Una resolución de Año Nuevo criptográfico: modernizar la infraestructura de seguridad

Es seguro decir que 2020 ha sido un año excepcional para el espacio de activos digitales. Bitcoin (BTC) ha superado su máximo anterior y muchas otras criptomonedas importantes han alcanzado sus niveles más altos desde el pico de 2017 y principios de 2018. En la industria de servicios financieros, las voces institucionales están expresando un interés renovado en ellas. recursos digitales. El crecimiento y maduración de este espacio ha sido imposible de ignorar, despertando un gran optimismo entre quienes construyen las plataformas y sistemas sobre los que se ejecuta.

Desafortunadamente, no todos los titulares del año pasado han sido positivos. Se han pirateado varios intercambios de cifrado conocidos y otras organizaciones, lo que ha provocado pérdidas significativas. Eventos como estos no solo dañan la reputación de una empresa y son potencialmente devastadores para los inversores, sino que también erosionan la confianza ganada con tanto esfuerzo en el espacio de los activos digitales entre los inversores institucionales y el público.

Muchos de estos ataques podrían haberse evitado si las empresas en cuestión hubieran tomado medidas proactivas para modernizar su infraestructura tecnológica. A medida que terminamos este año vertiginoso para los activos digitales, se espera que una de las principales resoluciones de la industria para 2021 sea reconsiderar su enfoque de la infraestructura y realizar cambios para garantizar que los inversores de todo tipo puedan comerciar y desempeñarse. transacciones con seguridad, eficiencia y tranquilidad.

Echemos un vistazo a tres de los mayores eventos de piratería informática de 2020 y observemos cómo un enfoque más inteligente de la infraestructura podría haber conducido a un resultado diferente.

Índice

    KuCoin Hack: $ 275 millones en fondos de clientes robados

    El 25 de septiembre, el intercambio de criptomonedas KuCoin fue el objetivo de un gran hackeo que afectó a sus billeteras activas Bitcoin, Ether (ETH) y ERC-20. Si bien el análisis inicial sugirió que los piratas informáticos robaron alrededor de $ 150 millones, las estimaciones comenzaron a aumentar en los días siguientes, convirtiéndolo en uno de los mayores eventos de piratería informática en la historia de los activos. digital.

    En relación: KuCoin hack sin caja: más cripto posiblemente robado de lo esperado

    De hecho, el hackeo fue el resultado del robo de claves privadas. Si bien aún prevalecen en el espacio de los activos digitales, las claves privadas significan que siempre habrá un único punto de falla a través del cual los malos actores pueden reclamar acceso sin restricciones a billeteras activas. En pocas palabras, representan un riesgo comercial.

    Un mejor enfoque hubiera sido aprovechar los protocolos de computación de múltiples partes, que eliminan la necesidad de claves privadas y firman cada transacción de manera segura y distribuida, junto con un mecanismo de control y gobernanza más sólido.

    En el caso de KuCoin, incluso si el intercambio se violara con éxito, el pirata informático no podría ejecutar una transacción no autorizada por el motor de políticas proporcionado por la infraestructura de la institución.

    Congelación de retiro de OKEx

    Durante cinco semanas en octubre y noviembre, los inversores no pudieron realizar retiros en el intercambio de criptomonedas OKEx. En una carta a los clientes, OKEx reveló que uno de sus titulares de claves privadas estaba cooperando con una investigación policial, lo que los mantuvo fuera de contacto con la empresa e impidió la ejecución de su proceso de autorización. multifirma.

    Para una plataforma que los usuarios aprovechan para tomar decisiones de inversión importantes, la idea de que una persona se vea comprometida podría causar que una función crítica se desactive durante más de un mes es claramente insostenible.

    Aquí hay una lección: cuando las empresas utilizan funciones de blockchain diseñadas para la seguridad para hacer cumplir las políticas, el resultado es una inflexibilidad abrumadora. Esta es una de las paradojas del espacio de los activos digitales: las transacciones de blockchain son seguras e irreversibles, pero sin el enfoque correcto, esta misma rigidez puede ser un desastre si las cosas salen mal.

    Para evitar esto, las empresas deben asegurarse de que su infraestructura incluya un motor de políticas que, sin comprometer la seguridad, permita un control de políticas más flexible para múltiples aprobadores, incluida la separación de las transacciones de firma y aprobación. . Con este tipo de solución implementada, la capacidad de OKEx para operar completamente no habría dependido de la disponibilidad de una persona clave.

    Violación de Nexus Mutual: $ 8 millones robados

    Estos eventos de piratería no se limitaron al comercio, como lo demuestra la ruptura en diciembre de Nexus Mutual, una plataforma financiera descentralizada que sirve como alternativa a los seguros. El hacker logró obtener acceso al dispositivo personal del CEO Hugh Karp e instalar una versión comprometida de MetaMask, lo que llevó a Karp a firmar inadvertidamente una transacción que envió 370,000 NXM, por un valor de 8.2 millones de dólares, a una dirección controlada por un atacante.

    El problema aquí tiene que ver con las carteras administradas localmente. Estas billeteras locales no pueden proporcionar un motor de políticas fuera de banda, por lo que no hay forma de verificar que un contrato y la dirección de la contraparte estén incluidos en la lista blanca, el monto y el emisor. de acuerdo con la política de la empresa, o que hay aprobadores adicionales para algunos. parámetros de transacción.

    Involucrar a un tercero con un enfoque de infraestructura más flexible y seguro es la forma de abordar estos riesgos. Esto es particularmente importante para reducir la manipulación de las direcciones de las contrapartes, que es un riesgo en muchos escenarios. Incluso en el caso poco probable de que un proveedor como este sea violado, existen salvaguardas para verificar las direcciones de las contrapartes, lo que brinda a las empresas múltiples líneas de defensa.

    Conclusión

    Si bien los activos digitales han ganado un impulso notable en los últimos meses, muchas empresas aún necesitan mejorar su infraestructura de seguridad antes de que pueda comenzar la verdadera adopción de activos digitales.

    Esto no tiene la intención de reprender a aquellas empresas, que continúan haciendo un trabajo importante al servicio de la industria, sino de identificar dónde deben enfocarse para lograr un crecimiento futuro y llevar los activos digitales a la corriente principal.

    Para todos estos problemas (seguridad de clave privada, estructura de autorización, billeteras locales y más) existen enfoques que pueden conducir a transacciones más eficientes y sin estrés y menos titulares que disparen la alarma para los inversores tradicionales que. todos queremos lograr.

    Los puntos de vista, pensamientos y opiniones expresados ​​en este documento son exclusivos del autor y no reflejan ni representan necesariamente los puntos de vista y opiniones de Cointelegraph.

    Papa Malinger es cofundador y director ejecutivo de Curv, una empresa de infraestructura de seguridad de activos digitales. Se basa en más de 15 años de experiencia en ciberseguridad en los sectores público y privado. Anteriormente, Itay fue director de productos de seguridad empresarial en Akamai Technologies.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir