Según la empresa de análisis en cadena Chainalysis, el volumen de transacciones criminales de criptomonedas en 2021 alcanzó un nuevo máximo histórico: 14.000 millones de dólares.

Sin embargo, a pesar del aumento del volumen de transferencias delictivas, su proporción relativa con respecto a todo el volumen de transacciones de criptomonedas de 2021 fue la más baja de todos los tiempos. Estas estadísticas muestran que la expansión de la esfera de las criptomonedas está superando con creces la ciberdelincuencia asociada a las criptomonedas, también muestra que la seguridad en la industria también se está poniendo al día con la demanda.

Los ciberataques más lucrativos de 2021

Aunque hubo un descenso en la proporción del volumen de transacciones asociadas al crimen en el espacio de las criptomonedas en 2021, hubo varios casos que levantaron algunas cejas. Aquí repasaremos algunos de los más llamativos.

1. Poly Network – 611 millones de dólares

El hackeo de Poly Network ocurrió el 10 de agosto de 2021 y resultó en el robo de alrededor de 611 millones de dólares en activos digitales robados en tres blockchains: Ethereum, BSC y Polygon. El detalle llamativo fue que el hacker devolvió toda la suma que había robado, explicando su movimiento como un intento de señalar las vulnerabilidades del protocolo de Poly Network que no buscaba el lucro.

Poly Network es una red de cadenas cruzadas que permite a los usuarios realizar operaciones entre cadenas de bloques de forma descentralizada. Por ejemplo, transferir fondos de una blockchain a otra. Para hacer esto, se necesita una gran cantidad de liquidez en el protocolo. En Poly Network, esta liquidez se controla mediante contratos inteligentes especiales.

2. Bitmart – 196 millones de dólares

El 4 de diciembre de 2021, la casa de cambio de criptomonedas centralizada Bitmart fue atacada, con el robo de criptoactivos por valor de 200 millones de dólares de su billetera. Los atacantes robaron las claves privadas de las «billeteras calientes» del exchange.

El intercambio Bitmart afirmó que había perdido 150 millones de dólares, pero la firma de ciberseguridad de blockchain Peckshield salió más tarde con una afirmación de que se habían robado 196 millones de dólares de las blockchains de Ethereum y Binance Smart Chain en más de 20 criptomonedas y tokens. También mostraron el camino en gráficos que habían recorrido los activos robados, excepto el destino final. En primer lugar, el atacante cambió los activos robados por Ether utilizando el agregador DEX 1inch y luego lavó el Ether utilizando un mezclador de privacidad Tornado Cash. Después, el rastro queda en blanco.

Este ciberataque demostró una vez más la vulnerabilidad de almacenar claves privadas de múltiples direcciones con grandes sumas en un solo servidor. Esto expuso todos los monederos calientes del exchange a la vez.

3. Cream Finance – 130 millones de dólares

En el ciberataque de Cream Finance que tuvo lugar en diciembre de 2021, un hacker o dos hackers utilizaron múltiples protocolos -MakerDAO, AAVE, Curve, Yearn.finance- para llevar a cabo un atraco a Cream Finance por valor de 130 millones de dólares en tokens y criptomonedas.

Los tipos de ataques más populares en 2021

Hablando de ataques a contratos inteligentes, el tipo de ataque más popular fue el ataque de préstamo flash como el que le ocurrió a Cream Finance. Según The Block Crypto, de los 70 ataques de DeFi en 2021, 34 utilizaron préstamos flash, siendo el atraco de Cream Finance de diciembre la cúspide en cuanto a la cantidad robada. El rasgo por excelencia de estos ataques es el uso de múltiples protocolos. Por sí solos, pueden ser seguros, pero cuando se trata de utilizar una cadena de ellos, se pueden encontrar vulnerabilidades.

Otro tipo de ataque a los contratos inteligentes que se puede clasificar como un ataque DeFi clásico es el ataque de reentrada. Un ataque de reentrada puede ocurrir si la función que llama a un contrato externo no actualiza el balance de direcciones antes de hacer otra llamada a ese contrato. En este caso, el contrato externo puede retirar fondos recursivamente porque el balance de direcciones en el contrato objetivo no se actualiza después de cada retiro. Y estas llamadas recursivas pueden continuar hasta que se agote el saldo del contrato.

Y el tercer tipo de ataques comunes en 2021 fueron los ataques a los intercambios centralizados mediante el robo de la clave privada del monedero caliente de los exchanges. Esta es una forma muy antigua de ataques cibernéticos en la historia de las criptomonedas.

¿Cómo proteger sus fondos en el espacio de las criptodivisas?

Cuando se trata de los fondos de un usuario individual, es bueno hacer la debida investigación de la plataforma en la que quieres depositar tus fondos: mira el sitio, mira las redes sociales de los miembros del equipo, echa un vistazo al White Paper y a la auditoría técnica. Además, será bueno utilizar la funcionalidad en las billeteras de criptomonedas que permiten la lista blanca de los contratos que el usuario utiliza regularmente, existe en la billetera Metamask y en los servicios en línea dedicados a la conservación segura de criptomonedas Unrekt y Debank. Si se ha aprobado una transferencia a un contrato desconocido, destacarán dicho contrato.

Cuando se trata de la seguridad de un protocolo DeFi, es bueno utilizar la base de código de otros proyectos probados. Pero el fundador debería aprobar al menos una auditoría técnica de los contratos inteligentes del proyecto. Esto es especialmente importante con los protocolos desplegados en múltiples blockchains y que interactúan con otros protocolos. Requieren un escrutinio especialmente riguroso durante las auditorías.