La tecnología Blockchain y las criptomonedas han revolucionado la forma en que las empresas obtienen capital. En lugar de tener que lanzar firmas de capital de riesgo y sacrificar capital, control y autonomía durante el proceso de recaudación de fondos, las nuevas empresas ahora pueden acceder al financiamiento necesario para desarrollarse y tener éxito sin ceder más que algunos incentivos financieros. Aun así, las ofertas iniciales de monedas no siempre son infalibles.
A pesar de las ventajas de seguridad altamente promocionadas de las criptomonedas y las propias defensas de blockchain, hay varios casos muy publicitados que muestran que incluso los muros más duros no son inexpugnables. Para los posibles lanzadores de ICO, esto pinta un panorama hostil y potencialmente alarmante.
Con casi el 10% de todos los fondos recaudados por las ICO reportados como robados o perdidos debido a hacks, las startups basadas en blockchain enfrentan una batalla cuesta arriba por el éxito. Sin embargo, los riesgos no deberían disuadir a una empresa de buscar el capital que necesitan para prosperar. En cambio, existen varias estrategias que pueden mejorar significativamente la seguridad de una ICO y garantizar que su ronda de crowdfunding no solo sea segura, sino también exitosa.
1. Audite sus contratos inteligentes subyacentes
Los contratos inteligentes ofrecen una solución inventiva para facilitar intercambios sin confianza, ya que las reglas para ejecutar acuerdos están completamente automatizadas y codificadas en algoritmos. Sin embargo, cuando se trata de ICO, los contratos inteligentes tienen un historial de ser un eslabón débil en el proceso de obtención de capital. De hecho, algunas estimaciones culpan a casi la mitad de todos los ataques de Ethereum a contratos inteligentes mal diseñados.
El experto en contratos inteligentes y blockchain, Frank Bonnet, enfatiza la importancia de obtener una auditoría profesional para los contratos inteligentes.
“Es casi imposible codificar un contrato inteligente 100% hermético”, dijo Bonnet. “Incluso los mejores programadores cometen errores y, por lo tanto, es imprescindible que un tercero revise y audite su contrato, aunque sea solo para la tranquilidad de sus inversores”.
Ejemplos como el congelamiento de la paridad y el escándalo DAO son el resultado de que los piratas informáticos encuentran vulnerabilidades en los códigos de contratos inteligentes y los explotan. Sin embargo, lo que es más importante, un contrato inteligente mal codificado puede crear otros problemas, como fondos que desaparecen, tokens duplicados e incluso scripts diseñados para manipular el proceso de acuñación de tokens.
Realizar una auditoría previa a la ICO de contratos inteligentes con servicios de seguridad blockchain como Hosho, que se centra en las pruebas de seguridad y penetración para aplicaciones blockchain y contratos inteligentes, permite que los proyectos detecten problemas antes de que se conviertan en catástrofes.
“La cantidad de ataques exitosos de alto perfil y violaciones de datos es indicativo de las debilidades de seguridad que tienen muchas empresas y organizaciones”, dijo Hartej Singh Sawhney, fundador y director ejecutivo de Hosho Group. “Las empresas que se preparan para un evento de generación de tokens deben obtener al menos una auditoría técnica de terceros de sus contratos inteligentes. Además, una prueba de penetración de su sitio web es crucial, de modo que se puedan evitar situaciones como lo que le sucedió a CoinDash “. (Ver también: Coincheck).
2. Escuche las preocupaciones de la comunidad y resuélvalas
Uno de los aspectos más singulares de las cadenas de bloques públicas y las criptomonedas asociadas es su grado de transparencia. La mayoría de las empresas publican todo o al menos parte de su código y, en algunos casos, incluso los contratos inteligentes para la ICO. A pesar de su creciente popularidad entre los principales inversores minoristas, una gran parte de la comunidad que sigue de cerca la cadena de bloques tiene conocimientos de codificación y se tomará un tiempo para examinar estos detalles pertinentes. Para algunas empresas, esto es más una formalidad que un paso real, pero puede ser una forma incorrecta de verlo.
El DAO es un ejemplo perfecto de por qué las empresas deben escuchar a su comunidad. El código fuente abierto de la empresa estaba disponible para su revisión en los principales repositorios y varios desarrolladores advirtieron que los archivos tenían una vulnerabilidad de seguridad importante. En lugar de parchear el código, el DAO ignoró las advertencias y, como resultado, se perdieron millones de dólares.
Los miembros de la comunidad tienen un interés personal en una ICO exitosa, ya que significa que podrán beneficiarse de la utilidad ofrecida por la plataforma o el servicio. Por lo tanto, brindarles un canal claro para expresar inquietudes y exponer problemas es un componente vital para asegurar su ICO. Sin embargo, lo más importante es convertir esas preocupaciones en soluciones concretas, ya que pueden ser áreas que podría haber pasado por alto al generar el contrato.
