-
Toda plataforma deberรญa contar con un plan de respuesta ante incidentes de seguridad.
-
Mantener informada a la comunidad debe ser parte del protocolo ante contingencias.
La cantidad de ataques informรกticos y pรฉrdidas recientes en las plataformas de finanzas descentralizadas (DeFi) llevan al autor John Mardlin a relatar cรณmo los usuarios pueden velar por la seguridad de estas plataformas.
Mardlin, ingeniero de seguridad y miembro fundador de ConsenSys Diligence, publicรณ recientemente un artรญculo donde asegura que aunque los bugs o errores de programaciรณn son inevitables, se pueden tomar otras medidas para evitar que estas vulnerabilidades sean explotadas por hackers. Aclara asรญ que aunque es necesario realizar auditorรญas especializadas, tambiรฉn es crucial que los propios usuarios presionen para que los protocolos de seguridad sean รญntegros.
Con esa premisa, Mardlin enumerรณ una serie de preguntas que los usuarios pueden realizar a los desarrolladores para comprobar estos aspectos de seguridad. Aรฑade tambiรฉn que aunque algunos equipos de desarrollo o programadores independientes no cuentan con los recursos para cubrir todos los niveles de seguridad, es importante que el usuario decida ยซcon quรฉ nivel de riesgo se siente cรณmodoยป.
En primer lugar, explica que la mayor parte de los protocolos tienen ciertos niveles de control, centralizados en la figura de un ยซadministradorยป, lo cual requiere la confianza de los usuarios en esta figura. Aรฑade que es necesario tomar en cuenta ademรกs que, en estos casos, algรบn hacker podrรญa hacerse con las llaves privadas y acceder a esos privilegios administrativos de la red; una situaciรณn peligrosa si estos datos no se protegen adecuadamente.
En ese sentido, menciona una lista de preguntas que deberรญan responder las plataformas, que incluyen planteamientos como ยฟcuรกntas personas son administradores?, ยฟquรฉ acciones especiales o preventivas puede tomar?, ยฟpueden detener el sistema?, ยฟpueden modificar balances y otros datos arbitrariamente?, ยฟes posible crear listas negras vetando a usuarios o tokens?
Un aspecto a considerar tiene que ver con la dependencia del sistema de entidades externas. Muchas de estas plataformas utilizan contratos inteligentes diseรฑados por terceros, por lo que vale preguntarles si estรกn seguros de su correcto funcionamiento. ยซEl ecosistema Ethereum estรก lleno de adversarios, asรญ que en general los desarrolladores no deberรญan dar por sentado la forma en que los contratos de otros sistemas se comportarรกnยป, afirma Mardlin.
Otro tema de seguridad a evaluar es si la empresa ofrece programas de recompensa a los hackers por las mejoras que se propongan o las fallas que se detecten en estas plataformas. Con ello, se hace mรกs atractivo reportar los bugs para su soluciรณn, que aprovecharlos maliciosamente.ย
ยซCualquier compaรฑรญa con protocolo DeFi, que maneje el dinero de la gente, deberรญa tener un programa de recompensasยป, expresa el autor, indicando que hay que preguntar por la disponibilidad de los cรณdigos fuente de los contratos. Deberรญa ser sencillo encontrar soporte tรฉcnico y de seguridad, tanto en el sitio web como en algรบn repositorio.ย
Las plataformas tambiรฉn deben contar con un plan de respuesta ante incidentes de seguridad. Se tiene que conocer, si se ha escrito un plan de contingencia y en quรฉ escenarios aplica; y si el sistema es actualizable ยฟcuรกles son los pasos a seguir? Esto incluye evaluar si al detectar una vulnerabilidad estarรญa bien atacarla o no, para proteger los fondos, y cuรกl serรญa el protocolo de auditorรญas.
En ese รบltimo aspecto, el autor seรฑala que se debe preguntar todo acerca de las auditorรญas realizadas. ยฟCuรกndo fue la รบltima vez que se realizรณ? ยฟCuรกnto esfuerzo en horas y personas requiriรณ? ยฟQuรฉ firmas realizaron la auditorรญa? ยฟSe utilizan otras herramientas?ย ย
Para Mardlin es vital mantener informada a la comunidad vรญa Twitter, Telegram, Discord y otros medios de interacciรณn social. En ese sentido, aรบn si ocurre un incidente y no se quieren dar todos los detalles, recomienda ofrecer informaciรณn bรกsica y mantener tranquila a la comunidad.
Ante los recientes ataques que han sufrido las DeFi en meses recientes, con millonarias pรฉrdidas para los usuarios, todos los puntos mencionados son de vital importancia. Este ecosistema va en franco crecimiento, luego de que se reportara en febrero pasado que las DeFi de Ethereum ya poseรญan una reserva de 1.000 millones de dรณlares.
