Back to Blog

Guía de Mitigación de Riesgos DeFi 04: Prácticas de Seguridad para Equipos de Proyectos DeFi

July 7, 2024
6 min read

Esta serie de artículos, extraídos de la "Edición Especial de Seguridad 05" coeditada por OKX Web3 y BlockSec, aborda las preocupaciones de seguridad que enfrentan los usuarios de DeFi y los equipos de proyectos DeFi.

P1 : ¿Qué tipos de riesgos enfrentan los proyectos DeFi y cómo pueden abordarlos?

Equipo de Seguridad de BlockSec : Los proyectos DeFi enfrentan varios tipos de riesgos, incluyendo riesgos de seguridad del código, riesgos de seguridad operacional y riesgos de dependencias externas.

En primer lugar, los riesgos de seguridad del código se refieren a posibles vulnerabilidades a nivel de código en los proyectos DeFi. Para los proyectos DeFi, los contratos inteligentes son el núcleo de su lógica de negocio (la lógica de procesamiento del front-end y back-end pertenece al desarrollo de software tradicional y es relativamente madura), y son el foco de nuestra atención y discusión, incluyendo :

  • 1)En primer lugar, desde una perspectiva de desarrollo, es necesario seguir las prácticas de desarrollo seguro de contratos inteligentes reconocidas en la industria, como el patrón Checks-Effects-Interactions utilizado para prevenir vulnerabilidades de reentrada; además, las funcionalidades comunes deben implementarse usando bibliotecas de terceros confiables para evitar los riesgos desconocidos de reinventar la rueda.
  • 2)En segundo lugar, las pruebas internas exhaustivas son esenciales. Las pruebas son una parte importante del desarrollo de software que ayuda a descubrir muchos problemas. Sin embargo, para los proyectos DeFi, las pruebas locales por sí solas no son suficientes para exponer los problemas; se necesitan pruebas adicionales en un entorno cercano al despliegue real.
  • 3)Por último, una vez completadas las pruebas, se deben contratar servicios de auditoría de terceros de reputación. Aunque las auditorías no pueden garantizar la ausencia de problemas al 100%, las auditorías sistemáticas pueden ayudar enormemente a los equipos de proyectos a identificar problemas de seguridad comunes, que suelen ser áreas con las que los desarrolladores no están familiarizados o que resultan difíciles de alcanzar debido a diferentes formas de pensar. Por supuesto, dado que las empresas de auditoría varían en experiencia y enfoque, si el presupuesto lo permite, se recomienda involucrar a dos o más empresas de auditoría en la práctica.

En segundo lugar, los riesgos de seguridad operacional surgen tras el lanzamiento y abarcan tanto posibles vulnerabilidades de código no detectadas —incluso después de un riguroso desarrollo, pruebas y auditorías— como desafíos posteriores al despliegue como filtraciones de claves privadas y parámetros del sistema mal configurados. Estos pueden resultar en consecuencias graves y pérdidas sustanciales. Las estrategias recomendadas para mitigar estos riesgos incluyen :

  • 1)Establecer un sistema robusto de gestión de claves privadas, como carteras de hardware confiables o soluciones de cartera basadas en MPC.
  • 2)Monitorear el estado operacional en tiempo real para detectar operaciones privilegiadas y el estado de seguridad del proyecto.
  • 3)Construir un mecanismo de respuesta automatizada ante riesgos, como el uso de BlockSec Phalcon, que puede implementar automáticamente bloqueos cuando se detecta un ataque para prevenir pérdidas adicionales.
  • 4)Evitar riesgos de punto único en operaciones privilegiadas, como el uso de la cartera multifirma Safe{Wallet} para ejecutar operaciones privilegiadas.

