El fundador de CertiK interpreta el informe de seguridad: pérdidas de 16.6 mil millones de dólares en Q1, la seguridad debe ser la piedra angular del proyecto.
El fundador de CertiK habla sobre la seguridad de la cadena de bloques: pérdidas de 1.66 mil millones de dólares en el primer trimestre, la seguridad debe ser un principio fundamental
Recientemente, un conocido medio tecnológico realizó una entrevista exclusiva con el cofundador y CEO de CertiK. Ambas partes llevaron a cabo una profunda discusión sobre el último informe de seguridad del primer trimestre publicado por la empresa, abordando temas como la evolución de las técnicas de ataque de hackers y la innovación en tecnologías de defensa.
El CEO enfatizó que la seguridad no debe considerarse como una medida correctiva posterior, sino como un principio fundamental que debe tenerse en cuenta desde el inicio del proyecto. Abogó por la adopción proactiva de tecnologías de vanguardia como la verificación formal, las pruebas de conocimiento cero y el cálculo multipartito, para mejorar de manera integral la seguridad de los protocolos de bloque y los contratos inteligentes. Esta es también la razón y visión que lo llevó a fundar la empresa: construir una base de seguridad más confiable para el mundo Web3.0 a través de tecnologías rigurosas de verificación formal.
Esta insistencia en la seguridad no es producto de una tendencia de mercado a corto plazo, sino que proviene de su búsqueda y práctica a largo plazo de ideales tecnológicos. Desde participar en el desarrollo de un sistema operativo aclamado como "impecable", hasta proporcionar seguridad para activos digitales por un valor superior a 530 mil millones de dólares, ha estado dedicado a proteger la seguridad de la industria y aumentar la confianza general.
El CEO ha enfatizado en múltiples ocasiones que la seguridad no es una ventaja competitiva, sino una responsabilidad compartida. No solo ha transformado los resultados académicos en prácticas de la industria, sino que también ha integrado la idea de "responsabilidad compartida" en la colaboración del sector. Como líder tecnológico que proviene de una de las mejores academias, está combatiendo la incertidumbre de los ataques de hackers con la verificabilidad de la lógica matemática, señalando el camino para el desarrollo seguro en la era Web3.0.
Descubrimientos clave del informe de seguridad del primer trimestre
En el primer trimestre de 2025, las pérdidas causadas por fraudes en la cadena de bloques ascendieron a aproximadamente 1,66 mil millones de dólares, un aumento del 303% en comparación con el trimestre anterior. Esto se debe principalmente a un ataque de hackers a un intercambio a finales de febrero, en el que se robaron activos por valor de aproximadamente 1,4 mil millones de dólares. Ethereum sigue siendo el principal objetivo de ataques, con tres incidentes de seguridad que causaron pérdidas totales de 1,54 mil millones de dólares. Lo que es aún más preocupante es que solo se recuperó el 0,38% de los activos robados en este trimestre.
Análisis de tendencias de ataque
El primer trimestre de 2025 continuó con la tendencia del final de 2024, siendo Ethereum aún una zona de alto riesgo de ataques. En el cuarto trimestre de 2024, se produjeron 99 incidentes de seguridad en Ethereum, mientras que en el primer trimestre fueron 93. Esta tendencia fue muy evidente durante todo el año 2024 y se espera que continúe en 2025.
La razón por la que Ethereum se ha convertido en el foco de ataques radica en la gran cantidad de protocolos DeFi en su ecosistema y en el enorme volumen de activos bloqueados; por otro lado, existen numerosas vulnerabilidades en los contratos inteligentes de Ethereum.
Estrategia de seguridad para enfrentar ataques complejos
Frente a las técnicas de ataque cada vez más complejas, la industria de la seguridad en la cadena de bloques está respondiendo activamente. Los atacantes utilizan cada vez más estrategias complejas como la ingeniería social, tecnologías de IA y manipulación de contratos inteligentes para eludir los mecanismos de seguridad existentes. A medida que la aplicación de activos digitales se expande y su valoración aumenta, la industria debe mantenerse al día para garantizar la integridad de los proyectos y la seguridad de los activos de los usuarios.
La industria está impulsando el desarrollo de tecnologías innovadoras como las pruebas de conocimiento cero (ZKP) y la seguridad en la cadena. Estas tecnologías ofrecen soluciones prometedoras a los problemas de seguridad cada vez más graves, permitiendo la auditoría de transacciones, el rastreo de ataques y la recuperación de activos, todo mientras se protege la privacidad. El cálculo multipartito (MPC) mejora aún más la seguridad de la gestión de claves al descentralizar el control de claves privadas, eliminando el riesgo de un punto único de falla y aumentando significativamente la dificultad de acceso no autorizado a las carteras.
