Las Fallas en Multisig Domina­n como Principal Factor en la Pérdida de $2 Mil Millones en Hacks de Web3 en el Primer Semestre

Los inversionistas en criptomonedas perdieron alrededor de 2 mil millones de dólares debido a hackeos en la primera mitad del año, siendo el primer trimestre por sí solo superior a todas las pérdidas de 2024, según un informe de la firma de seguridad Hacken.

El hallazgo más intrigante fue que las billeteras multipropósito, que requieren que varias personas firmen una transacción antes de que se ejecute, fueron frecuentemente comprometidas debido a la manipulación de la interfaz de usuario y a una mala gestión de los firmantes.

El infame hackeo del primer trimestre del exchange centralizado Bybit resultó en una filtración de 1.46 mil millones de dólares cuando una interfaz de cartera segura comprometida engañó a los firmantes autorizados.

Fue el tercer trimestre consecutivo en el que el mayor hackeo individual se originó por fallos en multisig.

La primera mitad también registró 300 millones de dólares en esquemas de estafa (rug pulls). Las campañas de phishing e ingeniería social también contribuyeron significativamente, acumulando casi 100 millones de dólares. Las vulnerabilidades en contratos inteligentes fueron insignificantes, representando menos del 2% del total de pérdidas.

Los problemas de control de acceso siguen siendo el tema predominante, responsables de más del 80% de cada dólar robado este año.

Hacken instó a un cambio de auditorías reactivas a defensas operativas en tiempo real. Su informe recomienda el uso de sistemas de monitoreo impulsados por IA que validen continuamente las transacciones multisig, detecten desviaciones en la actividad de los firmantes y activen salvaguardas automáticas.

También recomienda que tanto los proyectos CeFi como DeFi consideren los protocolos de firmas, las interfaces multisig y los flujos de trabajo humanos como infraestructuras críticas de seguridad, reforzándolos con automatización, capacitación y una gobernanza más rigurosa.