Es seguro decir que 2020 ha sido un año excepcional para el espacio de activos digitales. Bitcoin (BTC) superó su máximo anterior y muchas otras criptomonedas destacadas alcanzaron sus niveles más altos desde el apogeo de 2017 y principios de 2018. En toda la industria de servicios financieros, las voces institucionales están expresando un renovado interés en los activos digitales. El crecimiento y maduración de este espacio ha sido imposible de ignorar, generando mucho optimismo entre quienes construyen las plataformas y sistemas sobre los que se ejecuta.

Desafortunadamente, no todos los titulares del año pasado han sido positivos. Varios intercambios de cifrado conocidos y otras organizaciones fueron pirateados, lo que provocó pérdidas significativas. Eventos como estos no solo dañan la reputación de una empresa y son potencialmente devastadores para los inversores, sino que también erosionan la confianza ganada con esfuerzo en el espacio de los activos digitales entre los inversores institucionales y el público.

Muchos de estos ataques podrían haberse evitado si las empresas en cuestión hubieran tomado medidas proactivas para modernizar su infraestructura tecnológica. Al cerrar este año vertiginoso para los activos digitales, una de las principales resoluciones de la industria para 2021 debería ser reexaminar su enfoque de la infraestructura y realizar cambios para garantizar que los inversores de todo tipo puedan comerciar y realizar transacciones con seguridad, eficiencia y tranquilidad.

Repasemos tres de los eventos de piratería más importantes de 2020 y examinemos cómo un enfoque más inteligente de la infraestructura podría haber conducido a un resultado diferente.

Hack de KuCoin: $ 275 millones en fondos de clientes robados

El 25 de septiembre, el intercambio de criptomonedas KuCoin estaba en el extremo receptor de un gran hackeo que afectó a sus billeteras activas Bitcoin, Ether (ETH) y ERC-20. Si bien el análisis inicial sugirió que los piratas informáticos robaron alrededor de $ 150 millones, las estimaciones comenzaron a aumentar en los días siguientes, convirtiéndolo en uno de los eventos de piratería más grandes en la historia de los activos digitales.

Relacionado: Hack de KuCoin descomprimido: más cripto posiblemente robado de lo que se temía al principio

Resulta que el hackeo fue el resultado del robo de claves privadas. Si bien aún prevalecen en el espacio de los activos digitales, las claves privadas significan que siempre habrá un único punto de falla a través del cual los malos actores pueden reclamar acceso sin restricciones a billeteras activas. En pocas palabras, son un riesgo empresarial.

Un mejor enfoque hubiera sido aprovechar los protocolos de computación de múltiples partes, que eliminan la necesidad de claves privadas y firman cada transacción de una manera segura y distribuida, junto con un mecanismo de control y gobierno obligatorio.

En el caso de KuCoin, incluso si el intercambio se violara con éxito, el pirata informático no podría ejecutar ninguna transacción no autorizada por el motor de políticas proporcionado por la infraestructura de la institución.

Congelación de retiro de OKEx

Durante cinco semanas en octubre y noviembre, los inversores no pudieron realizar retiros del intercambio de criptomonedas OKEx. En una carta a los clientes, OKEx reveló que uno de sus titulares de claves privadas estaba cooperando con una investigación policial, lo que los mantuvo fuera de contacto con la empresa e impidió que se cumpliera su proceso de autorización de firma múltiple.

Para una plataforma que los usuarios aprovechan para llevar a cabo importantes decisiones de inversión, la idea de que una sola persona se vea comprometida podría resultar en la desactivación de una funcionalidad crítica durante más de un mes es claramente insostenible.

Aquí hay una lección: cuando las empresas utilizan funciones de blockchain diseñadas para la seguridad para implementar una política, el resultado es una inflexibilidad abrumadora. Esta es una de las paradojas del espacio de los activos digitales: las transacciones de blockchain son seguras e irreversibles, pero sin el enfoque correcto, esa misma rigidez puede significar un desastre si las cosas salen mal.

Para evitar esto, las empresas deben asegurarse de que su infraestructura incluya un motor de políticas que, sin comprometer la seguridad, permita un control de políticas más flexible para múltiples aprobadores, incluida la separación de firma y aprobación de transacciones. Con este tipo de solución implementada, la capacidad de OKEx para operar completamente no habría dependido de la disponibilidad de ninguna persona clave.

Violación de Nexus Mutual: $ 8 millones robados

Estos eventos de piratería no se limitaron a los intercambios, como lo demuestra la violación en diciembre de Nexus Mutual, una plataforma financiera descentralizada que sirve como alternativa a los seguros. El hacker logró acceder al dispositivo personal del CEO Hugh Karp e instalar una versión comprometida de MetaMask, lo que llevó a Karp a firmar inadvertidamente una transacción que envió 370.000 NXM, por un valor de $ 8,2 millones, a una dirección controlada por el atacante.

El problema aquí tiene que ver con las billeteras administradas localmente. Estas billeteras locales no pueden proporcionar un motor de políticas fuera de banda, por lo que no hay forma de verificar que un contrato y la dirección de la contraparte estén en la lista blanca, que el monto y el emisor cumplan con la política de la empresa o que haya aprobadores adicionales para ciertos parámetros de transacción.

Contratar a un tercero con un enfoque de infraestructura más flexible y seguro es la forma de abordar estos riesgos. Esto es especialmente importante para reducir la manipulación de la dirección de la contraparte, que es un riesgo en muchos escenarios. Incluso en el caso poco probable de que un proveedor como este sea violado, existen salvaguardas para verificar las direcciones de las contrapartes, lo que brinda a las empresas múltiples líneas de defensa.

Conclusión

Si bien los activos digitales han ganado un impulso notable en los últimos meses, muchas organizaciones aún necesitan mejorar su infraestructura de seguridad antes de que pueda comenzar la verdadera adopción de activos digitales.

Esto no tiene la intención de castigar a estas empresas, que continúan haciendo un trabajo importante para servir a la industria, sino de identificar dónde debería estar su enfoque para lograr un crecimiento futuro y llevar los activos digitales a la corriente principal.

Para todos estos problemas (seguridad de clave privada, estructura de autorización, billeteras locales y más) existen enfoques que pueden conducir a transacciones más eficientes y sin estrés y menos titulares que activen las alarmas para los inversores tradicionales a los que todos queremos llegar.

Los puntos de vista, pensamientos y opiniones expresados ​​aquí son solo del autor y no reflejan ni representan necesariamente los puntos de vista y opiniones de Cointelegraph.

Itay Malinger es cofundador y director ejecutivo de Curv, una empresa de infraestructura de seguridad de activos digitales. Se basa en más de 15 años de experiencia en ciberseguridad tanto en el sector público como en el privado. Anteriormente, Itay fue director de productos de seguridad empresarial en Akamai Technologies.