La reciente violación de seguridad por alrededor de 1.500 millones de dólares en Bybit, la segunda beca de criptomonedas más grande en el mundo en términos de volumen comercial, ha enviado ondulaciones a través de la comunidad de activos digitales. Con activos de clientes de 20 mil millones de dólares en la custodia, Bybit enfrentó un gran desafío cuando un atacante operó controles de seguridad durante una transferencia de rutina de una cartera de “frío” a una cartera cálida “utilizada para el comercio diario.
Los primeros informes sugieren que la vulnerabilidad implicó la implementación de Web3 local utilizando GNUS Safe: una cartera de firmas múltiples que utiliza técnicas de choque, contiene una arquitectura de actualización centralizada y una interfaz de usuario para la firma. El código malicioso implementado utilizando arquitectura mejorable hizo lo que parecía una transferencia de rutina hace un contrato modificado. El incidente provocó alrededor de 350,000 solicitudes de retiro mientras los usuarios se apresuraron a asegurar sus fondos.
Aunque es considerable en términos absolutos, esta violación, estimada en menos del 0.01% de la capitalización de mercado total de la criptomoneda, muestra cómo lo que habría sido una crisis existencial se ha convertido en un incidente operativo manejable. El seguro rápido de BYBIT de que todos los fondos no recuperados estarán cubiertos por sus reservas o sus préstamos socio aún ilustra su maduración.
Desde la creación de criptomonedas, el error humano, y no los defectos técnicos en los protocolos de blockchain, siempre ha sido la principal vulnerabilidad. NUESTRO Investigación examinando Más de una década de grandes violaciones de criptomonedas muestra que los factores humanos siempre han dominado. Solo en 2024, se robaron alrededor de 2.200 millones de dólares.
Lo sorprendente es que estas violaciones continúan ocurriendo por razones similares: las organizaciones no aseguran sistemas porque no reconocerán explícitamente la responsabilidad de ellas, o confiarán en soluciones hechas a medida que preservan la ilusión de que sus requisitos son particularmente diferentes de los marcos de seguridad establecidos. Esta reinventa el modelo de enfoques de seguridad en lugar de adaptar metodologías probadas perpetúa las vulnerabilidades.
Aunque las tecnologías de blockchain y criptografías han resultado ser criptográficamente robustas, el enlace de seguridad más bajo no es la tecnología, sino el elemento humano que se interactúa con él. Este modelo se mantuvo notablemente coherente en los primeros días de criptomoneda con los entornos institucionales sofisticados de hoy, y se hace eco de preocupaciones de ciberseguridad en otros – Más tradicional – áreas.
Estos errores humanos incluyen la mala gestión de las claves privadas, donde vencidoGestión múltiple o exposición de claves privadas compromete la seguridad. Los ataques de ingeniería social siguen siendo una gran amenaza porque los piratas manipulan a las víctimas para revelar datos confidenciales por phishing, identidad y engaño.
Soluciones de seguridad centradas en humanos
Las soluciones puramente técnicas no pueden resolver lo que es fundamentalmente un problema humano. Aunque la industria ha invertido miles de millones en medidas de seguridad tecnológica, se ha invertido relativamente en la lucha contra los factores humanos que permiten sistemáticamente violaciones.
Un obstáculo para la seguridad efectiva es la renuencia de reconocer la propiedad y la responsabilidad de los sistemas vulnerables. Las organizaciones que claramente no definen lo que controlan, o insisten en el hecho de que su entorno es demasiado único para que los principios de la seguridad establecida apliquen, cree puntos ciegos que los atacantes usan fácilmente.
Esto refleja lo que el experto en seguridad Bruce Schneier llamó una ley de seguridad: Los sistemas diseñados de forma aislada por equipos convencidos de su carácter único casi invariablemente contienen vulnerabilidades críticas que las prácticas de seguridad establecidas habrían abordado. El sector de criptomonedas ha caído varias veces en esta trampa, a menudo reconstruyendo marcos de seguridad de cero en lugar de adaptar enfoques probados para las finanzas tradicionales y la seguridad de la información.
Es esencial un cambio de paradigma hacia el diseño de la seguridad centrada en humanos. Irónicamente, si bien las finanzas tradicionales han pasado de la autenticación multifactoria (MFA), la criptomoneda temprana ha simplificado la seguridad con autenticación de factores únicos a través de claves privadas o frases de semillas bajo el velo de seguridad solo por cifrado. Esta simplificación excesiva fue peligrosa, lo que condujo a la velocidad de la industria de varias vulnerabilidades y hazañas. Miles de millones de dólares de pérdidas más tarde, llegamos a los enfoques de seguridad más sofisticados a los que se ha resuelto las finanzas tradicionales.
