El equipo de ciberseguridad de Bit2Me acaba de participar en una auditoría junto con Sofistic, la división de ciberseguridad de Cuatroochenta en la que se han revelado alarmantes fallos de seguridad en juegos de finanzas descentralizadas (DeFi). El informe destaca la necesidad crítica de abordar estas vulnerabilidades para salvaguardar los activos de los usuarios y, en general, garantizar la seguridad y la confiabilidad de estas plataformas de juego.
Creciente popularidad y riesgos de los juegos DeFi
Los juegos DeFi han ganado una popularidad significativa, capturando la atención de millones de usuarios en todo el mundo. Estos juegos ofrecen elementos virtuales como armaduras, animales o recursos naturales que se pueden comprar o adquirir usando criptomonedas o tokens. Los tokens no fungibles (NFT) permiten a los jugadores ser dueños y autenticar estos activos virtuales, lo que los convierte en objetos altamente codiciados en la comunidad de jugadores. Sin embargo, la integración de tecnología blockchain y finanzas descentralizadas conlleva posibles riesgos de seguridad.
Hallazgos críticos de la investigación
La auditoría, en la que participado Bit2Me, a 27 juegos DeFi diferentes descubrió 29 vulnerabilidades de seguridad, 13 de las cuales se clasificaron como críticas. Estas vulnerabilidades otorgaron acceso no autorizado a las cuentas de usuario, permitieron el robo de tokens e incluso permitieron la manipulación de resultados de juegos. El informe destaca tres componentes clave de seguridad en los juegos DeFi: los contratos inteligentes, las aplicaciones o sitios web del cliente y los servidores.
Autenticación y validación insuficiente
Uno de los fallos de seguridad más significativos descubiertos fue la ausencia de medidas de autenticación sólidas. Aproximadamente el 45% de los juegos investigados permitieron que los jugadores se registraran solo con un nombre de usuario y contraseña, aumentando la probabilidad de posibles riesgos y violaciones de seguridad. Además, solo dos de los 27 juegos implementaron la autenticación de dos factores para proteger contra el robo de credenciales, una medida de seguridad esencial para proyectos que involucran transacciones monetarias.
La validación insuficiente de la entrada del usuario en las comunicaciones del servidor fue otra importante vulnerabilidad. En ciertos casos, esta falla permitió que actores malintencionados manipularan las llamadas al servidor, lo que resultó en la adquisición no autorizada de tokens valiosos en cuestión de minutos. Además, los controles de acceso inadecuados expusieron información sensible, como direcciones de correo electrónico y billeteras, comprometiendo potencialmente la privacidad del usuario.
Falta de transparencia en los contratos de la economía del juego
Los contratos inteligentes sirven como el núcleo de los proyectos descentralizados, asegurando transparencia y confianza. Sin embargo, la investigación reveló que algunos juegos DeFi afirmaban operar en la cadena de bloques pero no aprovechaban plenamente sus beneficios. Al dejar ciertos aspectos fuera de la cadena de bloques, estos juegos abrieron puertas a posibles abusos, manipulación y desvío de fondos.
Recomendaciones para mejorar la seguridad en los juegos DeFi
Para abordar estas preocupaciones de seguridad, los auditores y expertos de la industria recomiendan varios pasos esenciales para los desarrolladores de juegos DeFi:
- Implementar autenticación sólida: asegurar métodos de autenticación fuertes, como la autenticación de dos factores, para proteger las credenciales de los usuarios y evitar el acceso no autorizado.
- Validar la entrada del usuario: realizar una validación minuciosa de la entrada del usuario durante las comunicaciones del servidor para evitar actividades fraudulentas y manipulación de los resultados de los juegos.
- Mejorar la documentación y transparencia: documentar claramente los casos de uso del proyecto, la lógica económica y la tokenomía dentro del contrato inteligente. Publicar direcciones de contrato, código e informes de auditoría para mejorar la transparencia y construir confianza entre los usuarios.
- Realizar auditorías de seguridad periódicas: realizar auditorías de seguridad periódicas asociándose con empresas de ciberseguridad para identificar y abordar las vulnerabilidades de manera proactiva.
Esta auditoría sirve como una llamada de atención para la industria de juegos DeFi en rápido crecimiento, destacando la necesidad crítica de priorizar las medidas de seguridad. Con millones de dólares en juego y el potencial de pérdidas sustanciales para los usuarios, los desarrolladores de juegos deben abordar estos fallos de seguridad de manera rápida y efectiva. Al implementar prácticas sólidas de autenticación, mejorar la transparencia y auditar sistemáticamente sus plataformas, los desarrolladores pueden garantizar un ambiente de juego más seguro y proteger los activos de los usuarios en los juegos de finanzas descentralizadas.