Actualizaciones de seguridad Badger

Esta es un traducción del artículo originalmente publicado en inglés el 16 de Diciembre del 2021.

El 2 de diciembre de 2021, Badger.com sufrió un exploit en el que un atacante pudo inyectar un script malicioso que obtuvo la aprobación del token ERC-20 de los usuarios.

Este ataque es un recordatorio de que, aunque los contratos inteligentes de Badger no se vieron afectados, los ataques de phishing, las vulnerabilidades de Web2 y los comportamientos de los usuarios pueden interactuar de formas que representan amenazas de seguridad importantes.

Después del ataque, los ingenieros de Badger, junto con Mandiant, expertos en seguridad cibernética de clase mundial en blockchain y Web2, realizaron una revisión completa de nuestras prácticas de seguridad, observando todo, desde la capa de contrato inteligente hasta la infraestructura de la aplicación, y cómo nos comunicamos y educamos a los usuarios.

Además, Badger está trabajando actualmente con la firma de seguridad cibernética Halborn para realizar una auditoría de seguridad exhaustiva de nuestra nueva infraestructura.

Este artículo brinda una descripción general de algunos de los cambios realizados y el trabajo en curso para garantizar que la plataforma Badger y los usuarios sean lo más resistentes posible a cualquier ataque futuro.

Seguridad de la infraestructura web

Dado que el reciente exploit se originó a través del acceso no autorizado a nuestra infraestructura de red de entrega de contenido (CDN), Badger está relanzando el sitio web con medidas de seguridad adicionales sugeridas por Mandiant.

Algunos cambios realizados incluyen:

AWS

1. Autenticación forzada de múltiples factores (MFA)

Cloudflare

1. Configure notificaciones para colaboradores principales y notificaciones a través de webhooks de Discord para alertar sobre el uso de trabajadores.
2. DNSSEC habilitado para agregar una capa de seguridad al habilitar respuestas autenticadas.
3. Configurar reglas WAF y OWASP.
4. Habilitó Page Shield y configuró notificaciones para nuevos dominios y scripts a través de webhook y correo electrónico.
5. Configurar notificaciones para nuevos scripts y filtraciones de ruta.
6. Se revisaron y eliminaron los tokens de servicio antiguos y se rotaron todas las claves API globales.
7. Se agregó la aplicación de MFA para acceder a la configuración de DNS y otras configuraciones.

Netlify

1. Notificaciones de implementación: Webhook configurado para alertar en Discord y correo electrónico en la compilación.
2. MFA habilitado como requisito para toda la organización de Github.
3. Establezca requisitos de confirmación firmados para todos los repositorios confidenciales para evitar la suplantación de identidad.
4. Registros de auditoría exportados y entregados a Mandiant para su revisión, así como también revisados ​​por ingenieros de Badger.

Más actualizaciones planificadas o en curso

1. Una herramienta pública para monitorear la agricultura de aprobación sospechosa, con la capacidad de otros proyectos para bifurcar el código.
2. Reglas de limitación de velocidad para la prevención de DDoS.
3. Bot de Discord para monitorear transacciones de explotadores.
4. Tablero de Dune Analytics para monitorear y cuantificar fondos en riesgo.
5. Interfaz descentralizada (despliegues automáticos en IPFS)
6. Una herramienta de ‘implementar su propia interfaz’ para usar una interfaz fuera de línea.
7. Comprobaciones automáticas periódicas de la integridad del código.
8. Comprobaciones de cosecha de aprobación.
9. Soporte para Gnosis Safe.

Seguridad de contrato inteligente

Si bien los contratos inteligentes de Badger no estuvieron involucrados en el ataque, continuamos siguiendo las mejores prácticas de desarrollo de Solidity, que incluyen:

1. Asociarse con algunas de las firmas de auditoría líderes para auditar el código en busca de nuevas funciones y características.
2. Un creciente grupo de trabajo de desarrolladores de Solidity preocupados por la seguridad que revisan nuevos contratos. Cada nueva estrategia y bóveda es revisada por dos desarrolladores, antes de ser aprobada por un desarrollador senior.
3. Para mejoras incrementar colaborando en revisiones por pares de sombreros blancos confiables, DAO emergentes centrados en la seguridad de contratos y concursos y recompensas de auditoría de seguridad pública.
4. La recompensa por errores de $750,000 de Badger con Immunefi en contratos inteligentes aún no se ha reclamado y proporciona un fuerte incentivo para los informes de vulnerabilidades de sombrero blanco.

