Nota del autor ✍🏻

Una vez, los griegos construyeron un caballo de madera y lo ofrecieron a la ciudad de Troya. La gente de la ciudad lo vio como un símbolo de paz, sin darse cuenta de la amenaza oculta en su interior.

Con el exitoso lanzamiento del Bitcoin ETF, cada vez más nuevos usuarios y fondos están volviendo a Web3, y el mercado en aumento parece indicar que el futuro de Web3 hacia una aplicación generalizada está un paso más cerca. Sin embargo, la falta de políticas y vulnerabilidades de seguridad siguen siendo los principales obstáculos para la adopción generalizada de las criptomonedas.

En el mundo de las criptomonedas, los hackers pueden beneficiarse directamente atacando vulnerabilidades en cadena, a veces ganando millones o incluso miles de millones de dólares. Mientras tanto, el anonimato de las criptomonedas crea condiciones para que los hackers evadan la captura. A finales de 2023, el valor total bloqueado (TVL) de todos los protocolos de finanzas descentralizadas (DeFi) era de aproximadamente $4 mil millones (actualmente $10 mil millones), mientras que solo en 2022, el valor total de tokens robados de los protocolos DeFi alcanzó los $310 millones, lo que representa el 7% del valor anterior. Este número ilustra plenamente la gravedad de los problemas de seguridad en la industria Web3, como la espada de Damocles que cuelga sobre nuestras cabezas.

No se trata únicamente del entorno en cadena; los problemas de seguridad en el extremo del usuario Web3 también son significativos. Según datos de Scam Sniffer, en 2023, 324,000 usuarios tuvieron sus activos robados debido a ataques de phishing, con un monto total robado de $295 millones. Tanto en términos de alcance como de monto, el impacto es severo. Pero desde la perspectiva de los usuarios, los incidentes de seguridad tienen un rezago: a menudo les resulta difícil darse cuenta plenamente de la seriedad de los riesgos potenciales antes de que ocurran accidentes. Por lo tanto, las personas a menudo caen en el “sesgo de supervivencia”, pasando por alto la importancia de la seguridad.

Este artículo se adentra en los apremiantes desafíos de seguridad que enfrenta el mercado actual, especialmente a la luz del rápido crecimiento de los usuarios de Web3. Al desglosar las soluciones de seguridad propuestas por empresas como Goplus, obtenemos una comprensión más profunda de cómo fortalecer la adopción generalizada de Web3 a través del cumplimiento y medidas de seguridad mejoradas. Sostenemos que la seguridad de Web3 representa un mercado vasto, pero aún no explotado, que vale miles de millones, y a medida que la base de usuarios de Web3 continúa expandiéndose, la demanda de servicios de seguridad centrados en el usuario está preparada para un crecimiento exponencial.

Primeras perspectivas:

1. Revelación de amenazas en la seguridad Web3: Explorando un mercado lucrativo

1.1 Protección de Activos

1.2 Garantizando la Seguridad del Comportamiento

1.3 Mejorando la Seguridad del Protocolo

1. Analizando el panorama de seguridad de Web3
2. Soluciones de seguridad de próxima generación: Protegiendo el futuro de Web3
3. Conclusión

Con un total de 5400 palabras, este artículo debería tardar aproximadamente 12 minutos en leer.

Revelando amenazas en la seguridad de Web3: Explorando un mercado lucrativo:

Actualmente, los productos de seguridad de Web3 se dividen principalmente en tres categorías: ToB, ToC y ToD. Las soluciones B2B se centran principalmente en auditorías de seguridad de productos, realizando pruebas de penetración y proporcionando informes de auditoría para fortalecer las defensas del producto. Por otro lado, las soluciones B2C tienen como objetivo salvaguardar los entornos de seguridad de los usuarios capturando y analizando inteligencia de amenazas en tiempo real y ofreciendo servicios de detección a través de APIs. Además, las herramientas ToD (Desarrollador) atienden a los desarrolladores de Web3, ofreciendo herramientas y servicios de auditoría de seguridad automatizados.

