Techopedia entrevistó a Sipan Vardanyan, cofundador y director general de la consultora de ciberseguridad Hexens, para hablar de las limitaciones de la ciberseguridad de blockchain.
En esta entrevista, hablamos de por qué necesitamos comprender las vulnerabilidades de la Web2 si queremos llevar la seguridad a la Web3, y de cómo los desarrolladores de blockchain pueden adelantarse a las amenazas emergentes.
Hexens es un proveedor de ciberseguridad con un enfoque esencial en blockchain y tecnologías emergentes como las pruebas ZK y la staking líquido, y con un enfoque en las puertas traseras que los proyectos Web3 podrían pasar por alto en su carrera hacia el futuro.
Puntos clave
- La tecnología blockchain puede representar un único punto de fallo: una línea de código insegura puede abrir la puerta a enormes pérdidas económicas.
- Los proyectos Web3 necesitan hacer algo más que una auditoría de contratos inteligentes para identificar posibles exploits; también son vulnerables a los vectores de ataque Web2 a través de interfaces como sitios web y servicios de nombres de dominio.
- Los desarrolladores necesitan colaborar y compartir consejos sobre cómo garantizar la seguridad dentro del código de blockchain.
Una conversación con Sipan Vardanyan: Cómo llevar las lecciones de Web2 a Web3
P: Empecemos con los numerosos hackeos y pérdidas de alto perfil que hemos visto en blockchain en los últimos años. ¿Cuáles crees que son los principales retos de ciberseguridad a los que se enfrenta el sector en la actualidad?
R: Me he dado cuenta de que una gran cantidad de empresas están ignorando por completo los vectores tradicionales de ataque y no están haciendo mucho en términos de seguridad, aparte de una auditoría de contratos inteligentes. Como hemos visto una y otra vez, hay actores maliciosos que son muy expertos en encontrar vulnerabilidades de seguridad en el código de la cadena de bloques y explotarlas.
Al contrario que en Web2, les basta un exploit para vaciar un proyecto de fondos por valor de cientos de millones de dólares en cuestión de segundos. Antes de Web3, los hackers tenían que hacer mucho para monetizar una vulnerabilidad.
También creo que es importante recordar que los hackers evolucionan constantemente sus técnicas y buscan nuevas formas de explotar el código. Aunque con el tiempo la tecnología blockchain será más segura, me parece evidente que los actores maliciosos utilizarán cada vez más los vectores de ataque tradicionales.
Blockchain, además de ser una tecnología apasionante, es también, en la mayoría de los casos, un ejemplo de punto único de fallo: una sola línea de código que contenga una vulnerabilidad puede provocar, y probablemente provocará, una pérdida económica, a veces del orden de cientos de millones.
Los proyectos deben trabajar con socios de seguridad para llevar a cabo revisiones a intervalos regulares, con el fin de garantizar el mayor nivel de seguridad posible a medida que siguen desarrollando su tecnología, así como explorar siempre nuevas herramientas, técnicas y mejores prácticas para seguir disminuyendo los riesgos.
P: ¿Cuáles son algunos ejemplos de las vulnerabilidades o amenazas más comunes a las que se enfrentan los proyectos de blockchain?
R: Constantemente vemos contratos inteligentes que son explotados por piratas informáticos. Los más comunes son los ataques de reentrada y los vectores relacionados con la validación incorrecta de entradas. Los puentes, monederos e intercambios, que son lugares que suelen albergar una gran cantidad de fondos, también son objetivos atractivos para la ciberdelincuencia. Las fugas de claves privadas también se producen con más frecuencia, lo que indica una vez más que los vectores de ataque “tradicionales” (Web2) están cobrando impulso.
Contrariamente a lo que la mayoría pensaría, los mayores hackeos en realidad no tienen muchos puntos en común. Como el código de cada proyecto es específico de él, las vulnerabilidades tienden a ser también únicas.
P: ¿Cuáles son las limitaciones de las actuales empresas de ciberseguridad Web3?
R: Las empresas de ciberseguridad Web3 tienden a estar limitadas por la falta de experiencia previa de su equipo en ciberseguridad Web2. Esto, unido a un conocimiento incompleto de la ciberseguridad Web3, un enfoque general para todos los clientes y un deseo de escalar demasiado rápido, reduce en última instancia la calidad de sus servicios.
Muchos proveedores se centran en las auditorías de contratos inteligentes, que son, por supuesto, muy importantes para asegurar un proyecto de blockchain. Dicho esto, en la mayoría de las empresas Web3 hay algo más que su código de contrato inteligente.
También son vulnerables a los vectores de ataque Web2. Por eso es tan importante que los proveedores adapten su enfoque a sus clientes e identifiquen cualquier superficie posible para que se produzca un pirateo, con el fin de detectar todas las vulnerabilidades antes de que lo haga un pirata informático.
La falta de metodologías internas y de los productos y herramientas necesarios podría ser otra de las razones por las que el campo de la seguridad se enfrenta a problemas.
P: Hexens ha realizado auditorías de seguridad para proyectos como Polygon y Lido. ¿Puedes hablarnos de la importancia de las auditorías independientes para garantizar la seguridad de los proyectos de blockchain?
