CertiK, una compañía prominente en la seguridad de blockchain, ha hecho público hoy su reporte anual más destacado. Titulado “HACK3D: Informe Web3 de Seguridad 2023“, proporciona un análisis sobre los incidentes de seguridad, fallos y tendencias que han marcado la industria del blockchain, el mercado cripto y la protección de los contratos inteligentes en el último año.
En líneas generales, este informe considera uno de los más completos y reconocidos en cuanto a seguridad en la industria. La edición actual, en comparación con años anteriores, expone una impresionante caída del 51% en las pérdidas económicas por brechas de seguridad.
Aparte, CertiK examina en el documento si esta reducción se debe a una disminución en la valoración de los activos. O si, por el contrario, realmente refleja una mejora en las medidas de seguridad dentro del ámbito Web3.
Perspectiva del mercado cripto en 2023 – Qué nos dice el informe HACK3D de Certik
En 2023, el mercado de criptomonedas experimentó una importante disminución en las pérdidas por incidentes de seguridad. Para ser más específicos, se redujo en un total del 51% en comparación con el año anterior. En ese sentido, el total perdido fue de aproximadamente 1.84 mil millones de dólares, distribuidos en 751 incidentes de seguridad.
Aunque el promedio de pérdida por incidente fue de 2.45 millones de dólares, los diez incidentes más costosos representaron 1.11 mil millones. Por tanto, se evidencia claramente la disparidad en la magnitud de las pérdidas junto con la severidad de tales sucesos.
Al llevar a cabo una perspectiva generalizada del mercado cripto, se concluyó que noviembre fue el mes más costoso. Durante su transcurso, se produjeron pérdidas de 364.34 millones de dólares en 45 incidentes.
En ese mismo orden de ideas, contribuyó a que el tercer trimestre (Q3) encasillara las mayores pérdidas. Particularmente, la suma total arrojó 686.56 millones de dólares en fugas secundarias a hackeos, estafas y exploits.
Siendo todavía más específicos, el reporte HACK3D de Certik menciona que los compromisos de claves privadas resultaron ser el vector de ataque más costoso. En su totalidad, se perdieron más de 880 millones de dólares en solo 47 incidentes, casi la mitad de todas las pérdidas financieras.
Desglosando las estadísticas del informe HACK3D – Tipos de pérdidas e incidentes más relevantes
De acuerdo con las gráficas del informe HACK3D, se contabilizaron hasta 5 tipos de pérdidas millonarias. Como ya mencionamos, las más resaltantes ocurrieron por compromisos de claves privadas, seguidas de las estafas por exit scams (152 millones de dólares).
Completando el ranking se encuentran las vulnerabilidades de código (code vulnerability, 291 millones de dólares) y el Phishing (207 millones de dólares). Todo esto sin contar otras pérdidas, donde se suman diferentes tipos de estafas o situaciones, cuyo valor final fue de 308,5 millones de dólares.
Vale la pena destacar que los gráficos muestran un desglose mensual y por cadena de los incidentes de seguridad y las pérdidas asociadas. Recalcando, noviembre fue el mes más costoso y el más concurrido con 45 incidentes.
Por otra parte, el informe HACK3D revela los 10 incidentes más cuantiosos del año, matizando la gravedad de ciertos ataques específicos. Tan solo en el top 5 se tiene constancia de 766 millones de dólares en pérdidas, siendo el caso Mixin Kernel (Mixin Network) el más renombrado.
En cuanto a las cadenas de procesamiento, BNB Chain experimentó la mayor cantidad de incidentes (387). No obstante, Ethereum tuvo mayores pérdidas totales para el mercado cripto (686.9 millones de dólares en 224 incidentes). Ante ello, mientras algunas cadenas pueden tener más incidentes, otras pueden sufrir pérdidas financieras más significativas en eventos menos frecuentes.
Bugs Bounties – La nueva tendencia para la seguridad del mercado cripto
El 2023 continuó enfrentando desafíos significativos en la seguridad del mercado cripto, particularmente en la gestión de claves privadas. Como ejemplo claro, el informe HACK3D cita el compromiso de Multichain en julio, que resultó en una pérdida de 125 millones de dólares.
Para combatir tales riesgos, se han establecido colaboraciones entre grandes compañías, como la de CertiK con Safeheron. En conjunto, su objetivo será verificar la integración de sistemas seguros de gestión de claves privadas en proyectos Web3.