Seguridad personal

Por diseño, la tecnología de cadena de bloques responsabiliza a los usuarios finales por la seguridad de sus fondos. Por esta razón, ninguna auditoría de seguridad está completa sin prestar atención a cómo los usuarios interactúan con los contratos de un protocolo y el equipo de soporte.

A medida que ingresan más fondos a la crypto-economía, los delincuentes están encontrando nuevas formas de suplantar, dirigir a los usuarios a sitios de phishing e incluso inyectar código malicioso directamente en la aplicación de un protocolo, como todos vimos en el reciente ataque.

Por esta razón, Badger está duplicando el soporte y la educación para garantizar que los usuarios tengan las herramientas para informar cualquier actividad sospechosa y verificar la integridad de los contratos con los que interactúan.

Como introducción básica a Hot Wallet Security:

Seguridad de clave privada:

Agregar fondos a su Metamask significa tomar un acto de auto-custodia de las claves que controlan sus monedas. Compartir su frase secreta con cualquier persona equivale a compartir la propiedad de todos los tokens, así como la identidad que proporciona una billetera. Nunca comparta su frase inicial con nadie.

Antes de firmar una transacción, realice las siguientes comprobaciones:

Verificación de los Contratos:

1. Verificar que el objetivo del contrato es el esperado.
2. Revisa que el contrato este verificado, aparece en los docs del proyecto.
3. Verifique el código fuente y asegúrese de que no se encuentren formas comunes de alfombra.

Verificación de transacciones:

1. Comprobar que la función que se llama es la esperada.
2. Comprueba que los parámetros son los establecidos en el frontend.
3. Verifique que los datos de la transacción coincidan con los parámetros.

Actualizaciones de soporte

Badger planea implementar un sistema de soporte basado en tickets que permitirá que el soporte al usuario se integre más estrechamente con los desarrolladores para abordar rápidamente cualquier problema que surja. Esto permitirá a los usuarios contratar soporte fuera del canal de Discord y permitirá archivar los tickets de soporte en el futuro.

Badger encendido

Badger está haciendo todo lo posible para compartir lo aprendido de este incidente con la comunidad DeFi con la esperanza de que ningún otro protocolo tenga que sufrir una vulnerabilidad similar.

Si tiene ideas para más mejoras de seguridad, ya sea en la Web2, el contrato inteligente o los niveles de educación del usuario, Badger quiere saber de usted.

Entra en nuestro Discord o conéctate en Twitter para iniciar la conversación.

Y mantente a salvo ahí fuera, Badgers.

¿Cómo puedo obtener más información?

Hay muchas formas de involucrar a la comunidad de Badger DAO e informarse sobre el uso de nuestro protocolo. Conéctese con nosotros en el Foro , en Discord y Twitter .

ℹ️ Visita nuestro sitio web

➡️ Echa un vistazo a nuestro Github

➡️ Únete a nuestra comunidad Discord

➡️ Síguenos en Twitter

➡️ Conéctate en Telegram

* Los tokens Badger son un medio por el cual los usuarios pueden utilizar y gobernar el protocolo. Badger DAO no recomienda comprar Badger con fines de inversión especulativa. Los tokens Badger pueden perder valor o no tener valor y pueden no tener mercado. Tenga en cuenta que si la ley aplicable no permite que la totalidad o parte de la limitación de responsabilidad anterior se aplique a usted, las limitaciones se aplicarán a usted solo en la medida máxima permitida por la ley aplicable. *

Esta publicación es para fines informativos solamente, nada de esto debe ser interpretado como consejo financiero. Siempre haga su propia investigación. Los tokens pueden perder valor o no tener valor y podrían no tener mercado.