tradingkey.logo
tradingkey.logo
Buscar

El ataque informático a KelpDAO expone las vulnerabilidades de la seguridad Web3

Cryptopolitan5 de may de 2026 9:06
facebooktwitterlinkedin
Ver todos los comentarios0

El ataque a KelpDAO puso de manifiesto varias deficiencias en la seguridad de Web3. El mayor problema fue que las cadenas de bloques ejecutaban transacciones sin fallos basándose en datos erróneos.

La seguridad de Web3 sigue siendo una prioridad, como medio para reconstruir la confianza en DeFi . El ataque a KelpDAO tuvo repercusiones duraderas para DeFi los préstamos y planteó interrogantes sobre cómo reforzar la seguridad de Web3. 

¿Qué fallos de seguridad en Web3 quedaron al descubierto con el ataque informático a Kelp DAO?
DeFi alcanzaron su nivel más alto en un año en abril, lo que generó un debate sobre los riesgos de Web3 y mejores maneras de interceptar los ataques. | Fuente: DeFiLlama.

La reciente ola de ataques informáticos de abril podría llevar a las aplicaciones a reconsiderar la forma en que acceden a los datos y permiten las transacciones. En mayo continuaron ataques similares, con pérdidas de 930 000 dólares en lo que va del mes. Recientemente, Bisq Protocol perdió 858 000 dólares debido a fallos en la lógica de su protocolo y un ataque con un cliente falso, según DeFiLlama datos

Las aplicaciones Web3 tienen un problema de verificación de datos

Según Victor Fei, de Ormilabs, el hackeo de KelpDAO es un claro ejemplo de cómo una aplicación puede seguir funcionando, incluso si el estado de la cadena de bloques no se corresponde con los datos.

Fei explicó que las aplicaciones no siempre acceden directamente a la cadena de bloques. En cambio, utilizan intermediarios como los nodos RPC, en lugar de datos brutos de la cadena. Esto es un requisito para Ethereum y otras cadenas más antiguas, cuyo acceso directo ya no es viable para la mayoría de las aplicaciones. 

Con una fuente de datos limitada, un puente solo puede depender de un pequeño conjunto de nodos RPC. Si algunas fuentes se ven comprometidas o no están disponibles, la aplicación puede operar con datos erróneos, aunque la cadena subyacente seguirá considerando las transacciones como válidas.

La mayoría de las aplicaciones Web3 modernas no acceden directamente a la cadena de bloques, sino que utilizan algún tipo de indexación para obtener la información relevante. Esta indexación puede mostrar datos erróneos o convertirse en una vía directa de ataque. 

La vulnerabilidad explotada en KelpDAO quedó al descubierto. El proceso de verificación confiaba en un número limitado de fuentes RPC, y los atacantes secuestraron algunas de ellas. Con una capa de datos defectuosa, la cadena de bloques procesó las transacciones como de costumbre y gastó criptomonedas reales a cambio de un saldo falso. 

El problema se agrava aún más si se permite que los agentes de IA actúen basándose en una capa de datos limitada y potencialmente defectuosa. 

¿Qué puede aumentar la seguridad de Web3? 

El mayor defecto de KelpDAO, Drift Protocoly otros ataques recientes es la velocidad de ejecución. La mayoría de las transacciones se realizaban de inmediato y se finalizaban en el siguiente bloque, sin periodo de espera ni comprobaciones adicionales. Web3 ha promocionado su capacidad para realizar transacciones rápidas sin permisos, pero también permite a los ciberdelincuentes ejecutar sus ataques con rapidez.

“El futuro de la seguridad en Web3 depende de la velocidad. Nuestros datos demuestran que el hackeo y el blanqueo de capitales son rápidos y baratos, mientras que la respuesta de los equipos es lenta y costosa”, comentó Vladyslav Syrotin, jefe de investigaciones de Global Ledger, a Cryptopolitan.

Syrotin cree que los proyectos Web3 deberían reducir su tiempo de detección para captar salidas de capital inusuales, caídas repentinas de liquidez o llamadas sospechosas detracinteligentes.

Según Syrotin, las alertas y los bloqueos deberían automatizarse en un segundo tras un ataque, y los informes de las víctimas y el etiquetado de datos deberían estar listos en 10 minutos. Actualmente, se necesitan horas o días para contabilizar las pérdidas totales y traclos clústeres de monederos de los atacantes.

Syrotin agregó que incluso un plazo más lento, con alertas de 30 segundos y etiquetado en cuatro horas, puede ayudar a prevenir alrededor de la mitad de losdenty reducir las pérdidas.

Las mentes más brillantes del mundo de las criptomonedas ya leen nuestro boletín. ¿Te apuntas? ¡ Únete!

Descargo de responsabilidad: La información proporcionada en este sitio web es solo para fines educativos e informativos, y no debe considerarse como asesoramiento financiero o de inversión.

Comentarios (0)

Haga clic en el botón $, introduzca el símbolo y seleccione si desea vincular una acción, un ETF o otro valor.

0/500
Normas para comentar
Cargando...

Artículos Recomendados

tradingkey.logo
* Las referencias, los análisis y las estrategias de trading son proporcionados por un proveedor externo, Trading Central, y el punto de vista se basa en la evaluación y el juicio independientes del analista, sin considerar los objetivos de inversión ni la situación financiera de los inversores.
Advertencia de Riesgo: Nuestro sitio web y aplicación móvil solo proporcionan información general sobre ciertos productos de inversión. Finsights no proporciona, y la provisión de dicha información no debe interpretarse como que Finsights proporciona, asesoramiento financiero o recomendación para cualquier producto de inversión.
Los productos de inversión están sujetos a riesgos de inversión significativos, incluida la posible pérdida del monto principal invertido y pueden no ser adecuados para todos. El rendimiento pasado de los productos de inversión no es indicativo de su rendimiento futuro.
Finsights puede permitir que anunciantes o afiliados de terceros coloquen o entreguen anuncios en nuestro sitio web o aplicación móvil o en cualquier parte de los mismos y puede ser compensado por ellos en función de su interacción con los anuncios.
© Derechos de autor: FINSIGHTS MEDIA PTE. LTD. Todos los derechos reservados.