En la actualidad, las estafas de firma a ciegas siguen siendo un problema frecuente en las finanzas descentralizadas. Se trata de una forma de ataque en la que los estafadores crean contratos inteligentes maliciosos para robar los fondos de los usuarios de carteras de criptomonedas. Pero, ¿por qué se denomina firma a ciegas y cómo se pueden evitar estos ataques?
Contratos inteligentes y firmas ciegas
Los contratos inteligentes son el elemento fundamental de muchas aplicaciones descentralizadas, NFT y sectores de DeFi. Supongamos que desea invertir su criptomoneda en un fondo de liquidez para obtener un rendimiento mensual. El protocolo de liquidez funciona a través de contratos inteligentes, que requieren acceso a los tokens en su billetera. Por lo tanto, debe otorgarles a sus contratos inteligentes acceso a sus tokens.
Cuando firma esta transacción de aprobación con la clave privada de su billetera de hardware, implica que acepta los términos y condiciones del contrato inteligente y confía plenamente en su código.
Una firma a ciegas significa otorgarle a un contrato inteligente acceso a tokens en su billetera sin conocer todos los detalles del contrato. En las finanzas tradicionales, firmar un contrato implica comprender y aceptar sus términos. Por lo tanto, puede asumir que la firma a ciegas es similar a firmar un contrato en papel sin leer completamente sus términos y condiciones.
¿Qué pasa si el contrato inteligente no proporciona su información completa durante la firma?
Las billeteras de criptomonedas suelen tener dificultades para mostrar información importante debido al código complejo que se utiliza en los contratos inteligentes. Estos contratos suelen contener datos de contacto cruciales que no se pueden extraer fácilmente ni presentar en un lenguaje que los usuarios puedan entender.
Las billeteras físicss, que en un principio estaban pensadas para transacciones sencillas en las blockchains, ahora permiten a los usuarios interactuar con contratos inteligentes complejos para DeFi a través de protocolos como WalletConnect. Sin embargo, estos protocolos no siempre presentan la información de una manera fácil de entender.
Esto puede dar lugar a situaciones en las que hay que firmar transacciones basadas en la confianza sin una garantía definitiva de su contenido.
¿Una pantalla de confianza previene estafas de firma a ciegas?
Algunos podrían argumentar que el uso de una billetera con pantalla confiable minimiza el riesgo de ser víctima de estafas de firma a ciegas. En otras palabras, una pantalla confiable le muestra al usuario exactamente lo que está firmando.
Una pantalla confiable es una pantalla digital que muestra información verificada y auténtica, garantizando que la información presentada sea precisa, confiable y segura.
He aquí una idea interesante: ¿puede una pantalla confiable presentar información que simplemente no existe? Estas pantallas heredan las desventajas inherentes de una billetera de hardware: el código de contrato inteligente puede ser demasiado complejo. Además, estas pantallas solo pueden mostrar la información que el chip de la billetera puede analizar/decodificar del contrato inteligente, por lo que no se diferencian tanto de la pantalla de su teléfono móvil.
A diferencia de su teléfono móvil, que es uno de los millones fabricados para varios usuarios, las billeteras de cripto con "pantallas confiables" pueden ser atacadas y comprometidas por ataques a la cadena de suministro, por ejemplo, al reemplazar o reprogramar un chip no seguro dentro de la billetera.
Cómo soluciona Tangem este problema
Una ventaja fundamental de Tangem Wallet sobre otras billeteras de hardware es su durabilidad. Nuestra billetera ha sido sometida a pruebas increibles, como por ejemplo congelamiento, quemaduras, disparos y sufrir la presión de una prensa hidráulica, pero ha seguido funcionando. Después de todo, el espacio de las criptomonedas está en su fase del Salvaje Oeste: si decides ser tu propio banco, debes asegurarte de que tu caja de seguridad no sea fácil de piratear.
Añadir una “pantalla de confianza” directamente a la tarjeta Tangem supone un gran riesgo para su fiabilidad y seguridad. Estos componentes adicionales suelen carecer de certificaciones de seguridad y pueden ser propensos a influencias externas, lo que aumenta la probabilidad de fallos. Por ejemplo, un ataque a la cadena de suministro podría implicar que los piratas informáticos sustituyan una pantalla de billetera auténtica por una pantalla falsificada comprometida.
