Hechos clave:
-
Toda plataforma deberĆa contar con un plan de respuesta ante incidentes de seguridad.
-
Mantener informada a la comunidad debe ser parte del protocolo ante contingencias.
La cantidad de ataques informÔticos y pérdidas recientes en las plataformas de finanzas descentralizadas (DeFi) llevan al autor John Mardlin a relatar cómo los usuarios pueden velar por la seguridad de estas plataformas.
Mardlin, ingeniero de seguridad y miembro fundador de ConsenSys Diligence, publicó recientemente un artĆculo donde asegura que aunque los bugs o errores de programación son inevitables, se pueden tomar otras medidas para evitar que estas vulnerabilidades sean explotadas por hackers. Aclara asĆ que aunque es necesario realizar auditorĆas especializadas, tambiĆ©n es crucial que los propios usuarios presionen para que los protocolos de seguridad sean Ćntegros.
Con esa premisa, Mardlin enumeró una serie de preguntas que los usuarios pueden realizar a los desarrolladores para comprobar estos aspectos de seguridad. Añade también que aunque algunos equipos de desarrollo o programadores independientes no cuentan con los recursos para cubrir todos los niveles de seguridad, es importante que el usuario decida «con qué nivel de riesgo se siente cómodo».
En primer lugar, explica que la mayor parte de los protocolos tienen ciertos niveles de control, centralizados en la figura de un Ā«administradorĀ», lo cual requiere la confianza de los usuarios en esta figura. AƱade que es necesario tomar en cuenta ademĆ”s que, en estos casos, algĆŗn hacker podrĆa hacerse con las llaves privadas y acceder a esos privilegios administrativos de la red; una situación peligrosa si estos datos no se protegen adecuadamente.
En ese sentido, menciona una lista de preguntas que deberĆan responder las plataformas, que incluyen planteamientos como ĀæcuĆ”ntas personas son administradores?, ĀæquĆ© acciones especiales o preventivas puede tomar?, Āæpueden detener el sistema?, Āæpueden modificar balances y otros datos arbitrariamente?, Āæes posible crear listas negras vetando a usuarios o tokens?
Un aspecto a considerar tiene que ver con la dependencia del sistema de entidades externas. Muchas de estas plataformas utilizan contratos inteligentes diseƱados por terceros, por lo que vale preguntarles si estĆ”n seguros de su correcto funcionamiento. Ā«El ecosistema Ethereum estĆ” lleno de adversarios, asĆ que en general los desarrolladores no deberĆan dar por sentado la forma en que los contratos de otros sistemas se comportarĆ”nĀ», afirma Mardlin.
Otro tema de seguridad a evaluar es si la empresa ofrece programas de recompensa a los hackers por las mejoras que se propongan o las fallas que se detecten en estas plataformas. Con ello, se hace mĆ”s atractivo reportar los bugs para su solución, que aprovecharlos maliciosamente.Ā
Ā«Cualquier compaƱĆa con protocolo DeFi, que maneje el dinero de la gente, deberĆa tener un programa de recompensasĀ», expresa el autor, indicando que hay que preguntar por la disponibilidad de los códigos fuente de los contratos. DeberĆa ser sencillo encontrar soporte tĆ©cnico y de seguridad, tanto en el sitio web como en algĆŗn repositorio.Ā
Las plataformas tambiĆ©n deben contar con un plan de respuesta ante incidentes de seguridad. Se tiene que conocer, si se ha escrito un plan de contingencia y en quĆ© escenarios aplica; y si el sistema es actualizable ĀæcuĆ”les son los pasos a seguir? Esto incluye evaluar si al detectar una vulnerabilidad estarĆa bien atacarla o no, para proteger los fondos, y cuĆ”l serĆa el protocolo de auditorĆas.
En ese Ćŗltimo aspecto, el autor seƱala que se debe preguntar todo acerca de las auditorĆas realizadas. ĀæCuĆ”ndo fue la Ćŗltima vez que se realizó? ĀæCuĆ”nto esfuerzo en horas y personas requirió? ĀæQuĆ© firmas realizaron la auditorĆa? ĀæSe utilizan otras herramientas?Ā Ā
Para Mardlin es vital mantener informada a la comunidad vĆa Twitter, Telegram, Discord y otros medios de interacción social. En ese sentido, aĆŗn si ocurre un incidente y no se quieren dar todos los detalles, recomienda ofrecer información bĆ”sica y mantener tranquila a la comunidad.
Ante los recientes ataques que han sufrido las DeFi en meses recientes, con millonarias pĆ©rdidas para los usuarios, todos los puntos mencionados son de vital importancia. Este ecosistema va en franco crecimiento, luego de que se reportara en febrero pasado que las DeFi de Ethereum ya poseĆan una reserva de 1.000 millones de dólares.