La auditoría de seguridad es una medida de seguridad estática necesaria. Casi todos los productos Web3 se someten a auditorías de seguridad, y los informes de auditoría se hacen públicos. Las auditorías de seguridad no solo permiten a la comunidad verificar la seguridad de los protocolos por segunda vez, sino que también sirven como una de las bases para que los usuarios confíen en los productos.

Sin embargo, las auditorías de seguridad no son omnipotentes. Dadas las tendencias del mercado y la narrativa actual, prevemos que los desafíos para los entornos de seguridad de los usuarios seguirán aumentando, manifestándose principalmente en los siguientes aspectos:

Protegiendo Activos:

Cada ciclo de mercado nos lleva al lanzamiento de nuevos activos. Con el aumento de ERC404 y tokens híbridos como FT y NFT, la emisión de activos en cadena continúa evolucionando, planteando desafíos crecientes para la seguridad de los activos. La complejidad introducida por el mapeo e integración de diferentes tipos de activos a través de contratos inteligentes amplía la superficie de ataque para los hackers. Por ejemplo, los atacantes pueden interrumpir las transferencias de activos explotando mecanismos de devolución de llamada o impuestos específicos, lo que podría llevar a ataques directos de DoS. Las auditorías de seguridad tradicionales luchan por abordar estas complejidades, lo que hace necesario el monitoreo en tiempo real, las advertencias y las soluciones de interceptación dinámica.

Garantizando la seguridad del comportamiento:

Las estadísticas de CSIA revelan que el 90% de los ataques a redes se originan a partir de intentos de phishing. Esta tendencia se mantiene en el ámbito de Web3, donde los atacantes apuntan a las claves privadas de los usuarios o a los fondos on-chain a través de enlaces de phishing o mensajes de estafa en plataformas como Discord, X y Telegram.

Las interacciones en cadena tienen una curva de aprendizaje pronunciada, que es inherentemente contraintuitiva. Incluso una firma sin conexión puede resultar en pérdidas de millones de dólares. ¿Sabemos lo que estamos autorizando cuando hacemos clic en esa firma? El 22 de enero de 2024, un usuario de criptomonedas cayó víctima de un ataque de phishing, firmando una firma de Permiso con parámetros incorrectos. Después de obtener la firma, el hacker utilizó la dirección de la billetera autorizada para transferir $4.2 millones de tokens desde la cuenta del usuario.

Las debilidades en el entorno de seguridad del lado del usuario también pueden llevar a la pérdida de activos. Por ejemplo, cuando un usuario importa una clave privada en una aplicación de billetera basada en Android, la clave privada a menudo permanece en el portapapeles del teléfono después de copiarla. En este escenario, al abrir software malicioso, la clave privada puede ser leída y utilizada automáticamente para transferir activos desde la billetera o robar los activos del usuario después de un período de latencia.

A medida que más y más nuevos usuarios ingresan a Web3, los problemas de seguridad en el entorno del lado del usuario se convertirán en una preocupación significativa.

Mejorando la seguridad del protocolo:

Los ataques de reentrancia siguen siendo uno de los mayores desafíos para la seguridad del protocolo. A pesar de la adopción de numerosas estrategias de control de riesgos, los eventos que involucran tales ataques aún ocurren con frecuencia. Por ejemplo, en julio pasado, Curve sufrió un grave ataque de reentrancia debido a una falla del compilador en su lenguaje de programación de contrato Vyper, lo que resultó en pérdidas de hasta $60 millones, lo que generó dudas generalizadas sobre la seguridad de DeFi.

Aunque hay muchas soluciones "white-box" para la lógica del código fuente del contrato, eventos como el hack de Curve revelan un problema significativo: incluso si el código fuente del contrato es impecable, problemas del compilador pueden llevar a diferencias entre el tiempo de ejecución final y el diseño esperado. Convertir contratos desde el código fuente al tiempo de ejecución real es un proceso desafiante, con cada paso potencialmente llevando a problemas inesperados, y el propio código fuente puede que no cubra completamente todos los escenarios potenciales. Por lo tanto, depender únicamente de la seguridad del código fuente y del nivel del compilador está lejos de ser suficiente; las vulnerabilidades aún pueden aparecer debido a problemas del compilador.