Las soluciones modernas y la tecnología regulatoria deberían reconocer que el error humano es un sistema inevitable y sistemas de diseño que siguen siendo seguros a pesar de estos errores en lugar de suponer el cumplimiento humano perfecto con los protocolos de seguridad. Sobre todo, la tecnología no cambia los incentivos fundamentales. La implementación incluye costos directos y evitarlo del riesgo de reputación.
Los mecanismos de seguridad deben evolucionar más allá de la simple protección de los sistemas técnicos para anticipar los errores humanos y ser resistentes a las trampas comunes. La información de identificación estática, como las contraseñas y los tokens de autenticación, es insuficiente contra los atacantes que explotan el comportamiento humano predecible. Los sistemas de seguridad deben integrar la detección de anomalías de comportamiento para informar actividades sospechosas.
Las claves privadas almacenadas en una sola ubicación de fácil acceso representan un riesgo de seguridad importante. La división del almacenamiento de claves entre entornos fuera de línea reduce el compromiso en la clave completa. Por ejemplo, el almacenamiento de una parte de una clave en un módulo de seguridad de material mientras mantiene otra parte fuera de línea mejora la seguridad al requerir varias verificaciones para el acceso completo que reinicia los principios de la autenticación multifestante a la seguridad de las criptomonedas.
Pasos utilizables para un enfoque de seguridad centrado en el ser humano
Un marco de seguridad completo centrado en los humanos debe abordar las vulnerabilidades de las criptomonedas en varios niveles, con enfoques coordinados a través del ecosistema en lugar de soluciones aisladas.
Para los usuarios individuales, las soluciones de cartera de hardware siguen siendo el mejor estándar. Sin embargo, muchos usuarios prefieren la conveniencia a la responsabilidad de seguridadPor lo tanto, el segundo mejor es para los intercambios para implementar prácticas financieras tradicionales: por defecto (pero ajustado) de los períodos de espera para transferencias significativas, sistemas de cuenta en varios niveles con diferentes niveles de autorización y una educación de seguridad contextual que se activa en puntos de decisión críticos.
Los intercambios e instituciones deben pasar de la conformidad perfecta de los usuarios al diseño de sistemas que anticipan el error humano. Esto comienza reconociendo explícitamente los componentes y procesos que controlan y, por lo tanto, son responsables de la seguridad.
La negación o la ambigüedad con respecto a los límites de responsabilidad compromete directamente los esfuerzos de seguridad. Una vez que se ha establecido esta responsabilidad, las organizaciones deben implementar un análisis de comportamiento para detectar modelos anormales, requieren una autorización multifunte para transferencias de alto valor e implementar “interruptores de circuito” automáticos que limiten el daño potencial si están comprometidos.
Además, la complejidad de las herramientas Web3 crea grandes superficies de ataque. La simplificación y adopción de modelos de seguridad establecidos reduciría las vulnerabilidades sin sacrificar las características.
A nivel de la industria, Los reguladores y los gerentes pueden establecer requisitos estandarizados de factores humanos en certificaciones de seguridad, pero hay compromisos entre innovación y seguridad. El incidente de apelación ilustra cómo el ecosistema de criptomonedas pasó de ser frágil temprano a una infraestructura financiera más resistente. Si bien las violaciones de seguridad continúan, y probablemente siempre lo hagan, su naturaleza ha pasado en relación con las amenazas existenciales que podrían destruir la confianza en la criptomoneda como un concepto con desafíos operativos que requieren soluciones de ingeniería en progreso.
El futuro de la criptomoneda no reside en la búsqueda del objetivo imposible de eliminar todos los errores humanos, sino en el diseño de sistemas que permanecen seguros a pesar de los inevitables errores humanos. Esto primero requiere reconocer qué aspectos del sistema son responsabilidad de una organización en lugar de mantener la ambigüedad que conduce a las brechas de seguridad.
Al reconocer las limitaciones humanas y los sistemas de construcción que los dan la bienvenida, el ecosistema de criptomonedas puede continuar evolucionando de curiosidad especulativa a infraestructuras financieras sólidas en lugar de asumir un cumplimiento perfecto con los protocolos de seguridad.
La clave para la criptomoneda efectiva en este mercado de maduración no reside en soluciones técnicas más complejas, sino en un diseño más reflexivo centrado en los humanos. Al priorizar las arquitecturas de seguridad que tienen en cuenta las realidades conductuales y las limitaciones humanas, podemos crear un ecosistema financiero digital más resistente que continúe operando de manera segura cuando ocurren errores humanos.