Back to Blog

Desbloqueando la Seguridad Web3: Cómo BlockSec Combate los Hackeos DeFi

Phalcon
September 5, 2023
6 min read

En el mundo en constante evolución de Web3, la importancia de la seguridad no puede subestimarse. A pesar de las condiciones del mercado bajista, el alarmante aumento de hackeos y estafas en DeFi ha generado preocupación. Innumerables víctimas han buscado asistencia tras perder su dinero ganado con esfuerzo, lo que subraya la gravedad del problema y la necesidad crítica de medidas preventivas.

La Introducción de BlockSec

Nuestra plataforma blockchain fue establecida en 2021 con el apoyo de destacados inversores y clientes. Ofrece varios productos, incluido Phalcon Explorer, ampliamente utilizado por investigadores de seguridad para analizar transacciones. Además, la plataforma ofrece MetaDock y MetaSleuth, disponibles de forma gratuita para la comunidad.

Por Qué la Seguridad es Importante en Web3

La importancia de la seguridad en Web3 es evidente, ya que incluso durante las condiciones del mercado bajista, el aumento de hackeos y estafas en DeFi es preocupante. El creciente número de víctimas que buscan ayuda tras perder su dinero demuestra la seriedad del problema y la necesidad de asistencia para prevenir la quiebra causada por tales ataques.

Por Qué los Hackeos en DeFi son Muy Comunes

Los hackeos en DeFi son comunes hoy en día por varias razones.

  • En primer lugar, los atacantes tienen incentivos económicos para realizar estos hackeos, ya que pueden obtener ganancias sustanciales de tales acciones.
  • En segundo lugar, la falta de suficientes desarrolladores calificados contribuye a las vulnerabilidades en los protocolos. Muchos desarrolladores se centran en las funcionalidades en lugar de la seguridad y carecen de formación adecuada en seguridad blockchain.
  • Además, las universidades tienen cursos limitados sobre seguridad blockchain, lo que lleva a una escasez de expertos calificados en la comunidad.
  • Por último, algunos hackeos son iniciados por grupos de hackeo organizados u organizaciones a nivel nacional. Estos grupos son altamente encubiertos y persistentes, y apuntan específicamente a instituciones financieras, organizaciones militares e intercambios de criptomonedas para obtener grandes ganancias. Sus avanzados métodos de ataque y abundantes recursos representan una amenaza aún mayor para los proyectos DeFi.

Seguridad del Protocolo DeFi

Al hablar de seguridad de los protocolos, muchas personas consideran las auditorías de código como la solución principal para los protocolos DeFi. Sin embargo, las auditorías de código por sí solas no son suficientes debido a su alto costo y su naturaleza que consume mucho tiempo. Los servicios de auditoría calificados son costosos, y el proceso puede tomar varios meses, lo que lo hace poco práctico para algunos protocolos con restricciones de tiempo.

Además, hay escasez de auditores calificados en el espacio, lo que lleva a una falta de experiencia disponible. En consecuencia, algunos protocolos se ven obligados a lanzarse sin medidas de seguridad integrales, lo que puede resultar en vulnerabilidades no abordadas y amenazas potenciales.

Por Qué el Enfoque Proactivo es Importante en Web3

Para garantizar la seguridad de los protocolos DeFi, un enfoque proactivo es crucial. Esto significa que los protocolos no pueden simplemente implementarse y dejarse desatendidos. Necesitan monitorear activamente las actividades en curso dentro del protocolo y estar preparados para responder automáticamente a cualquier ataque potencial.

La importancia de este enfoque proactivo es mayor en Web3 en comparación con Web2, por las siguientes razones.