R: Trabajamos con líderes del sector que tienen un gran impacto en su futuro y que están innovando y ampliando los límites de lo que es capaz la tecnología descentralizada. No sólo tienen una gran influencia, sino que muchas otras empresas y usuarios confían en ellos.
Por ejemplo, hay miles de aplicaciones descentralizadas basadas en Polygon. Por tanto, un error en el código de Polygon pondría en peligro esos miles de proyectos, por no hablar de sus usuarios.
También apoyamos tecnologías pioneras como las pruebas ZK y el staking líquido, abordando la seguridad en ambas áreas. Por ejemplo, hemos llevado a cabo una revisión de la seguridad de Polygon zkEVM, mejorando la seguridad de este último y garantizando que su código sea de la máxima calidad.
Una vez más, también es importante que las empresas recuerden que una sola revisión no garantiza necesariamente su seguridad para siempre y que una revisión puede demostrar la existencia de fallos, pero no su ausencia. Los piratas informáticos evolucionan constantemente sus técnicas para descubrir y explotar nuevas vulnerabilidades. Por lo tanto, las revisiones periódicas son fundamentales para mantener la seguridad a largo plazo.
P: Dado que el sector del blockchain evoluciona rápidamente, ¿cómo pueden los desarrolladores y usuarios adelantarse a las amenazas emergentes y adaptarse continuamente a los nuevos retos de seguridad?
R: Los desarrolladores deben colaborar y compartir consejos sobre cómo garantizar la seguridad dentro del código de la cadena de bloques. Ya se trate de una vulnerabilidad que hayan descubierto, de código que haya demostrado ser seguro según su experiencia, o de dirigirse unos a otros a recursos que les ayuden a codificar teniendo la seguridad en mente, esto ayudará a garantizar un nivel máximo de seguridad en su trabajo.
La esperanza es que, con el tiempo, el sector disponga de más herramientas y productos especializados que los desarrolladores puedan aprovechar para maximizar la seguridad de su código y sus productos finales.
También es útil leer informes de revisiones de seguridad publicados por empresas de ciberseguridad para ver qué tipos de vulnerabilidades han encontrado y evitar cometer esos mismos errores.
Los usuarios pueden ir por delante comprometiéndose con proyectos cuya tecnología haya sido revisada a fondo por empresas de ciberseguridad Web3 con un historial probado de éxito.
También deberían hacer todo lo posible por estar al tanto de las últimas noticias sobre ciberseguridad: constantemente se informa de hackeos, por lo que mantener el pulso sobre qué proyectos los han sufrido puede ayudar a informar a los usuarios sobre qué plataformas son seguras o inseguras.
P: Comprender las vulnerabilidades de Web2 se considera un paso crucial para asegurar Web3. ¿Cómo lo aborda Hexens?
R: Asegurar las interfaces Web2 es un paso increíblemente importante -y a menudo pasado por alto- para salvaguardar cualquier empresa de blockchain.
Prácticamente todas las empresas Web3 utilizan interfaces Web2, como sitios web y servicios de nombres de dominio, que proporcionan superficies de ataque adicionales que los piratas informáticos pueden explotar. Sólo asegurando todos los aspectos de su tecnología podrán las empresas garantizar su seguridad como entidad completa.
Hemos contratado a auditores con años de experiencia en Web2. En otras palabras, nuestro equipo piensa como los hackers de Web2 y Web3 para encontrar los fallos antes de que lo hagan los actores malintencionados.
Además de personalizar cada revisión, nuestra filosofía de “sentido del hack” consiste en asignar varios equipos a cada revisión de seguridad. Que yo sepa, somos la única empresa de ciberseguridad Web3 que lo hace. Cada equipo tiene al menos un ingeniero jefe y un ingeniero superior, además de otros auditores de distintos niveles de experiencia. Se asignan dos equipos a cada revisión de seguridad para garantizar que no somos presa de ningún sesgo o error humano.
Nos enorgullecemos de nuestra capacidad de pensar realmente como hackers para encontrar problemas de seguridad, y mantenemos intencionadamente pequeño nuestro equipo y nuestra cartera de clientes para garantizar el máximo nivel de atención y servicio: hemos visto a muchas empresas de seguridad escalar demasiado rápido, lo que conduce a una reducción drástica de la calidad de sus ofertas.
Por último, no sólo pensamos en aportar seguridad a cada cliente, sino al sector en su conjunto. Estamos trabajando en soluciones que permitan a más empresas mantener un alto nivel de seguridad, protegiéndose a sí mismas y a sus ecosistemas de los piratas informáticos.
Sobre Sipan Vardanyan
Sipan Vardanyan es cofundador y director general de Hexens.io, y tiene más de 11 años de experiencia en el ámbito de la ciberseguridad. Su actividad se centra en una destacada boutique de ciberseguridad, que protege a las empresas de las ciberamenazas globales.
Es un profesor dedicado a la ciberseguridad con una amplia experiencia como CISO en el sector bancario.
Además, asesora a varias empresas emergentes, ofreciéndoles orientación y conocimientos para ayudarles a prosperar en sus respectivos ámbitos.
Es el ganador de múltiples competiciones de ciberseguridad, incluido el primer puesto en PHDays VI (equipo Antichat) y el campeón invicto en Competitive Intelligence 2017, 2018 y 2019 (en solitario, Apodo – Noyer).