Co-fundador de CertiK discute las amenazas de seguridad de Web3.0 y las estrategias de defensa

Recientemente, un conocido medio de comunicación tecnológico realizó una entrevista con el cofundador y CEO de CertiK. Ambas partes discutieron en profundidad el último informe de seguridad publicado por la compañía, la evolución de las técnicas de ataque de hackers y las rutas de innovación de las tecnologías de defensa de seguridad.

Este CEO enfatiza que la seguridad debe ser vista como un principio fundamental y no como una medida correctiva posterior. Aboga por integrar la seguridad en la estrategia general desde el inicio de los proyectos, considerando que una estrategia proactiva de "seguridad primero" es crucial para construir aplicaciones confiables de Web3.0. En particular, sugiere utilizar activamente tecnologías de vanguardia como la verificación formal, las pruebas de conocimiento cero y la computación multipartita para mejorar de manera integral la capacidad de protección de los protocolos de blockchain y los contratos inteligentes.

Esta insistencia en la seguridad no es el resultado de una tendencia del mercado a corto plazo, sino que proviene de la búsqueda y práctica a largo plazo del CEO por los ideales tecnológicos. Desde participar en el desarrollo de un sistema operativo que ha sido elogiado como "impecable", hasta construir un muro de seguridad para activos digitales valorados en más de 530 mil millones de dólares, se ha dedicado constantemente a proteger la seguridad de la industria y a aumentar la confianza en el sector.

Este CEO ha afirmado en múltiples ocasiones que la seguridad no es una ventaja competitiva, sino una responsabilidad compartida. Ha transformado los logros académicos del laboratorio en prácticas de seguridad aplicadas en la industria, y también ha incorporado el concepto de "responsabilidad compartida" en la colaboración del sector. Este líder técnico, que proviene de una academia de élite, está utilizando la verificabilidad de la lógica matemática para contrarrestar la incertidumbre de los ataques cibernéticos, anclando las coordenadas de seguridad de la era Web3.0 entre los ideales tecnológicos y la realidad.

Contenido de la entrevista: Protegiendo la vanguardia de Web3.0 - Análisis de amenazas y defensas en la seguridad de blockchain

En el rápidamente desarrollado campo de Web3.0, la seguridad blockchain se ha convertido en una prioridad. CertiK, liderada por un profesor de ciencias de la computación de la Universidad de Columbia, se dedica a fortalecer integralmente la protección de la seguridad del ecosistema blockchain. La empresa mejora la seguridad de blockchain y contratos inteligentes a través de técnicas de verificación formal, convirtiéndose en un líder de la industria en seguridad Web3.0.

El último informe de seguridad publicado revela nuevas tendencias en el robo de activos digitales y amenazas a la seguridad. El informe también explora tecnologías de vanguardia como las pruebas de conocimiento cero y el cálculo multipartito, ofreciendo consejos prácticos a los desarrolladores de blockchain y analizando el doble papel de la IA en el campo de la seguridad. A medida que las instituciones financieras tradicionales comienzan a involucrarse en blockchain, los desafíos de seguridad también aumentan, lo que hace que las medidas proactivas para proteger a los usuarios y mantener la integridad del ecosistema sean de vital importancia.

P: Por favor, preséntese brevemente y hable sobre la misión central de CertiK.

A: Soy el cofundador y CEO de CertiK, y también soy profesor en la Universidad de Columbia. Tanto mi misión en CertiK como la nuestra están profundamente arraigadas en fortalecer la seguridad del ecosistema Web3.0.

CertiK se fundó en 2017 con la idea central de utilizar tecnología de verificación formal para monitorear y reforzar continuamente la seguridad de los protocolos de blockchain y los contratos inteligentes, asegurando su funcionamiento seguro y correcto. Integramos soluciones de vanguardia de las comunidades académica e industrial, ayudando a que las aplicaciones de Web3.0 logren una expansión sostenible bajo la premisa de garantizar la seguridad. Hasta la fecha, hemos brindado servicios a más de 4,900 clientes empresariales, protegiendo un total de más de 530 mil millones de dólares en activos digitales y identificando más de 115,000 vulnerabilidades en el código.