Consejos de seguridad para desarrolladores
Hacer de la seguridad la principal consideración debe ser un principio innegociable. Integrar consideraciones de seguridad en cada etapa del desarrollo, en lugar de remediar después, ayuda a identificar vulnerabilidades potenciales de manera temprana y, a largo plazo, puede ahorrar una gran cantidad de tiempo y recursos. Esta estrategia proactiva de "seguridad primero" es crucial para construir aplicaciones confiables de Web3.0.
Además, buscar instituciones de seguridad profesionales para realizar auditorías de terceros completas y justas también puede ofrecer una perspectiva independiente, identificando riesgos potenciales que el equipo interno podría haber pasado por alto. Este tipo de evaluación externa proporciona un elemento crítico de revisión, ayudando a identificar y corregir vulnerabilidades a tiempo, lo que a su vez mejora la seguridad general del proyecto y aumenta la confianza del usuario.
AI en la seguridad de la cadena de bloques y su doble papel
La IA se ha convertido en una herramienta importante en el sistema de seguridad de la cadena de bloques. Algunas empresas utilizan la tecnología de IA para analizar vulnerabilidades y posibles defectos de seguridad en los contratos inteligentes, ayudando a completar auditorías completas de manera más eficiente, pero no puede reemplazar por completo a los equipos de auditoría de expertos humanos.
Sin embargo, los atacantes también pueden utilizar la IA para fortalecer sus métodos de ataque. Por ejemplo, la IA puede ser utilizada para identificar debilidades en el código, evadir mecanismos de consenso y sistemas de defensa. Esto significa que el umbral de defensa de seguridad se ha elevado, y a medida que la aplicación de la IA se vuelve más común, la industria debe invertir en soluciones de seguridad más potentes.
Función de la verificación formal
La verificación formal es un método que utiliza medios matemáticos para demostrar que un programa informático funciona como se espera. Expresa las propiedades del programa como fórmulas matemáticas y utiliza herramientas automatizadas para la verificación.
Esta tecnología se puede aplicar ampliamente en diversos campos de la industria tecnológica, incluidos el diseño de hardware, la ingeniería de software, la ciberseguridad, la IA y la auditoría de contratos inteligentes. Sin embargo, es importante enfatizar que la verificación formal no está destinada a reemplazar la auditoría manual. Para los contratos inteligentes, la verificación formal se basa en métodos automatizados para evaluar la lógica y el comportamiento del contrato, mientras que la auditoría manual implica que expertos en seguridad realicen una revisión exhaustiva del código, el diseño y el despliegue para identificar posibles riesgos de seguridad. Ambos se complementan entre sí, mejorando conjuntamente la seguridad general de los contratos inteligentes.
Desafíos de seguridad traídos por la entrada de instituciones financieras tradicionales
Con la entrada de instituciones financieras tradicionales en el campo de la Cadena de bloques, los tipos y la complejidad de las amenazas de seguridad están cambiando. En las primeras etapas de Web3.0 y la industria de la Cadena de bloques, los atacantes generalmente tenían como objetivo a usuarios individuales o pequeños proyectos, utilizando métodos como ataques de phishing, RugPull y explotación de vulnerabilidades en billeteras. Estos desafíos siguen existiendo, pero con la incorporación de grandes instituciones, los riesgos de seguridad para la integridad de la red también entrarán en una nueva etapa.
Esta transformación no solo implica el crecimiento de la escala de los activos del proyecto, sino también las necesidades de seguridad especiales de las aplicaciones empresariales, los requisitos regulatorios y los desafíos que conlleva la profunda integración de la Cadena de bloques con el sistema financiero tradicional.
Dado que la mayoría de las instituciones tradicionales tienen experiencia en la gestión de amenazas cibernéticas, se espera que los actores maliciosos también mejoren la complejidad de sus métodos de ataque. Los objetivos de ataque pueden cambiar de las vulnerabilidades de billeteras generales a debilidades empresariales más específicas, como configuraciones incorrectas, vulnerabilidades en contratos inteligentes personalizados, así como defectos de seguridad en las interfaces de integración con sistemas tradicionales.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
16 me gusta
Recompensa
16
8
Republicar
Compartir
Comentar
0/400
TommyTeacher1
· 08-03 06:44
Perder así y aún estar aquí.
Ver originalesResponder0
FreeRider
· 08-02 15:07
No digas más, he perdido una gran suma.
Ver originalesResponder0
GateUser-ccc36bc5
· 08-01 14:10
Qué mal se ha puesto, ¿qué están haciendo esos proyectos robados?