  • Primero, Web3 introduce más vectores de ataque y la apertura de la blockchain facilita que tanto usuarios buenos como malos accedan y analicen el código fuente de los contratos inteligentes.
  • Segundo, explotar vulnerabilidades se vuelve lucrativo para los atacantes, especialmente debido a la naturaleza anónima de las transacciones blockchain, lo que hace que rastrear sus actividades sea un desafío.
  • Tercero, la disponibilidad de préstamos flash permite a los atacantes ampliar sus capacidades financieras, a diferencia de Web2 donde lanzar ataques requería un capital significativo.
  • Por último, pero no menos importante, ciertos servicios de transacciones privadas pueden ser utilizados de manera abusiva para ocultar transacciones maliciosas.

En consecuencia, las propiedades únicas de Web3 facilitan que ocurran ataques dañinos a protocolos y usuarios, mientras que simultáneamente dificultan el rastreo e identificación de los atacantes.

Cómo Funciona Nuestro Sistema

Hemos desarrollado un sistema prototipo llamado BlockSec Phalcon en la industria blockchain. Desde febrero de 2022, hemos estado explorando activamente formas de superar ciertos desafíos asociados con los hackeos en DeFi, yendo más allá de las auditorías de código.

BlockSec Phalcon nos permite monitorear de cerca las transacciones en la blockchain. Al monitorear estas transacciones y responder automáticamente a ellas, podemos reconstruir la tecnología subyacente reproduciendo las transacciones de ataque y replicando la lógica esencial del contrato de ataque.

Este proceso nos permite sintetizar un nuevo contrato inteligente de rescate. Luego podemos enviar transacciones de rescate para garantizar que nuestras transacciones sean más rápidas y se coloquen en la blockchain antes que las transacciones de ataque. Al aprovechar este enfoque, tenemos el potencial de bloquear completamente las transacciones de ataque actuando más rápido y ganando una posición delantera dentro de la blockchain.

Cómo Funciona la Construcción del Contrato de "Ataque"

El aspecto clave de este mecanismo o sistema es cómo reconstruye automáticamente las transacciones de ataque y los contratos de "ataque". La idea fundamental es considerar qué es lo más importante en las transacciones de ataque y los contratos inteligentes de ataque: los elementos críticos siendo la lógica de ataque dentro del contrato inteligente.

Aunque la idea básica es simple, no es tan sencilla en la práctica. Enfrentamos una serie de desafíos técnicos. El punto más significativo es cómo manejar la reutilización de bloques básicos dentro de los contratos inteligentes. Los compiladores a menudo utilizan la reutilización de bloques para generar código más pequeño, lo cual es una práctica común en la reducción del tamaño del código. A lo largo de este proceso, nos inspiramos en el concepto de reescritura de código binario, una técnica que ha sido utilizada y desarrollada durante más de dos siglos, si no más. Por lo tanto, aprovechamos esta idea y la aplicamos a la técnica de reescritura de bytecode.

Qué Hitos Notables Hemos Alcanzado

Al aprovechar nuestro sistema, hemos prevenido con éxito múltiples transacciones de ataque a protocolos y recuperado pérdidas sustanciales de liquidez. Por ejemplo, logramos recuperar $5 millones en pérdidas para ParaSpace este año y recuperamos $3.8 millones para Saddle Finance el año pasado. En la siguiente discusión, destacaremos casos representativos para ilustrar cómo prevenimos estas transacciones.

Consideremos ParaSpace como ejemplo. Sufrió un ataque en marzo de este año, pero los atacantes cometieron errores críticos. No lograron asignar suficiente gas, lo que resultó en que la transacción fuera revertida. Monitoreamos e identificamos esta transacción en la blockchain. Luego sintetizamos automáticamente un contrato de rescate similar. Después de ejecutar nuestro contrato de rescate en la blockchain, BlockSec recuperó con éxito la pérdida de $5 millones para ParaSpace.

Otro caso es Platypus, que enfrentó un ataque en febrero de este año. Explotando una vulnerabilidad en el contrato inteligente, los atacantes encontraron un punto de entrada para explotar el protocolo DeFi de Platypus. Sin embargo, pasaron por alto configurar la lógica para retirar fondos del contrato comprometido. En consecuencia, los hackers enfrentaron un desafío: ¿cómo extraer los $2.4 millones restantes del contrato comprometido?