La ausencia de una pantalla incorporada también ofrece a los usuarios de Tangem Wallet varias ventajas:
- Una vida útil mínima de 25 años;
- Totalmente resistente al agua y al polvo IP68+;
- Resistencia a temperaturas extremas;
- Ligero, similar a una tarjeta bancaria.
El 99 % de los ataques a los usuarios de billeteras tienen como objetivo obtener las seed phrases, claves privadas o firmas sin la autorización del usuario. Tangem ofrece la mejor protección posible contra todos estos vectores de ataque.
¿Qué pasa si una aplicación falsa de Tangem llega a las tiendas de aplicaciones?
¿Cómo puede confiar en que la aplicación Tangem le muestre la información correcta si su teléfono inteligente está comprometido?
A diferencia de las aplicaciones web, las plataformas de escritorio y las extensiones de navegador, comprometer aplicaciones móviles del lado del cliente o el firmware del dispositivo en masa es imposible. Ningún malware móvil conocido puede explotar aplicaciones como Tangem con una arquitectura de seguridad sólida.
Los dispositivos móviles son 100 % seguros si se compran a vendedores confiables. Instala aplicaciones oficiales y no hagas jailbreak al sistema operativo.
Recordatorio : sus claves privadas se almacenan en la tarjeta, que no está conectada a Internet.
¿Qué pasa si el sistema operativo del teléfono inteligente está comprometido?
Si bien Tangem no controla el sistema operativo subyacente (iOS o Android), podemos dar fe de la aplicación y las tarjetas de Tangem. En teoría, es imposible inyectar código malicioso en la aplicación de Tangem o crear una tarjeta Tangem falsa. La aplicación de Tangem puede funcionar en un dispositivo infectado, pero no recomendamos usarla en uno. Mantener un entorno seguro es importante para una protección óptima.
¿Qué pasa con los keyloggers como vector de ataque?
Los keyloggers son programas maliciosos que registran y monitorean las pulsaciones de teclas en una computadora o dispositivo móvil. Su propósito principal es capturar información confidencial, como nombres de usuario, contraseñas, números de tarjetas de crédito y otros datos personales que ingresan los usuarios.
Cuando genera seed phrases con la billetera Tangem, la aplicación muestra la frase inicial en la pantalla de su teléfono inteligente y le indica que la escriba. Una vez escrita, la aplicación le solicita que confirme tocando algunas palabras iniciales correctamente. En conclusión, los keyloggers no son una amenaza real en este caso.
Además, debe realizar comprobaciones antivirus periódicas en su teléfono y permanecer atento a señales de malware/spyware, como una rápida descarga de la batería, que el teléfono se caliente, retrasos o aperturas inesperadas de aplicaciones.
Cómo evitar las estafas de firma a ciegas
Puede evitar convertirse en víctima de estafas de firma a ciegas tomando las siguientes medidas:
- Evite interactuar con aplicaciones descentralizadas desconocidas.
- Haga siempre su propia investigación y verifique cualquier proyecto online.
- Evite interactuar con mensajes directos en las redes sociales, especialmente cuando un “miembro del equipo” del proyecto se comunica con usted.
- No haga clic en enlaces de fuentes desconocidas.
- No experimente con el sistema operativo de tu teléfono inteligente haciendole jailbreak.
- No introduzca su seed phrase (si tiene alguna) en ningún lugar ni la revele a nadie.
La autocustodia significa tener el control de sus claves privadas; por lo tanto, usted es el último punto de defensa de sus activos criptográficos y su criterio es esencial.
Conclusión
En Tangem, nos tomamos muy en serio la seguridad de nuestros procesos de desarrollo e implementación de aplicaciones. Esta es la base de nuestro producto y nuestra reputación, y nos la tomamos muy en serio. Garantizamos que ningún código malicioso llegará a la versión final de nuestra aplicación. Quienes deseen verificar esto, siempre pueden consultar el código más reciente en GitHub y crear la aplicación vosotros mismos.
Al agregar botones o pantallas adicionales para verificar o autorizar transacciones, una mayor complejidad generará más vulnerabilidades y riesgos para la mayoría de los usuarios. Los dispositivos que requieren múltiples botones y pantallas crean nuevas formas para que los atacantes exploten múltiples interfaces, actualizaciones de firmware y cadenas de suministro. Por lo tanto, el enfoque de Tangem para la firma de transacciones sigue siendo la mejor opción.