Ver originalesResponder0
rekt_but_not_broke
· 07-31 12:40
Siento que estoy perdiendo mucho.
Ver originalesResponder0
GateUser-3824aa38
· 07-31 12:38
Rug Pull的都是没做安全的
Ver originalesResponder0
RektRecorder
· 07-31 12:29
Otra vez 1.6 mil millones se van a la basura
Ver originalesResponder0
BridgeNomad
· 07-31 12:27
otro día, otro exploit... cansado de ser el tipo que lo predijo, para ser honesto
El fundador de CertiK interpreta el informe de seguridad: pérdidas de 16.6 mil millones de dólares en Q1, la seguridad debe ser la piedra angular del proyecto.
El fundador de CertiK habla sobre la seguridad de la cadena de bloques: pérdidas de 1.66 mil millones de dólares en el primer trimestre, la seguridad debe ser un principio fundamental
Recientemente, un conocido medio tecnológico realizó una entrevista exclusiva con el cofundador y CEO de CertiK. Ambas partes llevaron a cabo una profunda discusión sobre el último informe de seguridad del primer trimestre publicado por la empresa, abordando temas como la evolución de las técnicas de ataque de hackers y la innovación en tecnologías de defensa.
El CEO enfatizó que la seguridad no debe considerarse como una medida correctiva posterior, sino como un principio fundamental que debe tenerse en cuenta desde el inicio del proyecto. Abogó por la adopción proactiva de tecnologías de vanguardia como la verificación formal, las pruebas de conocimiento cero y el cálculo multipartito, para mejorar de manera integral la seguridad de los protocolos de bloque y los contratos inteligentes. Esta es también la razón y visión que lo llevó a fundar la empresa: construir una base de seguridad más confiable para el mundo Web3.0 a través de tecnologías rigurosas de verificación formal.
Esta insistencia en la seguridad no es producto de una tendencia de mercado a corto plazo, sino que proviene de su búsqueda y práctica a largo plazo de ideales tecnológicos. Desde participar en el desarrollo de un sistema operativo aclamado como "impecable", hasta proporcionar seguridad para activos digitales por un valor superior a 530 mil millones de dólares, ha estado dedicado a proteger la seguridad de la industria y aumentar la confianza general.
El CEO ha enfatizado en múltiples ocasiones que la seguridad no es una ventaja competitiva, sino una responsabilidad compartida. No solo ha transformado los resultados académicos en prácticas de la industria, sino que también ha integrado la idea de "responsabilidad compartida" en la colaboración del sector. Como líder tecnológico que proviene de una de las mejores academias, está combatiendo la incertidumbre de los ataques de hackers con la verificabilidad de la lógica matemática, señalando el camino para el desarrollo seguro en la era Web3.0.
Descubrimientos clave del informe de seguridad del primer trimestre
En el primer trimestre de 2025, las pérdidas causadas por fraudes en la cadena de bloques ascendieron a aproximadamente 1,66 mil millones de dólares, un aumento del 303% en comparación con el trimestre anterior. Esto se debe principalmente a un ataque de hackers a un intercambio a finales de febrero, en el que se robaron activos por valor de aproximadamente 1,4 mil millones de dólares. Ethereum sigue siendo el principal objetivo de ataques, con tres incidentes de seguridad que causaron pérdidas totales de 1,54 mil millones de dólares. Lo que es aún más preocupante es que solo se recuperó el 0,38% de los activos robados en este trimestre.
Análisis de tendencias de ataque
El primer trimestre de 2025 continuó con la tendencia del final de 2024, siendo Ethereum aún una zona de alto riesgo de ataques. En el cuarto trimestre de 2024, se produjeron 99 incidentes de seguridad en Ethereum, mientras que en el primer trimestre fueron 93. Esta tendencia fue muy evidente durante todo el año 2024 y se espera que continúe en 2025.
La razón por la que Ethereum se ha convertido en el foco de ataques radica en la gran cantidad de protocolos DeFi en su ecosistema y en el enorme volumen de activos bloqueados; por otro lado, existen numerosas vulnerabilidades en los contratos inteligentes de Ethereum.
Estrategia de seguridad para enfrentar ataques complejos
Frente a las técnicas de ataque cada vez más complejas, la industria de la seguridad en la cadena de bloques está respondiendo activamente. Los atacantes utilizan cada vez más estrategias complejas como la ingeniería social, tecnologías de IA y manipulación de contratos inteligentes para eludir los mecanismos de seguridad existentes. A medida que la aplicación de activos digitales se expande y su valoración aumenta, la industria debe mantenerse al día para garantizar la integridad de los proyectos y la seguridad de los activos de los usuarios.