Por lo tanto, la protección en tiempo de ejecución se volverá necesaria. A diferencia de las medidas de control de riesgos existentes que se centran en el nivel de código fuente del protocolo y tienen efecto antes de la ejecución, la protección en tiempo de ejecución implica que los desarrolladores de protocolos escriban reglas y operaciones de protección en tiempo de ejecución para manejar situaciones imprevistas durante la ejecución. Esto ayuda en la evaluación y respuesta en tiempo real a los resultados de la ejecución en tiempo de ejecución.

Según las predicciones de Bitwise, una empresa de gestión de activos de criptomonedas, el valor total de los activos de criptomonedas alcanzará $16 billones para 2030. Si analizamos cuantitativamente desde la perspectiva de evaluación de riesgos del costo de seguridad, la ocurrencia de incidentes de seguridad en la cadena casi conduce a una pérdida del 100% de los activos, por lo que el factor de exposición (EF) puede establecerse en 1, y así el valor de pérdida única esperado (SLE) es de $16 billones. Con una tasa de ocurrencia anualizada (ARO) del 1%, podemos obtener una pérdida esperada anualizada (ALE) de $160 mil millones, que es el valor máximo del costo de inversión en seguridad en activos de criptomonedas.

Dada la gravedad, frecuencia y rápido crecimiento a alta velocidad de la escala de mercado de incidentes de seguridad de criptomonedas, podemos prever que la seguridad de Web3 será un mercado de cien mil millones de dólares, creciendo rápidamente con la expansión del mercado y la base de usuarios de Web3. Además, considerando el enorme crecimiento de usuarios individuales y la creciente preocupación por la seguridad de activos, podemos anticipar un crecimiento geométrico en la demanda de servicios y productos de seguridad de Web3 en el mercado C-side, representando un mercado de océano azul que todavía no ha sido completamente explorado.

Analizando el panorama de seguridad de Web3

Con la continua emergencia de problemas de seguridad en Web3, hay un aumento notable en la demanda de herramientas avanzadas que puedan proteger activos digitales, verificar la autenticidad de los NFT, monitorear aplicaciones descentralizadas y garantizar el cumplimiento de las regulaciones contra el lavado de dinero. Las estadísticas indican que las principales fuentes de amenazas de seguridad que enfrenta actualmente Web3 incluyen:

• Ataques de hackers dirigidos al protocolo
• Estafas dirigidas a usuarios, phishing y robo de claves privadas
• Ataques de seguridad dirigidos a la propia cadena de bloques

Para hacer frente a estos riesgos, las empresas en el mercado actual se centran principalmente en ofrecer servicios y herramientas en dos pistas principales: pruebas y auditorías de ToB (Pre-Chain) y monitoreo de ToC (On-Chain). En comparación con ToC, los actores en la pista de ToB han estado en el mercado durante más tiempo y siguen viendo nuevos participantes. Sin embargo, a medida que el entorno del mercado Web3 se vuelve más complejo, las auditorías de ToB están luchando gradualmente para hacer frente a diversas amenazas de seguridad, destacando la creciente importancia del monitoreo de ToC y, por lo tanto, impulsando su demanda.

• ToB:

Empresas representativas en el mercado actual, como Certik y Beosin, ofrecen servicios de prueba y auditoría ToB. Estas empresas principalmente brindan servicios a nivel de contrato inteligente, realizando auditorías de seguridad y verificación formal de contratos inteligentes. A través de métodos previos a la cadena, como análisis de visualización de billetera, análisis de vulnerabilidad de contrato inteligente y auditorías de seguridad de código fuente, estas empresas pueden detectar en cierta medida vulnerabilidades de contratos inteligentes y mitigar riesgos.

• ToC

El monitoreo de ToC se ejecuta en cadena, implicando análisis de riesgos del código de contrato inteligente, estados en cadena, metadatos de transacciones de usuario, simulación de transacciones y monitoreo de estados. En comparación con ToB, las empresas de seguridad del lado del cliente en el espacio de Web3 se establecieron relativamente más tarde, pero han sido testigos de un crecimiento notable. Los servicios proporcionados por empresas de seguridad de Web3 como GoPlus se están aplicando gradualmente en varios ecosistemas dentro de Web3.

