El hack de KelpDAO expone puntos débiles en la seguridad de Web3

El hackeo de KelpDAO mostró varias líneas de falla en la seguridad de Web3. El problema más grande fue que las cadenas de bloques ejecutaban a la perfección transacciones basadas en datos defectuosos.

La seguridad de Web3 sigue siendo una prioridad, como una forma de reconstruir la confianza en los protocolos DeFi. El hackeo de KelpDAO tuvo repercusiones duraderas para los préstamos en DeFi y planteó cuestiones sobre cómo aumentar la seguridad en Web3.

Los hackeos en DeFi alcanzaron un máximo de un año en abril, abriendo un debate sobre los riesgos de Web3 y mejores formas de interceptar los hackeos. | Fuente: DeFiLlama.

La reciente ola de hackeos en abril puede hacer que las aplicaciones reconsideren la forma en que acceden a los datos y permiten transacciones. Hackeos similares continuaron en mayo, con $930K perdido en lo que va del mes. Recientemente, el Protocolo Bisq perdió $858K debido a una lógica de protocolo defectuosa y un ataque de cliente falso, según datos de DeFiLlama.

Las aplicaciones de Web3 tienen un problema de verificación de datos

Según Victor Fei de Ormilabs, el hackeo de KelpDAO es un ejemplo claro de cómo una aplicación puede seguir funcionando, incluso si el estado de la cadena de bloques no corresponde a los datos.

Fei explicó que las aplicaciones no siempre consultan directamente la cadena de bloques. En cambio, dependen de intermediarios como nodos RPC, en lugar de datos en cadena en bruto. Esto es un requisito para Ethereum y otras cadenas más antiguas, que ya no son viables para acceder directamente para la mayoría de las aplicaciones.

Con una fuente limitada de datos, un puente solo puede confiar en un pequeño conjunto de nodos RPC. Cuando algunas fuentes son comprometidas o no están disponibles, la aplicación puede operar con datos incorrectos, mientras que la cadena subyacente seguirá considerando las transacciones como válidas.

La mayoría de las aplicaciones modernas de Web3 no acceden directamente a la cadena, sino que dependen de alguna forma de indexación para obtener información relevante. La indexación puede mostrar datos defectuosos o convertirse en un vector directo de ataque.

La explotación de KelpDAO reveló esta vulnerabilidad en su totalidad. El proceso de verificación confiaba en un número limitado de fuentes RPC, y los atacantes secuestraron algunas de esas fuentes. Con una capa de datos defectuosa, la cadena de bloques procesó las transacciones como de costumbre y gastó monedas reales a cambio de un saldo falso.

El problema se vuelve aún más grave si se permite que agentes de IA actúen en base a una capa de datos limitada y potencialmente defectuosa.

¿Qué puede aumentar la seguridad en Web3?

La mayor falla en KelpDAO, Drift Protocol y otros hackeos recientes es la velocidad de ejecución. La mayoría de las transacciones ocurrieron de inmediato y se finalizaron en el siguiente bloque, sin período de enfriamiento ni verificaciones adicionales. Web3 ha promocionado su capacidad para transacciones rápidas y sin permisos, pero también permite que los actores malintencionados ejecuten sus robos con rapidez.

“El futuro de la seguridad en Web3 se reduce a la velocidad. Nuestros datos muestran que los hackeos y el lavado de dinero son rápidos y baratos, mientras que la respuesta de los equipos es lenta y costosa”, comentó Vladyslav Syrotin, Jefe de Investigaciones en Global Ledger para Cryptopolitan.

Syrotin cree que los proyectos de Web3 deberían reducir su tiempo de detección para captar salidas inusuales, caídas súbitas de liquidez o llamadas sospechosas a contratos inteligentes.

Según Syrotin, las alertas y bloqueos deberían automatizarse en un segundo después de un ataque, y los informes de víctimas y el etiquetado de datos deberían estar listos en 10 minutos. Actualmente, se tarda horas o días en calcular las pérdidas totales y rastrear los grupos de billeteras de los atacantes.

Syrotin agregó que incluso un marco de tiempo más lento, con alertas en 30 segundos y etiquetado en cuatro horas, puede ayudar a prevenir aproximadamente la mitad de los incidentes y reducir las pérdidas.

No solo leas noticias de cripto. Entiéndelas. Suscríbete a nuestro boletín. Es gratis.