Top 5 hacks más comunes en web3 

En el día de hoy os traemos un resumen con los ataques más frecuentados en el ecosistema blockchain para que podáis conocerlos y, a ser posible, evitarlos. 

Clave privada/hash robado 

Las claves privadas y los hashes de contraseñas protegen el acceso a las criptocarteras. Cuando éstas son robadas, los hackers tienen el control total para robar fondos. 

Los hackers roban claves privadas y contraseñas a través de ataques de phishing, malware o adivinando contraseñas débiles.  

Una vez que los piratas informáticos obtienen esta información confidencial de la cuenta, pueden vaciar los monederos en secreto, sin que los usuarios puedan recurrir. Las transacciones parecen válidas en la cadena de bloques. 

Reentrada 

La reentrada sigue siendo uno de los fallos de seguridad más comunes y peligrosos de los contratos inteligentes como vimos en este reciente post. Se puede utilizar para drenar fondos de contratos que aseguran millones de dólares, como se ha visto en hacks históricos como el exploit DAO. El riesgo de reentrada sigue creciendo a medida que se desarrollan más protocolos DeFi. 
Además, existen varios tipos de reentrada este mismo ataque se efectúa de maneras distintas como puede ser la reentrada de sólo lectura 

Manipulación de oráculos de precios 

Los oráculos de precios son servicios que envían información sobre precios del mundo real a las redes blockchain. Las aplicaciones financieras descentralizadas (DeFi) necesitan conocer los precios de acciones o divisas para funcionar correctamente. Recientemente se robaron más de 50 millones de dólares pirateando oráculos de precios. 

Los piratas informáticos encuentran puntos débiles en el software que utilizan estos oráculos. A continuación, engañan a los oráculos para que envíen datos de precios falsos a las aplicaciones DeFi. Por ejemplo, pueden hacer que un oráculo diga que Bitcoin vale 1 dólar cuando en realidad vale 47.000 dólares. 

Los equipos deben asegurar mejor los oráculos para evitar muchos de estos ataques a partir de ahora, ya que es la única forma. de que los datos se puedan servir a la blockchain. 

Ataque a la gobernanza 

Las organizaciones autónomas descentralizadas (DAO) son comunidades que permiten a sus miembros votar sobre las decisiones. Las DAO a menudo poseen grandes tesoros de criptoactivos. 

En 2023, más de 250 millones de dólares fueron robados de DAOs en ataques de gobernanza. Los hackers buscan fallos en los sistemas de votación o en los esquemas de gestión de tesorería de las DAO. 

Por ejemplo, un hacker descubrió que podía dividir un voto de gobierno engañando a un contrato inteligente para que pensara que había el doble del número real de votantes. Esto le dio la mayoría de votos para transferirse a sí mismo las monedas de la DAO. 

Insuficiente Control de Funciones/Acceso 

Los contratos inteligentes ejecutan funciones que realizan acciones como enviar cripto. Las funciones sólo deberían poder ser utilizadas por ciertas personas – por ejemplo, estableciendo una función constructora para asegurar sólo el msg.sender o una función require para limitar quién puede llamar al contrato. 

Pero a menudo, los desarrolladores olvidan añadir «controles de acceso» para restringir las funciones. Esto permite que cualquiera ejecute comandos de administración que no debería poder. 

Por ejemplo, uno de los hackeos se produjo porque cualquier usuario podía ejecutar un comando «drenar cartera» sólo para el desarrollador. Más de 20 millones de dólares fueron robados de esta forma en 2023 por usuarios normales que ejecutaban funciones potentes. 

Permitir demasiado acceso ha permitido más de 45 hackeos para robar más de 100 millones de dólares en fondos que se suponía que debían estar bajo llave. 

Vía Medium