La respuesta automatizada a incidentes puede convertir una crisis a nivel de protocolo en una pérdida contenida. En la seguridad de Web3, la diferencia entre reaccionar en horas y reaccionar en segundos puede significar la diferencia entre un incidente manejable y decenas de millones en pérdidas.
En DeFi, ningún proyecto puede prometer seguridad perfecta para siempre. Por eso importa una preparación sólida. Pero cuando comienza un ataque, la preparación sola no es suficiente. Los proyectos también necesitan la capacidad de responder de inmediato y reducir las pérdidas antes de que el daño se propague.
La intervención manual suele ser demasiado lenta. En el incidente de Nomad Bridge, el equipo del proyecto tardó más de tres horas en responder. En el exploit de KyberSwap, el equipo comenzó a pausar los protocolos casi dos horas después del primer ataque. Esa brecha es exactamente la razón por la que Phalcon Security importa. Además de detectar ataques, Phalcon Security puede activar automáticamente acciones de respuesta preconfiguradas, incluyendo pausas y frontrunning, en situaciones críticas. Eso puede reducir el tiempo de respuesta de horas a un solo bloque.
Un Resumen del Incidente de KyberSwap
El 22 de noviembre de 2023 a las 22:54:09 UTC, Phalcon detectó el primer ataque contra KyberSwap en Base, con una pérdida de $857,025.
Un minuto después, Phalcon detectó otro ataque a través de una transacción privada en la red principal de Ethereum, con una pérdida de $64,896.
A partir de las 22:56:34 UTC, el atacante lanzó más ataques en Arbitrum, Optimism, Polygon y Avalanche. Algunas de las transacciones del atacante en Polygon y Avalanche fueron adelantadas por otro bot de MEV, que capturó aproximadamente $5.36 millones en ganancias.
Para las 23:30:39 UTC, el atacante había terminado. En aproximadamente 37 minutos, el atacante lanzó 17 transacciones de ataque en seis cadenas y causó alrededor de $46 millones en pérdidas, excluyendo los ataques secundarios de imitadores.
A las 00:36:47 UTC del 23 de noviembre de 2023, aproximadamente 100 minutos después del primer ataque, el equipo del protocolo comenzó a pausar los protocolos en diferentes cadenas.
Un Camino de Ataque Típico: Transacción Privada y Ataque Multi-cadena
El exploit de KyberSwap no fue una acción aislada. Se movió a través de cadenas e incluyó transacciones privadas, transacciones públicas y ataques de seguimiento. Ese patrón importa porque muestra cómo se comportan los atacantes modernos en la práctica. Rara vez se detienen después de un movimiento exitoso, y no se limitan a una sola cadena o un solo tipo de transacción.
¿Por Qué Es Crucial la Respuesta Automatizada a Incidentes para la Seguridad de Web3?
100min vs 12s; $46,000,000 vs $860,000
En cuanto Phalcon detecta el primer ataque, puede activar automáticamente la pausa del protocolo u otras acciones de respuesta preconfiguradas. También puede pausar el mismo protocolo en otras cadenas al mismo tiempo. En el caso de KyberSwap, eso habría reducido la pérdida a aproximadamente $860,000, que fue la pérdida del primer ataque, en lugar de aproximadamente $46 millones.
Phalcon admite configuraciones tanto de firma única como de firma múltiple, lo que significa que las acciones de respuesta a incidentes aún pueden ejecutarse de inmediato incluso en entornos de gobernanza más complejos.
Una sola transacción privada rara vez es el final
Más del 90% de los atacantes no se detienen después de una sola transacción privada, y los ataques rara vez ocurren únicamente en la red principal. En el incidente de KyberSwap, solo tres de las 17 transacciones de ataque fueron transacciones privadas. La primera transacción privada representó solo el 0.14% de la pérdida total. Las tres transacciones privadas juntas representaron el 16%. El primer ataque no privado por sí solo causó el 2% de la pérdida total.
La lección es clara. Incluso cuando los atacantes usan transacciones privadas, los proyectos aún pueden reducir las pérdidas significativamente si el ataque se detecta a tiempo y las acciones de respuesta se activan oportunamente.
Cuando ocurre un ataque, el tiempo se convierte en la variable principal
Debido a que BlockSec no tenía una cooperación previa con KyberSwap, el equipo solo pudo comunicarse a través de canales públicos después de detectar el ataque. Incluso si la inteligencia de amenazas llegara al equipo del protocolo de inmediato, una respuesta manual aún habría sido demasiado lenta.
Para un proyecto con gobernanza de múltiples firmas, el equipo aún necesitaría verificar que ocurriera un ataque, evaluar el riesgo, acordar contramedidas y recopilar firmas para las transacciones de respuesta. Todo eso lleva tiempo, y cada minuto importa mientras el exploit aún está en curso.
En el caso de KyberSwap, pasaron más de 100 minutos entre el primer ataque y el inicio de la respuesta. Ese retraso es exactamente la razón por la que la respuesta automatizada es tan importante para la respuesta a incidentes en blockchain.
Al usar Phalcon Security, los equipos de proyectos pueden integrar respuestas automatizadas sin abandonar la gobernanza de múltiples firmas. El sistema permite que las acciones predefinidas se ejecuten de inmediato cuando un incidente coincide con las condiciones preconfiguradas.
¿Cómo Pueden los Equipos de Proyectos Responder a las Amenazas de Seguridad?
Los equipos de proyectos generalmente tienen dos caminos.
El primero es construir todo ellos mismos. Eso significa configurar un sistema de monitoreo en lugar de depender de alertas de redes sociales, definir estándares de evaluación de riesgos y planes de respuesta a incidentes, crear un equipo de respuesta dedicado y mantener cobertura operativa las 24 horas del día, los 7 días de la semana. En teoría, esto funciona. En la práctica, consume muchos recursos y es difícil de sostener.
El segundo es usar una plataforma diseñada para la detección y respuesta a amenazas en tiempo real. Con Phalcon Security, los equipos de proyectos obtienen monitoreo preciso de amenazas externas, configuración flexible de reglas, clasificación inteligente de riesgos y mecanismos de respuesta rápida automatizados como la pausa de protocolos y el frontrunning. Eso hace posible mejorar la seguridad del protocolo sin construir desde cero una organización de respuesta disponible las 24 horas.
Puedes mantener tu protocolo más seguro sin depender de una intervención manual continua.
Recursos Relacionados
- Incidente de KyberSwap: Explotación Magistral de Errores de Redondeo con Cálculos Excepcionalmente Sutiles
- Otra Tragedia de Pérdida de Precisión: Un Análisis en Profundidad del Incidente de KyberSwap
- BlockSec Lanza Phalcon: El Primer Sistema del Mundo para Bloquear Hackeos de Criptomonedas para la Seguridad de Web3