Desde su establecimiento en mayo de 2021, GoPlus ha experimentado un crecimiento rápido en las llamadas diarias de la API, desde unas pocas consultas por día inicialmente hasta veinte millones de llamadas por día durante los picos del mercado. El siguiente gráfico ilustra el cambio en las llamadas de la API de Riesgo de Token desde 2022 hasta 2024, mostrando la tasa de crecimiento de la importancia de GoPlus en el dominio Web3.

El módulo de datos del usuario introducido por GoPlus se ha convertido en una parte integral de varias aplicaciones Web3, desempeñando un papel crucial en sitios web de mercado líderes como CoinMarketCap (CMC), CoinGecko, Dexscreener, Dextools, principales intercambios descentralizados como Sushiswap, Kyber Network y billeteras como Metamask Snap, Bitget Wallet, Safepal.

Además, este módulo ha sido adoptado por empresas de servicios de seguridad de usuarios como Blowfish, Webacy y Kekkai, lo que indica el papel crucial del módulo de datos de seguridad de usuarios de GoPlus en la definición de la infraestructura de seguridad del ecosistema Web3 y su posición significativa en plataformas descentralizadas contemporáneas.

GoPlus ofrece principalmente los siguientes servicios de API, proporcionando información completa sobre los datos de seguridad del usuario a través de análisis de datos dirigidos de múltiples módulos clave. Esto tiene como objetivo anticipar las amenazas de seguridad en evolución y abordar los desafíos multifacéticos de la seguridad Web3.

• API de Riesgo de Token: Evalúa los riesgos asociados con diferentes criptomonedas.
• API de riesgo de NFT: Evalúa los riesgos asociados con varios NFT.
• API de Dirección Maliciosa: Identifica y marca direcciones asociadas con fraude, phishing y otras actividades maliciosas.
• API de seguridad de dApp: Proporciona monitoreo en tiempo real y detección de amenazas para aplicaciones descentralizadas.
• API de Contrato de Aprobación: Administra y audita los permisos de invocación de contratos inteligentes.

En la pista C-side, también hemos observado a Harpie. Harpie se enfoca en proteger las carteras de Ethereum de robos y colabora con empresas como OpenSea y Coinbase. Han protegido a miles de usuarios de estafas, ataques de piratería y robos de claves privadas. Su enfoque de producto abarca tanto la monitorización como la recuperación. Monitorizan las carteras para identificar vulnerabilidades o amenazas, notifican rápidamente a los usuarios al descubrirlas y ayudan en la remediación. Responden rápidamente a los usuarios que han sido víctimas de ataques de piratería o estafas, ayudando a recuperar sus activos. Sus esfuerzos han sido muy efectivos en mejorar la seguridad de las carteras de Ethereum.

Además, ScamSniffer proporciona servicios en forma de un complemento para el navegador. Este producto realiza controles en tiempo real a través de un motor de detección de sitios web maliciosos y múltiples fuentes de datos en lista negra antes de que los usuarios abran enlaces, protegiéndolos de los impactos de sitios web maliciosos. Durante las transacciones en línea, detecta estafas como el phishing para proteger la seguridad de los activos de los usuarios.

Soluciones de seguridad de próxima generación: Salvaguardando el futuro de Web3

Para abordar problemas como la seguridad de activos, la seguridad del comportamiento, la seguridad del protocolo y las necesidades de cumplimiento en cadena, hemos profundizado en las soluciones ofrecidas por GoPlus y Artela. Estas tienen como objetivo comprender cómo apoyan las aplicaciones Web3 a gran escala al mantener entornos de seguridad de usuario y entornos operativos en cadena.

1. Entorno de Seguridad del Usuario Infraestructura

La seguridad de las transacciones en la cadena de bloques forma la piedra angular de la seguridad para las aplicaciones Web3 a gran escala. Con frecuentes ataques de hackers en cadena, ataques de phishing y estafas, asegurar la trazabilidad de las transacciones en cadena, la identificación de comportamientos sospechosos en cadena y la garantía de seguridad de los perfiles de usuario son cruciales. Basándose en esto, GoPlus ha lanzado la plataforma SecWareX, la primera plataforma integral de detección de seguridad personal para Web3.

