La tecnología Blockchain y las criptomonedas han revolucionado la forma en que las empresas obtienen capital. En lugar de tener que lanzar empresas de capital de riesgo y sacrificar la equidad, el control y la autonomía durante el proceso de recaudación de fondos, las nuevas empresas ahora pueden acceder al financiamiento necesario para desarrollarse y tener éxito sin ceder más que algunos incentivos financieros. Aun así, las ofertas iniciales de monedas no siempre son infalibles.
A pesar de las ventajas de seguridad altamente promocionadas de las criptomonedas y las propias defensas de blockchain, hay varios casos muy publicitados que muestran que incluso los muros más difíciles no son inexpugnables. Para los posibles lanzadores de ICO, esto pinta un panorama hostil y potencialmente alarmante.
Con casi el 10% de todos los fondos recaudados por las ICO reportadas como robadas o perdidas debido a hacks, las startups basadas en blockchain enfrentan una batalla cuesta arriba por el éxito. Sin embargo, los riesgos no deberían disuadir a una empresa de buscar el capital que necesita para prosperar. En cambio, hay varias estrategias que pueden mejorar significativamente la seguridad de una ICO y garantizar que su ronda de crowdfunding no solo sea segura, sino también exitosa.
1. Audite sus contratos inteligentes subyacentes
Los contratos inteligentes ofrecen una solución ingeniosa para facilitar intercambios sin confianza ya que las reglas para la ejecución de acuerdos están completamente automatizadas y codificadas en algoritmos. Sin embargo, cuando se trata de ICO, los contratos inteligentes tienen un historial de ser un eslabón débil en el proceso de recaudación de capital. De hecho, algunas estimaciones culpan a casi la mitad de todos los hacks de Ethereum por contratos inteligentes mal diseñados.
El experto en contratos inteligentes y blockchain Frank Bonnet enfatiza la importancia de obtener una auditoría profesional para contratos inteligentes.
"Es casi imposible codificar un contrato inteligente 100% hermético", dijo Bonnet. "Incluso los mejores programadores cometen errores y, por lo tanto, es absolutamente imprescindible que un tercero revise y audite su contrato, aunque solo sea para la tranquilidad de sus inversores".
Ejemplos como la congelación de la paridad y el escándalo DAO son el resultado de hackers que encuentran vulnerabilidades en los códigos de contratos inteligentes y los explotan. Sin embargo, lo más importante es que un contrato inteligente mal codificado puede crear otros problemas, como la desaparición de fondos, tokens duplicados e incluso scripts diseñados para manipular el proceso de acuñación de tokens.
Realizar una auditoría previa a ICO de contratos inteligentes con servicios de seguridad blockchain como Hosho, que se enfoca en pruebas de seguridad y penetración para aplicaciones blockchain y contratos inteligentes, permite a los proyectos detectar problemas antes de que se conviertan en catástrofes.
"El número de ataques exitosos de alto perfil y violaciones de datos son indicativos de las debilidades de seguridad que tienen muchas compañías y organizaciones", dijo Hartej Singh Sawhney, fundador y CEO de Hosho Group. "Las compañías que se preparan para un Evento de Generación de Tokens deberían tener al menos Una auditoría técnica de terceros de sus contratos inteligentes. Además, una prueba de penetración de su sitio web es crucial, de modo que se puedan evitar situaciones como lo que le sucedió a CoinDash ".
2. Escuche las preocupaciones de la comunidad y resuélvalas
Uno de los aspectos más singulares de las cadenas de bloques públicas y las criptomonedas asociadas es su grado de transparencia. La mayoría de las empresas publican todo o al menos parte de su código, y en algunos casos incluso los contratos inteligentes para el ICO. A pesar de su creciente popularidad entre los principales inversores minoristas, una gran parte de la comunidad que sigue a blockchain tiene un profundo conocimiento de la codificación y tomará tiempo para examinar estos detalles pertinentes. Para algunas empresas, esto es más una formalidad que un paso real, pero puede ser una forma incorrecta de verlo.
El DAO es un ejemplo perfecto de por qué las empresas deben escuchar a su comunidad. El código fuente abierto de la compañía estaba disponible para su revisión en los principales repositorios, y varios desarrolladores advirtieron que los archivos tenían una gran vulnerabilidad de seguridad. En lugar de parchear el código, el DAO ignoró las advertencias y como resultado se perdieron millones de dólares.
Los miembros de la comunidad tienen un interés personal en una ICO exitosa, ya que significa que podrán beneficiarse de la utilidad que ofrece la plataforma o el servicio. Por lo tanto, brindarles un canal claro para expresar inquietudes y exponer problemas es un componente vital para asegurar su ICO. Sin embargo, lo más importante es convertir esas preocupaciones en soluciones concretas, ya que pueden ser áreas que puede haber pasado por alto al generar el contrato.
