A medida que las pérdidas de criptomonedas por fallos de seguridad superan los USD 1.500 millones, los expertos en ciberseguridad instan a los exchanges a mejorar los programas de recompensas por fallos para atraer a los mejores hackers éticos y reforzar la seguridad de las plataformas.
El 3 de marzo, la empresa de seguridad de la cadena de bloques CertiK declaró que las pérdidas de criptomoneda por hacks en febrero habían alcanzado los USD 1.530 millones, siendo el ataque a Bybit el responsable de la mayor parte de las pérdidas, con más de USD 1.400 millones. Sin tener en cuenta este incidente, CertiK informó de que otros ataques habían provocado pérdidas de USD 126 millones, incluido un ataque a Infini por valor de USD 49 millones.
El hacker ético Marwan Hachem declaró a Cointelegraph que el aumento de las pérdidas por hacks de criptomonedas ponía de manifiesto la creciente necesidad de mejorar los programas de recompensas por fallos.
Hachem dijo que para evitar este tipo de exploits, los exchanges deben ofrecer recompensas más altas y atractivas a los hackers de sombrero blanco.
Un fallo "fuera de alcance" provocó un ataque de USD 1.400 millones
Hachem, director de operaciones de la empresa de ciberseguridad FearsOff, afirmó que los exchanges de criptomonedas deben ofrecer mayores recompensas a los hackers éticos para evitar ataques similares.
Según el profesional de la seguridad, el programa de recompensas por fallos de Safe, el proveedor de billeteras multifirma de Bybit, consideraba los fallos relacionados con el front-end y el back-end fuera de su alcance, lo que significa que quienes identificaban estos problemas de seguridad no podían optar a recompensas.
El profesional de la seguridad dijo que el hack de Bybit se produjo debido a un fallo que no estaba dentro del ámbito recompensado por el programa de recompensas. "Lo que ellos consideraron fuera de alcance llevó al mayor hack de criptomonedas de la historia", dijo Hachem a Cointelegraph. Y añadió:
"A menudo vulneramos plataformas a través de fallos encontrados en activos fuera del alcance. Los hackers éticos no recibirían recompensa por tales hallazgos, pero los delincuentes los explotaron y robaron USD 1.500 millones a Bybit".
La recompensa oficial por fallos de Bybit ofrece un máximo de USD 4.000 en su sitio web y hasta USD 10.000 en HackerOne, cantidades que palidecen en comparación con las recompensas potenciales para los hackers malintencionados.
Hachem afirmó que es mejor ofrecer a los hackers de sombrero blanco mayores recompensas de forma preventiva en lugar de esperar a que se produzca un hack importante y ofrecer el 10% de los fondos robados como recompensa a los hackers de sombrero blanco. El ejecutivo dijo que esto sólo "envalentona a los malos actores".
"Motivar a los mejores hackers éticos para que dediquen su tiempo y atención a poner a prueba un exchange ofreciendo mayores recompensas mejorará enormemente su seguridad, será mucho más barato y salvaguardará su reputación", dijo Hachem a Cointelegraph.
Adoptar medidas de seguridad más estrictas
Además de mejorar los programas de recompensas por fallos, un portavoz de CertiK declaró a Cointelegraph que para evitar futuros ataques como el de Bybit es necesario adoptar medidas de seguridad más estrictas.
Un portavoz de CertiK dijo a Cointelegraph que los dispositivos de firma, los entornos de SO no persistentes para la aprobación de transacciones y las capas de autenticación mejoradas para transacciones de alto valor deberían convertirse en estándares del sector.
"Los ejercicios regulares de equipo rojo y las simulaciones de phishing también pueden ayudar a mitigar los riesgos de ingeniería social", afirmó el portavoz.
El informe de CertiK reveló que el exploit de Bybit fue el resultado de un ataque de phishing que engañó a los firmantes de múltiples firmas para que aprobaran una actualización maliciosa de un contrato. Por su parte, el ataque a Infini se debió a la filtración de la clave privada de un administrador, lo que permitió realizar retiradas de fondos no autorizadas.
Según CertiK, ambos incidentes ponen de manifiesto los riesgos de la firma ciega y la verificación inadecuada de las transacciones. "Estos casos ponen de relieve la necesidad de una autenticación más sólida, una supervisión de las transacciones en tiempo real y una seguridad de la interfaz de usuario más resistente para evitar manipulaciones", añadió CertiK.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.