Una resolución de cripto año nuevo: modernización de la infraestructura de seguridad


Es seguro decir que 2020 fue un año excepcional para el espacio de los activos digitales. Bitcoin (BTC) ha superado sus máximos anteriores, y muchas otras criptomonedas conocidas han alcanzado sus niveles más altos desde su apogeo en 2017 y principios de 2018. En toda la industria de servicios financieros, las voces institucionales están mostrando un renovado interés en los activos digitales. No se podía ignorar el crecimiento y maduración de este espacio, que inspira mucho optimismo entre quienes construyen las plataformas y sistemas sobre los que se ejecuta.

Desafortunadamente, no todos los titulares del año pasado fueron positivos. Varios intercambios de cifrado conocidos y otras organizaciones fueron pirateados, lo que resultó en pérdidas significativas. Eventos como estos no solo dañan la reputación de una empresa y potencialmente tienen consecuencias devastadoras para los inversores, sino que también socavan la confianza ganada con tanto esfuerzo de los inversores institucionales y del público en basic en el espacio de los activos digitales.

Muchos de estos ataques se podrían haber evitado si las empresas involucradas tomaran medidas proactivas para modernizar su infraestructura tecnológica. Al concluir este año vertiginoso para los activos digitales, una de las principales resoluciones de la industria para 2021 debería ser revisar su enfoque de la infraestructura y realizar cambios para garantizar que los inversores de todo tipo puedan comerciar y realizar transacciones con seguridad, eficiencia y seguridad.

Veamos tres de los principales eventos de piratería informática de 2020 y examinemos cómo un enfoque más inteligente de la infraestructura podría haber producido un resultado diferente.

Hack de KuCoin: $ 275 millones en fondos de clientes robados

El 25 de septiembre, el intercambio de cifrado KuCoin estaba en el extremo receptor de un gran hackeo que afectó a las billeteras activas de Bitcoin, Ether (ETH) y ERC-20. Si bien los análisis iniciales indicaron que los piratas informáticos habían robado alrededor de $ 150 millones, las estimaciones aumentaron en los días siguientes, convirtiéndolo en uno de los mayores eventos de piratería en la historia de los activos digitales.

Conectado: Hack de KuCoin desempaquetado: Posiblemente más criptomonedas robadas de lo que se temía inicialmente

Al remaining resultó que, el hackeo fue el resultado del robo de claves privadas. Si bien las claves privadas todavía están muy extendidas en el espacio de los activos digitales, significan que siempre hay un punto único de falla a través del cual los malos actores pueden reclamar acceso sin restricciones a billeteras activas. En pocas palabras, son un riesgo empresarial.

Un mejor enfoque hubiera sido utilizar protocolos de computación de múltiples partes que eliminen la necesidad de claves privadas y firmen cada transacción de manera segura y distribuida, junto con un mecanismo de management y gobernanza reforzado.

En el caso de KuCoin, el pirata informático no podría ejecutar transacciones que no estuvieran autorizadas por el motor de políticas de la institución proporcionado por la infraestructura, incluso si el intercambio se incumpliera con éxito.

Congelar el pago de OKEx

En octubre y noviembre, los inversores no pudieron realizar retiros del intercambio de criptomonedas OKEx durante cinco semanas. En una carta a los clientes, OKEx anunció que uno de sus titulares de claves privadas estaba colaborando con una investigación policial que les bloqueó el contacto con la empresa e impidió que se completara el proceso de autorización de múltiples firmas.

Para una plataforma que los usuarios utilizan para tomar decisiones de inversión importantes, la noción de que una sola persona podría verse comprometida al tener una funcionalidad crítica desactivada durante más de un mes es claramente insostenible.

Aquí hay una lección: cuando las empresas utilizan funciones de blockchain diseñadas para la seguridad con el fin de implementar una política, el resultado es una inflexibilidad abrumadora. Esta es una de las paradojas en el ámbito de los activos digitales: las transacciones de blockchain son seguras e irreversibles, pero sin el enfoque correcto, esa misma rigidez puede significar un desastre si algo sale mal.

Para evitar que esto suceda, las organizaciones deben asegurarse de que su infraestructura incluya un motor de políticas que no comprometa la seguridad, pero que permita un management de políticas más versatile para múltiples aprobadores, incluida la separación del registro y la aprobación de transacciones. Con este tipo de solución, la capacidad de OKEx para operar completamente no podría haber dependido de la disponibilidad de una persona clave.

Infracción mutua de Nexus: $ Eight millones robados

Estos eventos de piratería no se limitaron a compartir, como lo demostró la violación en diciembre de Nexus Mutual, una plataforma financiera descentralizada que sirve como alternativa al seguro. El hacker logró acceder al dispositivo private del CEO Hugh Karp e instalar una versión comprometida de MetaMask, lo que resultó en que Karp firmara inadvertidamente una transacción con fecha de $ 370,00zero NXM por valor de $ 8.2 millones Se envió una dirección controlada por ataque.

El problema aquí tiene que ver con las billeteras operadas localmente. Estas carteras locales no pueden proporcionar un motor de políticas fuera de banda. Por lo tanto, no se puede verificar si un contrato y la dirección de una contraparte están en la lista blanca, si el monto y el emisor cumplen con las pautas de la compañía, o si ciertamente existen parámetros adicionales de transacción del aprobador.

Involucrar a un tercero en un enfoque de infraestructura más versatile y seguro es la forma de abordar estos riesgos. Esto es especialmente importante para reducir la manipulación de las direcciones de las contrapartes, que es un riesgo en muchos escenarios. Incluso en el caso poco possible de que un proveedor como este sea violado, existen salvaguardas para verificar las direcciones de las contrapartes y brindar a las empresas múltiples líneas de defensa.

Conclusión

Si bien los activos digitales han ganado un impulso notable en los últimos meses, muchas empresas aún necesitan mejorar su infraestructura de seguridad antes de poder comenzar a adoptar activos digitales.

Esto no tiene la intención de castigar a las empresas que continúan haciendo un trabajo importante para la industria, sino más bien de averiguar dónde deben centrarse en lograr el crecimiento futuro y llevar los activos digitales a la corriente principal.

Para todos estos temas (seguridad de clave privada, estructura de autorización, billeteras locales y más) existen enfoques que pueden resultar en transacciones más eficientes y sin complicaciones y menos titulares que activen las alarmas para los inversores tradicionales a los que todos queremos llegar.

Los puntos de vista, pensamientos y opiniones expresados ​​aquí son derechos exclusivos del autor y no reflejan ni representan necesariamente los puntos de vista y opiniones de Cointelegraph.

Itay Malinger es cofundador y director ejecutivo de Curv, una empresa de infraestructura de seguridad de activos digitales. Tiene más de 15 años de experiencia en ciberseguridad en los sectores público y privado. Itay fue anteriormente el director de productos de seguridad empresarial en Akamai Applied sciences.