En este escenario, BlockSec posee un sistema interno que desensambla automáticamente el contrato de ataque. A través de métodos heurísticos, realizamos un análisis exhaustivo del contrato inteligente de ataque, descubriendo características intrigantes.

Primero, encontramos que el callback de préstamo flash en este contrato estaba expuesto. Segundo, al contrato de pool de Platypus se le había otorgado aprobación para USDC. El contrato de pool puede actualizarse para utilizar la aprobación del contrato atacado para retirar el USDC restante. Al compartir esta idea y el PoC con el protocolo, les ayudamos a recuperar con éxito $2.4 millones del contrato de ataque.

Otro caso involucra a Transit Swap, que fue atacado por un bot MEV. Descubrimos que la dirección del bot MEV fue generada por una herramienta defectuosa llamada Profanity. Explotando la vulnerabilidad en esta herramienta, calculamos la clave privada del bot MEV y recuperamos los fondos para reembolsar al protocolo.

Cómo Mejorar la Eficiencia de este Sistema

Creemos que mejorar la eficiencia de este sistema requiere una reflexión cuidadosa y acciones estratégicas.

  • En primer lugar, una respuesta rápida y proactiva es esencial. Es crucial recopilar información y tomar medidas inmediatas cuando surjan situaciones.
  • En segundo lugar, mantener la precisión es crucial. Debemos evitar generar alertas falsas excesivas. Como discutimos anteriormente, si su herramienta de monitoreo genera demasiadas alertas, impacta significativamente en la usabilidad del producto. Por lo tanto, debemos esforzarnos por un enfoque sistemático en lugar de centrarnos en rastrear a los atacantes.

BlockSec posee una gama de herramientas para el análisis y desensamblaje de contratos, empleando métodos heurísticos para realizar un minucioso análisis de bytecode. Todas estas medidas tienen como objetivo construir un sistema integral y entregar un producto efectivo.

En el dinámico ámbito de Web3, la seguridad es de suma importancia. Con el aumento de los hackeos en DeFi, es imperativo adoptar un enfoque proactivo y aprovechar sistemas innovadores como BlockSec Phalcon para proteger los protocolos y usuarios. Al continuar ampliando los límites de las medidas de seguridad, nos esforzamos por mejorar la seguridad e integridad de Web3, allanando el camino hacia un futuro descentralizado seguro y próspero.

Sign up for the latest updates
Sanciones de la OFAC al Cártel de Sinaloa: Rastreo de Fondos en la Cadena de Bloques

Sanciones de la OFAC al Cártel de Sinaloa: Rastreo de Fondos en la Cadena de Bloques

La OFAC sancionó una red del Cártel de Sinaloa por lavar ganancias de fentanilo. Rastreamos las seis direcciones sancionadas con MetaSleuth y el dinero fluye casi en su totalidad a través de exchanges centralizados.

Software de Cumplimiento Cripto: Flujos de Trabajo Diarios para Analistas de AML

Software de Cumplimiento Cripto: Flujos de Trabajo Diarios para Analistas de AML

Guía operativa para analistas AML con software de cumplimiento cripto. Cubre triaje de alertas, rastreo de fondos KYT, detección de mixers, documentación SAR, screening automatizado de entidades y errores comunes en investigaciones.

Guía VASP: Cómo construir desde cero un stack de software de cumplimiento normativo para criptomonedas

Guía VASP: Cómo construir desde cero un stack de software de cumplimiento normativo para criptomonedas

Guía técnica para VASPs que construyen un stack de cumplimiento cripto. Cubre pipelines KYT, reportes STR/SAR multijurisdicción, scoring de riesgo automatizado, sincronización API y presentación regulatoria automatizada.