En tercer lugar, los riesgos de dependencias externas se refieren a los riesgos que traen las dependencias externas del proyecto, como depender de oráculos de precios proporcionados por otros protocolos DeFi, pero si el oráculo tiene problemas, esto lleva a cálculos de precios incorrectos. Las recomendaciones para abordar los riesgos de dependencias externas incluyen :

  • 1)Elegir socios externos confiables, como los protocolos de primer nivel reconocidos en la industria.
  • 2)Monitorear el estado operacional, similar a los riesgos de seguridad operacional, pero el objetivo de monitoreo aquí son las dependencias externas.
  • 3)Construir un mecanismo de respuesta automatizada ante riesgos, similar a los riesgos de seguridad operacional, pero los métodos de respuesta pueden diferir, como cambiar a dependencias de respaldo en lugar de pausar directamente todo el protocolo.

Además, para los equipos de proyectos que deseen desarrollar capacidades de monitoreo, también ofrecemos algunos consejos :

  • 1)Establecer puntos de monitoreo con precisión: Determinar qué estados clave (variables) del protocolo necesitan monitoreo y dónde monitorear, que es el primer paso para desarrollar capacidades de monitoreo. Sin embargo, es difícil cubrir todos los puntos de monitoreo de manera exhaustiva, especialmente en el monitoreo de ataques; se recomienda utilizar un motor externo profesional de detección de ataques de terceros que haya sido probado en situaciones reales.

BlockSec Phalcon es la única plataforma de monitoreo y bloqueo de ataques del mundo con un historial comprobado. Ha salvado activos por valor de más de 20 millones de dólares en más de 20 rescates de hackers de sombrero blanco. Más información en 👇

https://blocksec.com/blog/lead-in-phalcon-s-hack-blocking-saga

  • 2)Garantizar la precisión y oportunidad del monitoreo: La precisión del monitoreo significa tener mínimos falsos positivos (FP) y falsos negativos (FN). Un sistema de monitoreo que carezca de precisión es esencialmente inutilizable; la oportunidad es un requisito previo para la respuesta (por ejemplo, si puede detectar antes de que se despliegue un contrato sospechoso o antes de que una transacción de ataque se incluya en la cadena), de lo contrario, solo puede usarse para análisis post-evento, lo que requiere alto rendimiento y estabilidad del sistema de monitoreo.
  • 3)Se necesita una capacidad de respuesta automatizada: Basándose en un monitoreo preciso y en tiempo real, se puede construir una respuesta automatizada, incluyendo la pausa del protocolo para bloquear ataques, etc. Se necesita aquí un marco de respuesta automatizada personalizable y confiable para apoyar la personalización flexible de estrategias de respuesta según las necesidades del equipo del proyecto y para activar la ejecución automáticamente.

En general, la construcción de capacidades de monitoreo requiere la participación de proveedores externos de seguridad especializados.

Equipo de Seguridad de la Cartera OKX Web3 : Los equipos de proyectos DeFi enfrentan una variedad de riesgos, que incluyen principalmente las siguientes categorías:

  • 1)Riesgos técnicos: Incluyen principalmente vulnerabilidades en contratos inteligentes y ciberataques. Las medidas de protección incluyen adoptar prácticas de desarrollo seguro, contratar empresas de auditoría de terceros profesionales para realizar auditorías exhaustivas de contratos inteligentes, establecer programas de recompensas por errores para alentar a los hackers de sombrero blanco a descubrir vulnerabilidades, y aislar activos para mejorar la seguridad de los fondos.
  • 2)Riesgos de mercado: Incluyen principalmente fluctuaciones de precios, riesgos de liquidez, manipulación del mercado y riesgos de composabilidad. Las medidas de protección incluyen el uso de monedas estables y cobertura de riesgos para protegerse contra las fluctuaciones de precios; utilizar minería de liquidez y mecanismos de tarifas dinámicas para abordar los riesgos de liquidez; revisar estrictamente los tipos de activos compatibles con los protocolos DeFi y usar oráculos descentralizados para prevenir la manipulación del mercado; e innovar y optimizar continuamente las funciones del protocolo para hacer frente a los riesgos competitivos.
  • 3)Riesgos operacionales: Incluyen principalmente errores humanos y riesgos en los mecanismos de gobernanza. Las medidas de protección incluyen establecer controles internos estrictos y procesos operacionales para reducir los errores humanos; usar herramientas automatizadas para mejorar la eficiencia operacional; y diseñar mecanismos de gobernanza sólidos para equilibrar la descentralización y la seguridad, como la introducción de retrasos en la votación y mecanismos de múltiples firmas. Además, monitorear los proyectos que ya están en funcionamiento y tener planes de emergencia para tomar medidas inmediatas y minimizar las pérdidas en caso de anomalías.
  • 4)Riesgos regulatorios: Incluyen principalmente requisitos de cumplimiento legal y obligaciones de Anti-Lavado de Dinero (ALD) / Conoce a tu Cliente (KYC). Las medidas de protección incluyen contratar asesores legales para garantizar que el proyecto cumpla con los requisitos legales y regulatorios, establecer políticas de cumplimiento transparentes, e implementar activamente medidas de ALD y KYC para mejorar la confianza con los usuarios y las autoridades regulatorias.

