Hechos clave:
- Toda plataforma debería contar con un plan de respuesta ante incidentes de seguridad.
- Mantener informada a la comunidad debe ser parte del protocolo ante contingencias.
La cantidad de ataques informáticos y pérdidas recientes en las plataformas de finanzas descentralizadas (DeFi) llevan al autor John Mardlin a relatar cómo los usuarios pueden velar por la seguridad de estas plataformas.
Mardlin, ingeniero de seguridad y miembro fundador de ConsenSys Diligence, publicó recientemente un artículo donde asegura que aunque los bugs o errores de programación son inevitables, se pueden tomar otras medidas para evitar que estas vulnerabilidades sean explotadas por hackers. Aclara así que aunque es necesario realizar auditorías especializadas, también es crucial que los propios usuarios presionen para que los protocolos de seguridad sean íntegros.
Con esa premisa, Mardlin enumeró una serie de preguntas que los usuarios pueden realizar a los desarrolladores para comprobar estos aspectos de seguridad. Añade también que aunque algunos equipos de desarrollo o programadores independientes no cuentan con los recursos para cubrir todos los niveles de seguridad, es importante que el usuario decida «con qué nivel de riesgo se siente cómodo».
En primer lugar, explica que la mayor parte de los protocolos tienen ciertos niveles de control, centralizados en la figura de un «administrador», lo cual requiere la confianza de los usuarios en esta figura. Añade que es necesario tomar en cuenta además que, en estos casos, algún hacker podría hacerse con las llaves privadas y acceder a esos privilegios administrativos de la red; una situación peligrosa si estos datos no se protegen adecuadamente.
En ese sentido, menciona una lista de preguntas que deberían responder las plataformas, que incluyen planteamientos como ¿cuántas personas son administradores?, ¿qué acciones especiales o preventivas puede tomar?, ¿pueden detener el sistema?, ¿pueden modificar balances y otros datos arbitrariamente?, ¿es posible crear listas negras vetando a usuarios o tokens?
Un aspecto a considerar tiene que ver con la dependencia del sistema de entidades externas. Muchas de estas plataformas utilizan contratos inteligentes diseñados por terceros, por lo que vale preguntarles si están seguros de su correcto funcionamiento. «El ecosistema Ethereum está lleno de adversarios, así que en general los desarrolladores no deberían dar por sentado la forma en que los contratos de otros sistemas se comportarán», afirma Mardlin.
Otro tema de seguridad a evaluar es si la empresa ofrece programas de recompensa a los hackers por las mejoras que se propongan o las fallas que se detecten en estas plataformas. Con ello, se hace más atractivo reportar los bugs para su solución, que aprovecharlos maliciosamente.
«Cualquier compañía con protocolo DeFi, que maneje el dinero de la gente, debería tener un programa de recompensas», expresa el autor, indicando que hay que preguntar por la disponibilidad de los códigos fuente de los contratos. Debería ser sencillo encontrar soporte técnico y de seguridad, tanto en el sitio web como en algún repositorio.
Las plataformas también deben contar con un plan de respuesta ante incidentes de seguridad. Se tiene que conocer, si se ha escrito un plan de contingencia y en qué escenarios aplica; y si el sistema es actualizable ¿cuáles son los pasos a seguir? Esto incluye evaluar si al detectar una vulnerabilidad estaría bien atacarla o no, para proteger los fondos, y cuál sería el protocolo de auditorías.
En ese último aspecto, el autor señala que se debe preguntar todo acerca de las auditorías realizadas. ¿Cuándo fue la última vez que se realizó? ¿Cuánto esfuerzo en horas y personas requirió? ¿Qué firmas realizaron la auditoría? ¿Se utilizan otras herramientas?
Para Mardlin es vital mantener informada a la comunidad vía Twitter, Telegram, Discord y otros medios de interacción social. En ese sentido, aún si ocurre un incidente y no se quieren dar todos los detalles, recomienda ofrecer información básica y mantener tranquila a la comunidad.
Ante los recientes ataques que han sufrido las DeFi en meses recientes, con millonarias pérdidas para los usuarios, todos los puntos mencionados son de vital importancia. Este ecosistema va en franco crecimiento, luego de que se reportara en febrero pasado que las DeFi de Ethereum ya poseían una reserva de 1.000 millones de dólares.