3. Implementar políticas sólidas para detectar phishers
En el lado no relacionado con la programación de una ICO, es vital estar siempre alerta a cualquier signo de posibles estafas. Aunque los programadores y otros empleados del lado tecnológico pueden estar al tanto de las tendencias y mejores prácticas de ciberseguridad, no todos los miembros del equipo conocen, o necesariamente se preocupan, por la seguridad en línea. El primer paso en este caso es la educación. Los miembros del equipo de ventas y desarrollo empresarial no necesitan comprender el código, pero sí necesitan conocer las posibles vulnerabilidades y los signos de un ataque o una estafa que se está perpetrando.
Más importante aún, las empresas deben ser siempre tan seguras y proactivas para evitar el fraude. El escaneo constante de plataformas web como Facebook, Telegram y otros centros puede ayudar a señalar actividades sospechosas y estar preparado para cualquier eventualidad. Esto también le brinda a su equipo la oportunidad de transmitir actualizaciones críticas de manera confiable, mostrar el sitio web correcto para una ICO y educar a los miembros de la comunidad sobre los riesgos potenciales.
En el caso de EtherDelta, la incapacidad de la empresa para detectar copias fraudulentas de su sitio, que los piratas informáticos configuraron al acceder a sus registros DNS y reemplazar sus dominios, provocó la pérdida de miles de dólares. Los estafadores crearon sitios web falsos que parecían ser los originales, y la empresa no estuvo lo suficientemente alerta para identificar y denunciar las posibles estafas.
4. Proporcione una seguridad sólida para su puerta de enlace ICO
La historia de CoinDash, una ICO enormemente publicitada que fue pirateada y resultó en la pérdida de 43,000 ETH, se ha convertido en una advertencia para los nuevos participantes. Los contratos inteligentes de la empresa estaban asegurados, pero su sitio web no. Como resultado, los piratas informáticos cambiaron la dirección de la billetera en la puerta de enlace de la ICO y, una vez que se abrió al público, los piratas informáticos robaron más de $ 7 millones en menos de siete minutos.
Los piratas informáticos pudieron acceder al sitio web de la empresa a través de un exploit que les permitió alterar un archivo fuente, otorgándoles un control remoto total sobre el sitio web. Simplemente cambiando la dirección de la billetera, pudieron salirse con la suya con un atraco masivo a pesar de la reciente devolución de algunas monedas.
La moraleja de la historia de CoinDash es que es cada vez más popular apuntar no solo a la infraestructura de la mayoría de las ICO, que han estado mejorando su seguridad, sino a un objetivo que se pasa por alto fácilmente como un sitio web. En este caso, no es necesario realizar una auditoría de seguridad importante, pero es fundamental implementar las herramientas adecuadas para proteger las puertas de enlace.
Una de las formas más fáciles y efectivas de lograr esto es mediante la implementación de un potente firewall de aplicaciones web (WAF), como el de Incapsula. Los WAF controlan el tráfico entrante y saliente, lo que otorga a las empresas un mejor control y supervisión de quién accede a sus archivos y sitio web. Los cortafuegos protegen estas puertas traseras de los shells de sitios web al mismo tiempo que brindan protección contra técnicas comunes de inyección de scripts y explotación.
5. Proteja a sus usuarios
Una ICO exitosa no es necesariamente el final del proceso de financiación colectiva. Una vez que los usuarios han recibido sus tokens, también necesitan acceso a los servicios que ayudaron a financiar. Como la startup británica de criptomonedas Electroneum se enteró cuando su sitio web fue afectado por un ataque DDoS que dejó a los usuarios fuera de sus cuentas, la recaudación de fondos es solo la mitad de la batalla.
Proteger un sitio web de hacks como los ataques DDoS implica tener las herramientas adecuadas para hacerlo, y los WAF también pueden cumplir esta función. Además, las empresas siempre deben impulsar las medidas de seguridad más estrictas para los usuarios, incluida la autenticación de dos factores, notificaciones constantes de cualquier cambio e incluso el mantenimiento de registros de actividad por motivos de seguridad. Proteger a los usuarios es primordial y garantizar que tengan acceso a los servicios por los que pagaron es una necesidad para evitar repercusiones legales.
La línea de fondo
Las ICO son una herramienta muy eficaz para las nuevas empresas que buscan mantener el control de sus negocios, pero no están libres de riesgos ni son omnipotentes. Para garantizar el éxito, siempre debe adherirse a las mejores prácticas de seguridad, esforzándose por garantizar que esté lo más seguro posible y que sus usuarios también estén protegidos.
Invertir en criptomonedas y ofertas iniciales de monedas (“ICO”) es altamente arriesgado y especulativo, y este artículo no es una recomendación de Investopedia o del escritor para invertir en criptomonedas o ICO. Dado que la situación de cada individuo es única, siempre se debe consultar a un profesional calificado antes de tomar cualquier decisión financiera. Investopedia no hace declaraciones ni garantías en cuanto a la precisión o actualidad de la información contenida en este documento. A la fecha en que se escribió este artículo, el autor posee criptomonedas.
