Auditado, pero Hackeado: El Papel Crítico de la Monitoreo en Tiempo Real en Web3

El siguiente artículo de opinión fue escrito por Michael Pearl, VP Go-To-Market, Cyvers.ai.

El Papel de las Auditorías de Contratos Inteligentes

Las auditorías de contratos inteligentes son indudablemente un elemento crucial en la arquitectura de seguridad de cualquier proyecto de criptomonedas. Estas auditorías ayudan a identificar vulnerabilidades típicas y errores relacionados con la seguridad antes de que el contrato se despliegue. Realizar múltiples auditorías por diferentes empresas es una práctica común, con la intención de asegurar que cualquier problema potencial sea detectado y abordado.

Sin embargo, aunque las auditorías reducen los puntos de ataque y la probabilidad de un hackeo, no hacen que un sistema sea infalible. Las auditorías son solo una parte de la imagen completa. Pueden encontrar vulnerabilidades comunes, pero no pueden tener en cuenta nuevos vectores de ataque sofisticados que pueden surgir después del despliegue. Por lo tanto, confiar únicamente en las auditorías no equivale a hacer todo lo posible para asegurar un sistema.

Estudios de Caso: Auditados, Luego Hackeados

La lista de proyectos que fueron hackeados, a pesar de haber tenido sus contratos inteligentes auditados—muchas veces más de una vez y por más de un proveedor de auditoría—es lamentablemente muy larga. Varios ejemplos recientes ilustran la discrepancia entre las expectativas y los resultados reales.

• Dough Finance fue hackeado el 12 de julio de este año y perdió $1.8M. Los contratos del proyecto fueron auditados por al menos una empresa de auditoría en noviembre de 2023 y fueron incluso etiquetados como “de bajo riesgo” por el auditor.
• UwU Lend fue hackeado dos veces, el 10 y 13 de junio de este año, y perdió $19.3M. Los contratos inteligentes de la empresa fueron auditados por al menos una firma de auditoría.
• Radiant Capital fue hackeado el 3 de enero de este año y perdió $4.5M. La empresa afirmó que sus contratos habían sido auditados por cuatro diferentes empresas de auditoría, descritas como “las mejores del mundo” en la documentación de la empresa.
• Los contratos inteligentes de Euler Finance fueron explotados el 13 de mayo del año pasado, resultando en una pérdida de $197M. Según la empresa, sus contratos fueron auditados por cuatro empresas de auditoría líderes.
• El protocolo DeFi LI.FI fue explotado el 16 de julio de este año y perdió alrededor de $11M. Dos años antes del hackeo, la empresa publicó una publicación en el blog presentando con orgullo el hecho de que fue auditada por dos proveedores de auditoría.

El Elemento Faltante: Monitoreo en Tiempo Real y Evaluación Pre-Transacción

Muchas empresas pasan por alto la importancia del monitoreo en tiempo real y la evaluación pre-transacción para la evaluación de riesgos. Estos componentes son esenciales para una estrategia de seguridad integral.

El Monitoreo en Tiempo Real proporciona supervisión continua de los contratos inteligentes desplegados, detectando y respondiendo a problemas de seguridad, estafas, fraudes y otros incidentes maliciosos a medida que ocurren. Este enfoque proactivo reduce significativamente la ventana de oportunidad para los hackers y permite una acción inmediata para mitigar el daño potencial.

La Evaluación Pre-Transacción evalúa el riesgo de las transacciones antes de que se ejecuten, ayudando a bloquear actores maliciosos y prevenir actividades fraudulentas. Al integrar este proceso de evaluación, las empresas pueden asegurarse de que solo se procesen transacciones legítimas, mejorando aún más su postura de seguridad.

La Necesidad de Mecanismos de Gestión de Crisis

Además del monitoreo en tiempo real y la evaluación pre-transacción, es crucial implementar mecanismos de gestión de crisis, como funciones de pausa y otros interruptores automáticos. Estos pueden ser automatizados o manuales y son vitales para responder en tiempo real a las alertas de los sistemas de monitoreo y detección.

Conclusión

Las auditorías de contratos inteligentes son una parte esencial de la seguridad en Web3, pero no son suficientes por sí solas. Para asegurar verdaderamente los proyectos de criptomonedas, las empresas deben adoptar un enfoque holístico que incluya monitoreo en tiempo real, evaluación pre-transacción y robustos mecanismos de gestión de crisis. Al integrar estas avanzadas medidas de seguridad, las empresas de criptomonedas pueden mejorar significativamente su postura de seguridad, protegiendo sus proyectos y los fondos de sus clientes de las amenazas en constante evolución en el espacio Web3.

¿Qué opinas sobre la perspectiva y opinión del ejecutivo de Cyvers.ai? Comparte tus pensamientos y opiniones sobre este tema en la sección de comentarios a continuación.