La seguridad en las Finanzas descentralizadas enfrenta frecuentes incidentes, la protección de los activos personales es urgente.

Con la popularización de productos de blockchain como las Finanzas descentralizadas (DeFi) y los tokens no fungibles (NFT), los activos de los usuarios se están trasladando gradualmente de plataformas centralizadas a billeteras descentralizadas, puentes entre cadenas y productos de préstamo, entre otros. Sin embargo, esta tendencia también ha traído nuevas vulnerabilidades de seguridad, y los incidentes de robo de activos en la cadena son cada vez más comunes, hasta el punto de que los profesionales del sector bromean diciendo que la blockchain se ha convertido en un "cajero automático" para los hackers.

Las causas de estos incidentes de seguridad son diversas, incluyendo vulnerabilidades en el código y negligencia humana. El 20 de septiembre, un creador de mercado de criptomonedas sufrió un ataque de hackers, con pérdidas de hasta 160 millones de dólares, que es un caso típico de error humano.

Pérdida de activos masiva debido a errores humanos

Después del incidente, el fundador del creador de mercado expresó públicamente en las redes sociales que los negocios de finanzas descentralizadas y comercio extrabursátil de la empresa no se vieron afectados, y la capacidad de pago sigue siendo el doble del capital restante. Enfatizó que los fondos de los usuarios que tienen un acuerdo de creador de mercado con la empresa son seguros. De los 90 activos que fueron hackeados, solo dos tienen un valor nominal que supera los 1 millón de dólares, por lo que es poco probable que provoquen una venta masiva. La empresa está comunicándose rápidamente con las partes afectadas.

Los expertos en seguridad iniciaron rápidamente una investigación. Una empresa de seguridad en blockchain afirma haber encontrado la dirección del hacker y señala que dicha dirección está relacionada con una plataforma de intercambio anónima y un intercambio centralizado. Otro análisis de una empresa de seguridad mostró que aproximadamente el 73% de los activos robados son stablecoins, el 8% son WBTC y el 6% son ETH. El atacante depositó 114 millones de dólares en una plataforma de intercambio descentralizada para proporcionar liquidez.

Investigaciones adicionales revelaron que el ataque podría haber sido originado por el uso de una herramienta de generación de direcciones con vulnerabilidades de seguridad por parte de este creador de mercado. El fundador de la empresa admitió que efectivamente utilizaron esa herramienta y una herramienta interna para crear direcciones de billetera en junio, con el objetivo de optimizar las tarifas de transacción. A pesar de que tomaron medidas inmediatamente al enterarse de las fallas de la herramienta, no lograron eliminar por completo las direcciones afectadas debido a errores operativos internos.

Para recuperar las pérdidas, la empresa ha declarado que está dispuesta a ofrecer un 10% de recompensa a los hackers, es decir, 16 millones de dólares, a cambio de la devolución de todos los fondos robados. La empresa enfatizó que, aunque este incidente fue causado por un error humano interno, no despedirá a ningún empleado, no cambiará su estrategia operativa, no recaudará fondos adicionales ni detendrá sus operaciones de DeFi.

Sin embargo, los datos en cadena muestran que la empresa enfrenta actualmente más de 200 millones de dólares en deudas de Finanzas descentralizadas, que incluyen un préstamo de 92 millones de dólares en USDT que está a punto de vencer. Si no logra recuperar a tiempo los fondos robados, la empresa podría enfrentar una grave crisis financiera.

Accidentes de seguridad humanos que ocurren repetidamente

Cabe destacar que no es la primera vez que este proveedor de liquidez sufre pérdidas significativas debido a factores humanos. En junio de este año, al proporcionar servicios de liquidez para un proyecto de Layer2, la empresa perdió tokens por un valor de 20 millones de dólares debido a un error operativo.

En ese momento, la fundación del proyecto Layer2 asignó 20 millones de tokens a este creador de mercado para proporcionar apoyo de liquidez. Sin embargo, el creador de mercado proporcionó una dirección de firma múltiple en la red principal de Ethereum, y dicha dirección aún no se había desplegado en la red Layer2. Esto llevó a que el creador de mercado no pudiera acceder a estos tokens.

Mientras los creadores de mercado intentaban resolver este problema, un atacante se adelantó y desplegó un contrato de múltiples firmas en la red Layer2, controlando así 20 millones de tokens. El atacante luego vendió 1 millón de tokens.

Afortunadamente, los atacantes finalmente devolvieron 17 millones de tokens, y el creador de mercado se comprometió a reembolsar los 2 millones restantes a la fundación.

Estrategias de protección de activos personales

Dado que las instituciones a menudo sufren grandes pérdidas debido a errores humanos, los inversores individuales deben estar más alerta y tomar las siguientes medidas para proteger sus activos:

1. Crear una dirección utilizando una billetera de criptomonedas nativa: evita utilizar herramientas de terceros para generar direcciones de billetera, ya que estas herramientas pueden presentar riesgos de seguridad.

2. Considera usar una billetera de múltiples firmas: para el monedero principal que almacena grandes activos, las múltiples firmas pueden ofrecer una seguridad adicional.

3. Manejar las claves privadas con precaución: no copies ni pegues para guardar las claves privadas, ya que las aplicaciones de terceros en el dispositivo pueden robar el contenido del portapapeles.

4. Mantente alerta al autorizar operaciones: Al realizar operaciones en la cadena, verifica cuidadosamente el contrato y los activos que estás autorizando, asegurándote de que sean oficiales.

5. Limitar el alcance de la autorización y revocarla a tiempo: no otorgue autorizaciones ilimitadas a los contratos, revoca a tiempo las autorizaciones innecesarias.

En el mundo de blockchain, la seguridad no es un asunto menor. Una vez que los activos son robados, generalmente es difícil recuperarlos y pueden no estar protegidos por la ley. Por lo tanto, los usuarios deben mantenerse alerta y tomar todas las medidas posibles para proteger sus activos al realizar operaciones en la cadena.