Al mismo tiempo, una tendencia emergente en 2023 fue el concepto de “recompensas por bugs bounties retroactivas”. De la mano de su implementación, se recuperaron 219 millones de dólares a través de 36 eventos, lo que representa el 12% del total perdido.
Según el informe de Certik, el caso de Euler Finance es pionero en este ámbito, con el retorno de aproximadamente 177.7 millones de dólares tras una exitosa negociación con el atacante. En contraste, el hackeo de KyberSwap por exploits sofisticados (47 millones de dólares), muestra la dificultad de negociar con los agresores en algunos casos, limitando la efectividad de la medida.
¿Mejoría con respecto a 2022? – El nuevo informe HACK3D favorece al mercado cripto
Si comparamos el HACK3D Annual Report de 2022 con el de 2023, se observan desarrollos modificaciones tangibles en la seguridad de Web3. Tan solo en 2022, el valor total drenado de los protocolos Web3 por actores maliciosos fue aproximadamente de 3.76 mil millones de dólares.
Dicho dígito representó un aumento del 189% comparado con los 1.3 mil millones de dólares perdidos en 2021. Dadas las cifras, 2022 fue el año con las mayores pérdidas registradas hasta la fecha en el ámbito de Web3. No obstante, como hemos venido aclarando, las pérdidas se redujeron a 1.84 mil millones de dólares, es decir, una regresión del 51% en comparación con 2022.
En términos de tipos de ataques más comunes, en 2022, los ataques a puentes de cadena cruzada encabezaron la lista. Como tal, fueron 9 exploits de puentes que representaron más de un tercio del valor total perdido, insistiendo en la vulnerabilidad al operar en estos espacios.
Asimismo, un punto clave para el mercado cripto promocionado en el informe HACK3D del 2022 fue el aumento en el número de proyectos auditados por CertiK. La premisa alcanzó un total de 5046, siendo un 73% de crecimiento en comparación con el año anterior.
Pese a que el reporte de 2023 no detalla específicamente nuevos desarrollos, la disminución en las pérdidas totales sugiere una mejora general en las prácticas de seguridad en la industria de Web3. Dicho de otra forma, la implementación de las estrategias de 2022 marcó la diferencia en el recién culminado 2023.
¿Estamos aprendiendo de las lecciones? – Lo que nos depara el futuro
El 2023 marcó un año de cambios tanto en el entorno legal y regulatorio de la industria como en su mercado cripto. Desde los conflictos federales de Coinbase y Binance, hasta la renuncia de Changpeng Zhao, fundador de Binance, por prácticas fraudulentas, fuimos testigos de un año movido.
A pesar de los altibajos y un sentimiento generalizado de desconfianza, el último trimestre trajo una recuperación en los precios de los activos cripto. Se revirtió una tendencia de dieciocho meses de declive y demostrando la naturaleza cíclica y la resiliencia del ecosistema cripto.
Paralelamente, el informe HACK3D de 2023 profundizó en la relación entre el dinero invertido en finanzas descentralizadas (DeFi) y las pérdidas ocasionadas por hackeos, fraudes y otros ataques cibernéticos.
El análisis concluyó que las fluctuaciones del mercado tienen un impacto en las pérdidas, pero factores como el comportamiento de los usuarios, la solidez de los protocolos DeFi y las medidas de seguridad son igualmente cruciales. Por lo tanto, aunque no se puedan prevenir totalmente las pérdidas, el sector DeFi está aprendiendo y fortaleciéndose en términos de ciberseguridad.
Aun así, no podemos cantar victoria, pues el comienzo de 2024 no fue prometedor en cuanto a exploits. El proyecto Orbit Chain sufrió un exploit masivo de 81 millones de dólares justo antes del Año Nuevo. Incluso, Radiant Capital fue la segunda gran víctima de estafa en pocos días, después perder 1,900 ETH, valorados en aproximadamente 4.5 millones de dólares.
¿Estamos aprendiendo las lecciones? Las estadísticas dicen que sí, pero el ritmo es lento. A este paso, es probable que las pérdidas por hackeos continúen decreciendo. Lastimosamente, si la marcha no se acelera, las nuevas medidas de seguridad se tornarán obsoletas ante el rápido desarrollo de innovadores métodos de estafas, hackeos, exploits y más. El tiempo es oro.