Investigadores informan que solo el 13,3% de las billeteras de criptomonedas realizan pruebas de penetración, y solo la mitad de ellas probaron las últimas versiones de sus aplicaciones.
CER, una empresa enfocada en la certificación de ciberseguridad, llevó a cabo un estudio en la esfera de las criptobilleteras. Según el informe proporcionado, solo 6 de las 45 marcas contrataron especialistas externos para realizar pruebas de penetración y descubrir vulnerabilidades. De ellas, solo la mitad probó las versiones más recientes de sus productos.
Por ejemplo, MetaMask, ZenGo y Trust Wallet superaron las auditorías de seguridad vigentes. Rabby, Bifrost y Ledger Live realizaron pruebas de penetración en versiones anteriores de su software. De las 45 marcas de criptobilleteras restantes, 39 no realizaron pruebas de penetración en absoluto, ni siquiera en versiones anteriores de sus productos.
Los analistas de CER creen que la razón es que las pruebas de penetración son costosas, mientras que el software se actualiza con frecuencia y cualquier nueva actualización hace que los resultados de una prueba anterior sean irrelevantes. Analistas señalan que la mayoría de las marcas confían en recompensas por encontrar vulnerabilidades en lugar de pruebas, lo cual también es un medio efectivo para prevenir hackeos.
El informe también presenta un ranking general de seguridad de las criptobilleteras, con las cinco principales siendo:
- MetaMask;
- ZenGo;
- Rabby;
- Trust Wallet;
- Coinbase Wallet.
La calificación de CER se recopiló utilizando una metodología que incluía varios factores de seguridad, como recompensas por errores, incidentes pasados, requisitos de contraseña, métodos de recuperación y otros.
La importancia de las auditorías técnicas externas fue claramente demostrada por Fireblocks, una empresa especializada en seguridad de infraestructura para transacciones y almacenamiento de activos digitales. Sus representantes compartieron información detallada sobre un número de vulnerabilidades críticas, designadas como BitForge, identificadas en más de una docena de soluciones técnicas populares para el almacenamiento de criptomonedas.
La empresa publicó los datos de su investigación después de esperar 90 días desde el momento en que se identificaron las vulnerabilidades. La información sobre los posibles métodos de hackeo se compartió inmediatamente con los equipos responsables del desarrollo de los proyectos posiblemente vulnerables. Según Fireblocks, todos los desarrolladores respondieron de manera oportuna a la información y realizaron las actualizaciones necesarias. Los proyectos específicos cuyos códigos contenían vulnerabilidades incluyen solo las billeteras de Coinbase, Zengo y Binance.
Como tal, la potencial vulnerabilidad de las criptobilleteras continúa siendo un problema apremiante. Uno de los mayores ataques de hackers en 2023 en términos de fondos robados fue el ataque a Atomic Wallet, durante el cual ciberdelincuentes robaron activos por valor de más de 100 millones de dólares.