La industria está impulsando el desarrollo de tecnologías innovadoras como las pruebas de conocimiento cero (ZKP) y la seguridad en la cadena. Estas tecnologías ofrecen soluciones prometedoras a los problemas de seguridad cada vez más graves, permitiendo la auditoría de transacciones, el rastreo de ataques y la recuperación de activos, todo mientras se protege la privacidad. El cálculo multipartito (MPC) mejora aún más la seguridad de la gestión de claves al descentralizar el control de claves privadas, eliminando el riesgo de un punto único de falla y aumentando significativamente la dificultad de acceso no autorizado a las carteras.
Consejos de seguridad para desarrolladores
Hacer de la seguridad la principal consideración debe ser un principio innegociable. Integrar consideraciones de seguridad en cada etapa del desarrollo, en lugar de remediar después, ayuda a identificar vulnerabilidades potenciales de manera temprana y, a largo plazo, puede ahorrar una gran cantidad de tiempo y recursos. Esta estrategia proactiva de "seguridad primero" es crucial para construir aplicaciones confiables de Web3.0.
Además, buscar instituciones de seguridad profesionales para realizar auditorías de terceros completas y justas también puede ofrecer una perspectiva independiente, identificando riesgos potenciales que el equipo interno podría haber pasado por alto. Este tipo de evaluación externa proporciona un elemento crítico de revisión, ayudando a identificar y corregir vulnerabilidades a tiempo, lo que a su vez mejora la seguridad general del proyecto y aumenta la confianza del usuario.
AI en la seguridad de la cadena de bloques y su doble papel
La IA se ha convertido en una herramienta importante en el sistema de seguridad de la cadena de bloques. Algunas empresas utilizan la tecnología de IA para analizar vulnerabilidades y posibles defectos de seguridad en los contratos inteligentes, ayudando a completar auditorías completas de manera más eficiente, pero no puede reemplazar por completo a los equipos de auditoría de expertos humanos.
Sin embargo, los atacantes también pueden utilizar la IA para fortalecer sus métodos de ataque. Por ejemplo, la IA puede ser utilizada para identificar debilidades en el código, evadir mecanismos de consenso y sistemas de defensa. Esto significa que el umbral de defensa de seguridad se ha elevado, y a medida que la aplicación de la IA se vuelve más común, la industria debe invertir en soluciones de seguridad más potentes.
Función de la verificación formal
La verificación formal es un método que utiliza medios matemáticos para demostrar que un programa informático funciona como se espera. Expresa las propiedades del programa como fórmulas matemáticas y utiliza herramientas automatizadas para la verificación.
Esta tecnología se puede aplicar ampliamente en diversos campos de la industria tecnológica, incluidos el diseño de hardware, la ingeniería de software, la ciberseguridad, la IA y la auditoría de contratos inteligentes. Sin embargo, es importante enfatizar que la verificación formal no está destinada a reemplazar la auditoría manual. Para los contratos inteligentes, la verificación formal se basa en métodos automatizados para evaluar la lógica y el comportamiento del contrato, mientras que la auditoría manual implica que expertos en seguridad realicen una revisión exhaustiva del código, el diseño y el despliegue para identificar posibles riesgos de seguridad. Ambos se complementan entre sí, mejorando conjuntamente la seguridad general de los contratos inteligentes.
Desafíos de seguridad traídos por la entrada de instituciones financieras tradicionales
Con la entrada de instituciones financieras tradicionales en el campo de la Cadena de bloques, los tipos y la complejidad de las amenazas de seguridad están cambiando. En las primeras etapas de Web3.0 y la industria de la Cadena de bloques, los atacantes generalmente tenían como objetivo a usuarios individuales o pequeños proyectos, utilizando métodos como ataques de phishing, RugPull y explotación de vulnerabilidades en billeteras. Estos desafíos siguen existiendo, pero con la incorporación de grandes instituciones, los riesgos de seguridad para la integridad de la red también entrarán en una nueva etapa.
Esta transformación no solo implica el crecimiento de la escala de los activos del proyecto, sino también las necesidades de seguridad especiales de las aplicaciones empresariales, los requisitos regulatorios y los desafíos que conlleva la profunda integración de la Cadena de bloques con el sistema financiero tradicional.
Dado que la mayoría de las instituciones tradicionales tienen experiencia en la gestión de amenazas cibernéticas, se espera que los actores maliciosos también mejoren la complejidad de sus métodos de ataque. Los objetivos de ataque pueden cambiar de las vulnerabilidades de billeteras generales a debilidades empresariales más específicas, como configuraciones incorrectas, vulnerabilidades en contratos inteligentes personalizados, así como defectos de seguridad en las interfaces de integración con sistemas tradicionales.