.

También encontré un error de billetera inteligente Authereum que habría permitido a un atacante secuestrar la posesión de cualquier billetera. Era casi idéntico al primero Hack de paridad multi-sig– un error que puso en riesgo más de $ 200 millones. Informé el error de la billetera inteligente solo unos días después de que comenzó, por lo que no hubo fondos importantes en riesgo.

¿Cómo llegaste a hackear para siempre y qué te motiva a hackear proyectos de Ethereum?

Mi primera ruptura seria en la seguridad de la información fue la ingeniería inversa de aplicaciones Java, aunque el proceso de aprendizaje fue doloroso ya que decidí sumergirme directamente en las cosas. Con Ethereum, la mayoría de la gente hace que su código sea de código abierto y la revisión del código es infinitamente más fácil que la ingeniería inversa.

En vista de una vulnerabilidad de seguridad crítica, no hace falta decir que la divulgo de manera responsable.

¿Cuáles son las diferencias entre piratear contratos inteligentes de Ethereum y piratear activos convencionales?

Los hackeos corporativos llevan mucho tiempo y los atacantes suelen dejar rastros, como llamadas a API o alquilar servidores. Dependiendo del tipo de ataque, la empresa también puede contratar agencias de aplicación de la ley para ayudar a recuperar los activos robados.

Las cadenas de bloques, por otro lado, son inherentemente seudónimos, y las fuerzas del orden no pueden sancionar una dirección para transferir el dinero sucio. No hay registros para consultar, ya que el atacante no necesita conectarse a servidores privados. La seguridad de Ethereum tiene un sentido de urgencia que no tiene con la seguridad tradicional.

¿Cómo describiría la madurez de seguridad de DeFi y cómo cree que se verá en cinco años?

La situación de seguridad de DeFi es casi bimodal. Los proyectos de baja calidad comienzan rápidamente para aprovechar las últimas corridas alcistas y ganar dinero rápidamente. Los proyectos de alta calidad utilizan lo que hemos aprendido a lo largo de los años y crean productos con una base de seguridad sólida.

Creo que en cinco años tendremos una mejor comprensión de las diferentes clases de vulnerabilidades y más herramientas para ayudar a los desarrolladores a asegurar su código sin contratar auditores costosos. Con suerte, todo esto se traduce en menos dinero perdido cada año.

En su opinión, ¿qué tipo de vulnerabilidad en el contrato inteligente es particularmente interesante?

Las debilidades que resultan de la lógica empresarial compleja son más interesantes porque no se pueden descubrir mediante una lista de verificación. los Finanzas encurtidas Hack es un gran ejemplo de esto. Cada componente funcionó casi según lo planeado, pero cuando se combinó resultó en una vulnerabilidad devastadora que causó una pérdida de casi $ 20 millones.

¿Qué señales de advertencia busca al evaluar la seguridad de un proyecto (además de leer el código fuente)?

No mucho mas. Como es el lema no oficial: «El código es ley». Suponiendo que el código fuente esté disponible, eso es todo lo que me importa.

Son conocidos por centrarse en el código fuente al revisar un proyecto. ¿Existe alguna herramienta que crea que es esencial para un flujo de trabajo de piratería de contratos inteligente?

Lo esencial es algo para navegar por el código y algo para probar. Por lo general, me las arreglo con GitHub, pero GitHub no escala con algunos protocolos más grandes, y lo clono en VSCode o IntelliJ.

En su opinión, ¿qué importancia tienen los programas de recompensas por errores para los proyectos DeFi?

Las recompensas de errores son increíblemente importantes en cripto. Incluso si no puede permitirse gastar mucho dinero, un método autorizado oficialmente para comunicarse y reportar problemas de seguridad muestra que ha pensado en el problema.

¿Qué consejo le daría a la próxima generación de piratas informáticos?

No subestime el poder de volver a una base de código por segunda vez. Encontré tantos errores en proyectos que pensé que eran seguros cuando los miré por primera vez. A veces, todo lo que necesita hacer es tomarse el tiempo para digerir toda la información.

¿Cuáles son los mayores desafíos para comenzar a piratear contratos inteligentes? ¿Algún consejo para superarlos?

El mayor desafío es saber qué buscar. En teoría, podría deducir todo de los primeros principios revisando los contratos inteligentes. Sin embargo, es más eficiente buscar las 10 compilaciones principales de vulnerabilidades de contratos inteligentes. Puedes ver mi lista de informes de vulnerabilidad. aquí. También ayudé a organizar un CTF de contrato inteligente en Paradigm. Los archivos son aquí. Pero tenga cuidado, algunos de los desafíos son realmente desagradables.



What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Más allá de la pandemia: ¿por qué el costo de una violación de datos es más alto que nunca?

Herramientas de evaluación de vulnerabilidades [Top Tools & What They Do]