La rama francesa del gigante KPMG ha publicado un informe en el que destaca la importancia que hay que dar a la seguridad en nuestro ecosistema. Insiste en particular en las auditorías de contratos inteligentes y en la necesidad de contratar más expertos para hacer frente a la escasez en el sector
KPMG destaca la importancia de la seguridad
KPMG, la principal empresa de contabilidad y consultoría del mundo, ha publicado un informe que destaca la importancia de la seguridad en las aplicaciones de la Web 3.0. De hecho, mientras que las principales blockchains públicas están construidas de tal manera que un ataque frontal es difícil, no es el caso de las aplicaciones que se injertan en ellas.
Esta observación se hace eco de un pensamiento que el fundador de Ethereum (ETH), Vitalik Buterin, compartió el mes pasado en Twitter. Dijo que quería que Ethereum fuera resistente, incluso a las peores amenazas, mientras que las aplicaciones construidas sobre él tienen defectos muy alejados de los estándares que espera:
Contradicción entre mi deseo de que Ethereum se convierta en una L1 que pueda sobrevivir a circunstancias realmente extremas y mi constatación de que muchas aplicaciones clave en Ethereum ya se basan en supuestos de seguridad mucho más frágiles que todo lo que consideramos aceptable en el diseño de protocolos de Ethereum.
– vitalik.eth (@VitalikButerin) 17 de mayo de 2022
La vulnerabilidad de los contratos inteligentes es realmente un ángulo de ataque lucrativo para los hackers. Esto es especialmente cierto ya que cualquiera puede, en teoría, desplegar su propia dApp en blockchains como Ethereum. Con todos los posibles problemas que esto implica.
Son principalmente estos fallos de seguridad en los contratos inteligentes los que señala KPMG. La empresa señala que si comparamos el primer trimestre de 2022 con el del año pasado, los fondos robados en los protocolos de financiación descentralizada (DeFi) se han disparado en un 692%, ocasionando pérdidas por valor de 1.200 millones de dólares.
También informamos de cantidades similares hace unas semanas, a raíz de un informe de Chainalysis. Estas cifras se deben principalmente a los hacks Ronin y Wormhole
Escasez de expertos en auditoría
Las conclusiones de KPMG son claras: de los 5 mayores hackeos de DeFi, 4 implicaron contratos inteligentes no auditados.
A nivel mundial, la empresa calcula que hay entre 1.000 y 1.500 expertos especializados en seguridad de aplicaciones Web3. Al mismo tiempo, el informe sugiere que hay 18.000 desarrolladores activos cada mes. Aunque es difícil establecer cifras exactas, está claro que esto representaría menos de una persona capaz de realizar una auditoría por cada diez promotores.
Sin embargo, según Immunify, el 10,6% de la capitalización total de criptodivisas estaba depositada en protocolos DeFi a principios de 2022. Si nos referimos a Defi Llama en la actualidad, nos encontramos con una cifra relativamente cercana al 8%. Esta elevada cifra ilustra la importancia que debe darse a la seguridad.
Número de expertos en seguridad en todo el mundo según KPMG
La tabla anterior muestra la distribución geográfica de los expertos en seguridad web3 . Vemos que Estados Unidos y China dominan el mercado, y la India en menor medida.
Estas cifras siguen siendo demasiado bajas, teniendo en cuenta las ambiciones de nuestro ecosistema. Además, la mayoría de las empresas especializadas son todavía jóvenes, ya que no se han creado hasta 2017.
Según Trail of Bits, el 78% de las vulnerabilidades más críticas podrían encontrarse con una herramienta automatizada. Aunque la empresa señala al mismo tiempo que el 50% de todos estos fallos podrían pasar desapercibidos con la misma herramienta. Por eso entendemos la necesidad de encontrar y formar el talento.
Otros problemas de seguridad importantes identificados por KPMG
Convertirse en un experto lleva tiempo e incluso así no hay garantía de que se puedan encontrar todos los fallos de una aplicación. Sin embargo, las auditorías deberían convertirse en una norma del sector y es probable que la seguridad se convierta en un área de crecimiento en el futuro.
Además de los contratos inteligentes, KPMG también destaca todos los elementos que se injertan sobre una blockchain de capa 1. Las cadenas laterales, así como las de capa 2, como los ZK y los Optimistic Rollups, también pueden ser vectores de ataque. Al igual que los ataques de phishing en general.
La seguridad es, por tanto, uno de los principales retos a los que debe enfrentarse nuestro ecosistema para ser más democrático. Este es un proceso normal para toda nueva tecnología. Pero, como en todos los campos, el dinero a veces atrae a la gente mala, lo que requiere entonces una atención especial por parte de todos los actores del sector.