SecWareX es un producto de seguridad personal Web3 construido sobre el protocolo de seguridad del usuario SecWare, que proporciona una solución de seguridad integral que incluye la identificación en tiempo real de ataques en tiempo de ejecución en la cadena, advertencias tempranas, intercepción oportuna y resolución de disputas. También soporta estrategias de intercepción de seguridad personalizadas para contratos de emisión de activos adaptados a escenarios específicos.

Para la educación de seguridad del comportamiento del usuario, SecWareX introduce el programa Learn2Earn, combinando hábilmente el aprendizaje de conocimientos de seguridad con incentivos de tokens, permitiendo a los usuarios mejorar su conciencia de seguridad mientras obtienen recompensas tangibles.

1. Soluciones de Cumplimiento de Fondos

La lucha contra el lavado de dinero (AML) es una de las necesidades más apremiantes en las blockchains públicas. En las cadenas públicas, analizar factores como las fuentes de transacciones, el comportamiento esperado, los montos y las frecuencias puede ayudar a identificar de manera oportuna comportamientos sospechosos o anormales. Esto ayuda a los intercambios descentralizados, billeteras y agencias reguladoras a detectar posibles actividades ilegales como el lavado de dinero, el fraude y el juego, y a tomar medidas oportunas como advertencias, congelamientos de activos o informes a las autoridades para fortalecer el cumplimiento de DeFi y la aplicación a gran escala.

Con el enriquecimiento continuo de los comportamientos en cadena, Know Your Transaction (KYT) para aplicaciones descentralizadas se convertirá en un requisito indispensable para aplicaciones a gran escala. La API de Dirección Maliciosa de GoPlus es crucial para que los intercambios, billeteras y servicios financieros que operan en Web3 cumplan con los requisitos regulatorios y aseguren sus operaciones, resaltando la conexión intrínseca entre el cumplimiento normativo y el progreso tecnológico en el campo de Web3. Subraya la importancia del monitoreo continuo y la adaptación para salvaguardar la integridad del ecosistema y la seguridad del usuario.

1. Protocolos de seguridad en cadena

Artela es la primera cadena pública Layer1 nativa que admite protección en tiempo de ejecución. A través del diseño EVM++, el módulo de extensión nativo integrado dinámicamente de Artela, Aspect, admite agregar lógica de extensión en varios puntos del ciclo de vida de la transacción, registrando el estado de ejecución de cada llamada de función.

Cuando ocurre una llamada reentrante amenazante durante la ejecución de la función de devolución de llamada, Aspect detecta e inmediatamente retira la transacción para evitar que los atacantes exploten vulnerabilidades de reentrancia. Por ejemplo, al protegerse contra ataques reentrantes en contratos de Curve, Artela proporciona una solución de seguridad a nivel de protocolo nativo de cadena para varias aplicaciones DeFi.

A medida que aumenta la complejidad del protocolo y la diversidad del compilador, cobra más importancia las soluciones de protección en tiempo de ejecución en cadena, en contraposición a las verificaciones estáticas de la lógica del código del contrato en soluciones de “caja blanca”.

Conclusión

El 10 de enero de 2024, la SEC anunció oficialmente la aprobación de la inclusión y comercialización de un ETF de Bitcoin al contado, marcando el paso más significativo hacia la adopción generalizada de activos criptográficos. A medida que los entornos políticos maduran y las medidas de seguridad se fortalecen, inevitablemente seremos testigos de la llegada de aplicaciones Web3 a gran escala. Si las aplicaciones Web3 a gran escala son las olas turbulentas, entonces la seguridad Web3 es la sólida presa construida para proteger los activos de los usuarios, resistir las tormentas externas y garantizar que todos naveguen de manera segura a través de cada ola.

Descargo de responsabilidad：

1. Este artículo es reimpreso de [BuidlerDAO], Todos los derechos de autor pertenecen al autor original [BuidlerDAO]. Si hay objeciones a esta reimpresión, por favor contacte al Gate Learnequipo, y lo manejarán rápidamente.
2. Descargo de responsabilidad: Las opiniones expresadas en este artículo son únicamente las del autor y no constituyen consejos de inversión.
3. Las traducciones del artículo a otros idiomas son realizadas por el equipo de Gate Learn. A menos que se mencione, está prohibido copiar, distribuir o plagiar los artículos traducidos.