3. Implemente políticas sólidas para detectar phishers
En el lado no programado de una ICO, es vital estar siempre alerta ante cualquier signo de posibles estafas. Aunque los programadores y otros empleados del lado de la tecnología pueden estar al tanto de las tendencias y las mejores prácticas de seguridad cibernética, no todos los miembros del equipo conocen o necesariamente se preocupan por la seguridad en línea. El primer paso en este caso es la educación. Los miembros del equipo de desarrollo comercial y de ventas no necesitan comprender el código, pero sí deben saber acerca de posibles hazañas y signos de un hack o estafa que se está perpetrando.
Más importante aún, las empresas siempre deben ser tan seguras y proactivas para evitar el fraude. El escaneo constante de plataformas web como Facebook, Telegram y otros centros puede ayudar a señalar actividades sospechosas y estar preparado para cualquier eventualidad. Esto también le brinda a su equipo la oportunidad de transmitir de manera confiable actualizaciones críticas, mostrar el sitio web correcto para una ICO y educar a los miembros de la comunidad sobre los riesgos potenciales.
En el caso de EtherDelta, la incapacidad de la compañía para detectar copias fraudulentas de su sitio, que los piratas informáticos configuraron accediendo a sus registros DNS y reemplazando sus dominios, llevó a la pérdida de miles de dólares. Los estafadores crearon sitios web falsos que parecían el original, y la compañía no estaba lo suficientemente vigilante como para identificar e informar las posibles estafas.
4. Proporcione una seguridad sólida para su puerta de enlace ICO
La historia de CoinDash, una ICO enormemente publicitada que fue pirateada y resultó en la pérdida de 43, 000 ETH, se ha convertido en una historia de advertencia para los nuevos participantes. Los contratos inteligentes de la compañía estaban asegurados, pero su sitio web no. Como resultado, los piratas informáticos cambiaron la dirección de la billetera en la puerta de enlace de ICO, y una vez que se abrió al público, los piratas informáticos robaron más de $ 7 millones en menos de siete minutos.
Los piratas informáticos pudieron obtener acceso al sitio web de la compañía a través de un exploit que les permitió alterar un archivo fuente, otorgándoles un control remoto total sobre el sitio web. Simplemente cambiando la dirección de la billetera, pudieron escapar con un atraco masivo a pesar del reciente regreso de algunas monedas.
La moraleja de la historia de CoinDash es que es cada vez más popular apuntar no solo a la infraestructura de la mayoría de las ICO, que han estado mejorando su seguridad, sino a un objetivo fácilmente ignorado como un sitio web. En este caso, no es necesario realizar una auditoría de seguridad importante, pero es vital implementar las herramientas adecuadas para asegurar las puertas de enlace.
Una de las formas más fáciles y efectivas de lograr esto es mediante la implementación de un poderoso firewall de aplicaciones web (WAF), como el de Incapsula. Los WAF controlan el tráfico entrante y saliente, otorgando a las empresas un mejor control y supervisión de quién accede a sus archivos y sitio web. Los cortafuegos protegen estas puertas traseras de los shells del sitio web al tiempo que brindan protección contra la inyección de secuencias de comandos comunes y las técnicas de explotación.
5. Protege a tus usuarios
Una ICO exitosa no es necesariamente el final del proceso de crowdfunding. Una vez que los usuarios han recibido sus tokens, también necesitan acceso a los servicios que ayudaron a financiar. Como descubrió la empresa británica de criptografía Electroneum cuando su sitio web fue golpeado por un ataque DDoS que excluyó a sus usuarios de sus cuentas, la recaudación de fondos es solo la mitad de la batalla.
Proteger un sitio web de ataques informáticos como los ataques DDoS implica tener las herramientas adecuadas para hacerlo, y los WAF también pueden cumplir esta función. Además, las empresas siempre deben presionar por las medidas de seguridad más estrictas para los usuarios, incluida la autenticación de dos factores, las notificaciones constantes de cualquier cambio e incluso mantener registros de actividad por motivos de seguridad. Proteger a los usuarios es primordial, y garantizar que tengan acceso a los servicios que pagaron es una necesidad para evitar repercusiones legales.
La línea de fondo
Las ICO son una herramienta altamente efectiva para las nuevas empresas que buscan mantener el control de sus negocios, pero no están libres de riesgos y son omnipotentes. Para garantizar el éxito, siempre debe cumplir con las mejores prácticas de seguridad, gastando el esfuerzo para garantizar que esté lo más seguro posible y que sus usuarios también estén protegidos.