Q: ¿Cuáles son los hallazgos clave del informe de seguridad recientemente publicado por CertiK?

A: En el primer trimestre de 2025, las pérdidas causadas por fraudes en la cadena ascendieron a aproximadamente 1.66 mil millones de dólares, un aumento del 303% en comparación con el trimestre anterior. Esto se debe principalmente al incidente de hackeo de un intercambio a fines de febrero, donde los hackers robaron alrededor de 1.4 mil millones de dólares. Al igual que en los trimestres anteriores, Ethereum siguió siendo el principal objetivo de ataques en este trimestre, con 3 incidentes de seguridad que causaron pérdidas de activos de 1.54 mil millones de dólares. Más sorprendente aún, descubrimos que en el primer trimestre solo se recuperó el 0.38% de los activos robados.

Q: ¿Han cambiado los principales objetivos de los ataques a blockchain en comparación con el trimestre anterior?

A: La tendencia del primer trimestre de 2025 continuó con la situación de finales de 2024, siendo Ethereum aún una zona de alto riesgo de ataques. En el cuarto trimestre de 2024, ocurrieron un total de 99 incidentes de seguridad en Ethereum, mientras que en el primer trimestre fueron 93. Este es un tema continuo: a lo largo de 2024, los proyectos basados en Ethereum experimentaron la mayor cantidad de incidentes de seguridad; de cara a 2025, parece que esta situación continúa.

Un caso típico es el incidente de hackeo de un intercambio: una billetera basada en el ecosistema de Ethereum fue infiltrada, sufriendo pérdidas significativas. La razón por la que Ethereum se convirtió en el objetivo del ataque radica en la gran cantidad de protocolos DeFi y el enorme volumen de activos bloqueados; por otro lado, muchos de los contratos inteligentes en Ethereum presentan vulnerabilidades.

Q: ¿Cómo puede la industria de la seguridad blockchain enfrentar métodos de ataque cada vez más complejos?

A: Los atacantes están utilizando cada vez más estrategias complejas, como la ingeniería social, la tecnología de IA y la manipulación de contratos inteligentes, para eludir los mecanismos de seguridad existentes. Con la amplia aplicación y el aumento de la valoración de los activos digitales, la industria debe adaptarse a la nueva situación, asegurando la integridad del proyecto y la seguridad de los activos de los usuarios.

La industria está respondiendo activamente a los desafíos, promoviendo el desarrollo de tecnologías innovadoras como las pruebas de conocimiento cero (ZKP) y la seguridad en cadena, que ofrecen soluciones prometedoras para los problemas de seguridad cada vez más severos, permitiendo la posibilidad de auditoría de transacciones, trazabilidad de ataques y recuperación de activos, al tiempo que se protege la privacidad. El cálculo multiparte (MPC) refuerza aún más la gestión de claves al descentralizar el control de la clave privada entre múltiples partes, eliminando así el riesgo de un solo punto de falla y dificultando significativamente el acceso no autorizado a las billeteras por parte de los atacantes. A medida que estas tecnologías de seguridad evolucionan, desempeñarán un papel crucial en la defensa contra los ataques de hackers y en el mantenimiento de la integridad de los ecosistemas descentralizados.

Q: ¿Qué consejos de seguridad les daría a los desarrolladores de blockchain y a los equipos de proyectos?

A: Poner la seguridad en primer lugar desde el principio debe ser un principio innegociable. Integrar la seguridad en cada etapa del desarrollo, en lugar de remediar después, ayuda a identificar vulnerabilidades potenciales a tiempo, lo que a la larga puede ahorrar una gran cantidad de tiempo y recursos. Esta estrategia proactiva de "seguridad primero" es crucial para construir la base de aplicaciones Web3.0 confiables. Integrar la seguridad en todo el proceso de desarrollo ayuda a detectar vulnerabilidades con antelación y a ahorrar en costos de reparación posteriores.