P2 : ¿Cómo deben los proyectos DeFi evaluar y seleccionar una empresa de auditoría de reputación?

Equipo de Seguridad de BlockSec : A continuación se presentan algunos estándares simples de referencia:

  • 1)¿Han auditado proyectos reconocidos?: Esto indica que la empresa de auditoría es reconocida por estos proyectos de renombre.
  • 2)¿Han sido atacados los proyectos auditados?: Aunque teóricamente una auditoría no puede garantizar una seguridad del 100%, la experiencia práctica muestra que la mayoría de los proyectos auditados por empresas de auditoría de reputación no han sido atacados.
  • 3)Evaluar la calidad de la auditoría a través de informes históricos: El informe de auditoría es una señal importante de la profesionalidad de la empresa de auditoría, especialmente cuando se puede comparar el mismo proyecto de auditoría y el mismo alcance de auditoría. El enfoque debe estar en la calidad (gravedad) y cantidad de vulnerabilidades encontradas, y si los hallazgos suelen ser aceptados por el equipo del proyecto.
  • 4)Personal profesional: La composición del personal de la empresa de auditoría, incluyendo su formación académica y experiencia profesional, educación sistemática y experiencia en la industria, son muy útiles para garantizar la calidad de la auditoría.
Sign up for the latest updates
OFAC Sinaloa Cartel Sanctions: On-Chain Fund Tracing

OFAC Sinaloa Cartel Sanctions: On-Chain Fund Tracing

OFAC sanctioned a Sinaloa Cartel network for laundering fentanyl proceeds. We traced the six sanctioned addresses on-chain with MetaSleuth, and the money runs almost entirely through centralized exchange deposit addresses.

Zcash Orchard Soundness Bug Analysis | BlockSec Weekly
Security Insights

Zcash Orchard Soundness Bug Analysis | BlockSec Weekly

During the week of June 1, 2026, a critical soundness vulnerability was publicly disclosed in Zcash's Orchard shielded pool circuit, caused by a missing equality constraint in the halo2 ECC scalar multiplication gadget that could have enabled undetectable counterfeiting of ZEC within the Orchard pool through double-spending. The vulnerability, which existed for over four years since Orchard's activation in May 2022, was discovered by an AI-assisted security audit and patched through an emergency network upgrade (NU6.2). This single-event report covers the technical root cause (under-constrained ZK circuit relation), the AI-assisted discovery by researcher Taylor Hornby using Anthropic's Opus 4.8 model, the emergency response timeline, and the broader implications for the ZKP ecosystem.

Crypto Compliance Tools: A Pragmatic Purchasing Guide for VASPs

Crypto Compliance Tools: A Pragmatic Purchasing Guide for VASPs

Procurement framework for VASPs evaluating crypto compliance software. Covers AML controls, wallet screening, KYT, case management, API integration, and cost modeling, with a decision checklist for early-stage, growing, and fully licensed virtual asset service providers.