Hechos clave:
-
Toda plataforma deberĆa contar con un plan de respuesta ante incidentes de seguridad.
-
Mantener informada a la comunidad debe ser parte del protocolo ante contingencias.
La cantidad de ataques informĆ”ticos y pĆ©rdidas recientes en las plataformas de finanzas descentralizadas (DeFi) llevan al autor John Mardlin a relatar cĆ³mo los usuarios pueden velar por la seguridad de estas plataformas.
Mardlin, ingeniero de seguridad y miembro fundador de ConsenSys Diligence, publicĆ³ recientemente un artĆculo donde asegura que aunque los bugs o errores de programaciĆ³n son inevitables, se pueden tomar otras medidas para evitar que estas vulnerabilidades sean explotadas por hackers. Aclara asĆ que aunque es necesario realizar auditorĆas especializadas, tambiĆ©n es crucial que los propios usuarios presionen para que los protocolos de seguridad sean Ćntegros.
Con esa premisa, Mardlin enumerĆ³ una serie de preguntas que los usuarios pueden realizar a los desarrolladores para comprobar estos aspectos de seguridad. AƱade tambiĆ©n que aunque algunos equipos de desarrollo o programadores independientes no cuentan con los recursos para cubrir todos los niveles de seguridad, es importante que el usuario decida Ā«con quĆ© nivel de riesgo se siente cĆ³modoĀ».
En primer lugar, explica que la mayor parte de los protocolos tienen ciertos niveles de control, centralizados en la figura de un Ā«administradorĀ», lo cual requiere la confianza de los usuarios en esta figura. AƱade que es necesario tomar en cuenta ademĆ”s que, en estos casos, algĆŗn hacker podrĆa hacerse con las llaves privadas y acceder a esos privilegios administrativos de la red; una situaciĆ³n peligrosa si estos datos no se protegen adecuadamente.
En ese sentido, menciona una lista de preguntas que deberĆan responder las plataformas, que incluyen planteamientos como ĀæcuĆ”ntas personas son administradores?, ĀæquĆ© acciones especiales o preventivas puede tomar?, Āæpueden detener el sistema?, Āæpueden modificar balances y otros datos arbitrariamente?, Āæes posible crear listas negras vetando a usuarios o tokens?
Un aspecto a considerar tiene que ver con la dependencia del sistema de entidades externas. Muchas de estas plataformas utilizan contratos inteligentes diseƱados por terceros, por lo que vale preguntarles si estĆ”n seguros de su correcto funcionamiento. Ā«El ecosistema Ethereum estĆ” lleno de adversarios, asĆ que en general los desarrolladores no deberĆan dar por sentado la forma en que los contratos de otros sistemas se comportarĆ”nĀ», afirma Mardlin.
Otro tema de seguridad a evaluar es si la empresa ofrece programas de recompensa a los hackers por las mejoras que se propongan o las fallas que se detecten en estas plataformas. Con ello, se hace mĆ”s atractivo reportar los bugs para su soluciĆ³n, que aprovecharlos maliciosamente.Ā
Ā«Cualquier compaƱĆa con protocolo DeFi, que maneje el dinero de la gente, deberĆa tener un programa de recompensasĀ», expresa el autor, indicando que hay que preguntar por la disponibilidad de los cĆ³digos fuente de los contratos. DeberĆa ser sencillo encontrar soporte tĆ©cnico y de seguridad, tanto en el sitio web como en algĆŗn repositorio.Ā
Las plataformas tambiĆ©n deben contar con un plan de respuesta ante incidentes de seguridad. Se tiene que conocer, si se ha escrito un plan de contingencia y en quĆ© escenarios aplica; y si el sistema es actualizable ĀæcuĆ”les son los pasos a seguir? Esto incluye evaluar si al detectar una vulnerabilidad estarĆa bien atacarla o no, para proteger los fondos, y cuĆ”l serĆa el protocolo de auditorĆas.
En ese Ćŗltimo aspecto, el autor seƱala que se debe preguntar todo acerca de las auditorĆas realizadas. ĀæCuĆ”ndo fue la Ćŗltima vez que se realizĆ³? ĀæCuĆ”nto esfuerzo en horas y personas requiriĆ³? ĀæQuĆ© firmas realizaron la auditorĆa? ĀæSe utilizan otras herramientas?Ā Ā
Para Mardlin es vital mantener informada a la comunidad vĆa Twitter, Telegram, Discord y otros medios de interacciĆ³n social. En ese sentido, aĆŗn si ocurre un incidente y no se quieren dar todos los detalles, recomienda ofrecer informaciĆ³n bĆ”sica y mantener tranquila a la comunidad.
Ante los recientes ataques que han sufrido las DeFi en meses recientes, con millonarias pĆ©rdidas para los usuarios, todos los puntos mencionados son de vital importancia. Este ecosistema va en franco crecimiento, luego de que se reportara en febrero pasado que las DeFi de Ethereum ya poseĆan una reserva de 1.000 millones de dĆ³lares.