Además, buscar la auditoría de terceros completa y justa de agencias de seguridad en blockchain también puede proporcionar una perspectiva independiente, identificando riesgos potenciales que el equipo interno podría pasar por alto. Este tipo de evaluación externa proporciona un elemento crítico de revisión, ayudando a identificar y corregir vulnerabilidades a tiempo, lo que refuerza la seguridad general del proyecto y mejora aún más la confianza de los usuarios.

Q: ¿Qué papel juega la IA en la seguridad de blockchain? ¿Es un impacto positivo o ha traído nuevos riesgos?

A: La IA es una herramienta importante en nuestro sistema de seguridad, y ya la hemos incorporado como una de las estrategias clave para garantizar la seguridad del sistema blockchain. Utilizamos la tecnología de IA para analizar vulnerabilidades y posibles defectos de seguridad en los contratos inteligentes, ayudándonos a realizar auditorías completas de manera más eficiente que nunca, pero no puede reemplazar al equipo de auditoría de expertos humanos.

Sin embargo, los atacantes también pueden utilizar la IA para fortalecer sus métodos de ataque. Por ejemplo, la IA puede ser utilizada para identificar vulnerabilidades en el código, eludir mecanismos de consenso y sistemas de defensa. Esto significa que el umbral de la seguridad se ha elevado, y con la creciente popularidad de las aplicaciones de IA, la industria debe invertir en soluciones de seguridad más robustas.

Q: ¿Qué es la verificación formal? ¿Cómo mejora la efectividad de la auditoría en blockchain?

A: La verificación formal es un método para demostrar mediante medios matemáticos que un programa de computadora funciona como se espera. Se expresa las propiedades del programa como fórmulas matemáticas y se valida con la ayuda de herramientas automatizadas.

Esta tecnología se puede aplicar ampliamente en diversos campos de la industria tecnológica, incluyendo el diseño de hardware, la ingeniería de software, la seguridad de redes, la IA y la auditoría de contratos inteligentes. Sin embargo, es necesario enfatizar que la verificación formal no está destinada a reemplazar la auditoría manual. En el caso de los contratos inteligentes, la verificación formal se basa en métodos automatizados para evaluar la lógica y el comportamiento del contrato, mientras que la auditoría manual es realizada por expertos en seguridad que realizan una revisión exhaustiva del código, el diseño y el despliegue para identificar posibles riesgos de seguridad. Ambas se complementan, mejorando conjuntamente la seguridad general de los contratos inteligentes.

Q: A medida que las instituciones financieras tradicionales ingresan al sector de blockchain, ¿cree que el tipo o la complejidad de las amenazas a la seguridad cambiará?

A: En las primeras etapas de Web3.0 y la industria de blockchain, los atacantes a menudo se dirigían a usuarios individuales o pequeños proyectos, utilizando métodos como ataques de phishing, RugPull y explotación de vulnerabilidades en wallets. Según nuestro último informe trimestral, estos desafíos aún persisten. Sin embargo, con la llegada de instituciones tradicionales y grandes empresas, los riesgos de seguridad para la integridad de la red también entrarán en una nueva fase. Detrás de esta transformación, hay un aumento en el volumen de activos de los proyectos, así como necesidades de seguridad únicas para aplicaciones empresariales, requisitos regulatorios y la profunda integración de blockchain con el sistema financiero tradicional.

Dado que la mayoría de las instituciones tradicionales tienen experiencia en la gestión de amenazas cibernéticas, esperamos que los actores maliciosos también incrementen la complejidad de sus métodos de ataque, pasando de ataques a vulnerabilidades de billeteras comunes a debilidades a nivel empresarial más específicas, como configuraciones incorrectas, vulnerabilidades en contratos inteligentes personalizados, y defectos de seguridad en las interfaces de integración con sistemas tradicionales.