Cube Labs (parte del ecosistema Abstract) está construyendo una blockchain de Capa 2 de próxima generación diseñada para aplicaciones Web3 rápidas y listas para el consumidor. Con el respaldo de Founders Fund, el equipo se centra en ofrecer una base segura y escalable tanto para desarrolladores como para usuarios.
Cuando el equipo comenzó a buscar formas de fortalecer su postura de seguridad sin ralentizar el desarrollo, recurrieron a Aikido.
“Aikido nos ha proporcionado una gran visión de las vulnerabilidades potenciales y la confianza de que estamos seguros en tiempos de crisis.”
¡Hola Metarsit! ¿Cuál es tu rol y cuáles son tus responsabilidades?
Soy Ingeniero Fullstack en Cube Labs. Mi trabajo se centra en DevOps, Ingeniería de Producto y Productividad de Ingeniería.
¿Qué hace que Abstract destaque en su sector?
La mejor manera de describirlo es en nuestro blog: Abstract es un stack de blockchain modular que simplifica la forma en que los desarrolladores construyen aplicaciones Web3. Hacemos que la experiencia Web3 sea más accesible y segura para todos.
¿Qué propósito debería tener la seguridad en su sector?
Es lo clásico: prevenir ataques y parchear vulnerabilidades. Pero en el espacio Web3, los hackers son increíblemente creativos. Hay que ir dos pasos por delante.
¿Qué tipo de presión ejercen sus clientes o inversores sobre sus prácticas de seguridad y cumplimiento hoy en día?
Gran presión, y con razón. Hay dinero de por medio. Necesitamos asegurarnos de que los fondos y los datos de todos estén seguros.
“Nuestro CEO y CTO sitúan la seguridad como una de nuestras máximas prioridades. Siempre buscamos mejores herramientas para mantenernos a nosotros y a todos a salvo.”
¿Hubo algún momento en particular que desencadenara un enfoque más estratégico en la seguridad?
Nuestro CEO y CTO siempre han priorizado la seguridad. Está integrada en nuestra cultura. Pero a medida que empezamos a escalar, queríamos herramientas que nos ayudaran a mantenernos proactivos, no solo reactivos.
Cuéntanos más sobre la decisión de buscar y seleccionar Aikido.
Estábamos familiarizados con Snyk, pero un amigo nos presentó Aikido. Lo evaluamos frente a Snyk y algunas herramientas populares del sector y nos dimos cuenta de que era la que mejor se adaptaba a nuestro uso y flujo de trabajo.
Las herramientas que usábamos antes eran excelentes, pero no nos daban la visibilidad ni la capacidad de respuesta que necesitábamos. Aikido se sentía diferente. El producto está más centrado en el desarrollador, es más rápido de iterar y está construido por un equipo que realmente se esfuerza por obtener resultados.
“Evaluamos varias herramientas, pero Aikido destacó por la rapidez del equipo y lo completa que es la plataforma.”
¿Cuáles eran sus principales preocupaciones de seguridad antes de adoptar Aikido?
Accesibilidad. Estábamos utilizando las herramientas de seguridad integradas de GitHub, que señalaban muchos problemas, pero no aclaraban si realmente nos afectaban. Queríamos evitar grandes y arriesgadas actualizaciones de versión que pudieran introducir inestabilidad, y Aikido nos mostró qué actualizaciones eran realmente importantes.
¿Cómo gestionaba la seguridad antes de Aikido?
Teníamos buenas prácticas de ingeniería y flujos de trabajo establecidos, pero eran intensivos en mano de obra. Aikido nos ayudó a automatizar y acelerar lo que antes requería muchas horas de ingeniería.
¿Qué destacó de Aikido durante la evaluación?
El equipo, ante todo. Fueron increíblemente útiles, receptivos y transparentes. Y la oferta en sí, simplemente tenía sentido para nosotros.
¿Qué tan fácil fue integrar Aikido en sus flujos de trabajo?
Mayormente fácil. Alrededor del 80% funcionó directamente, lo cual fue impresionante. El resto se configuró rápidamente.
Fue sorprendentemente fácil poner Aikido en funcionamiento en todos nuestros servicios.
¿Cómo ha sido tu experiencia trabajando con el equipo de Aikido?
Excelente. Son atentos y rápidos en responder siempre que necesitamos ayuda.
¿Cuál es tu característica favorita?
Zen, la protección en tiempo de ejecución integrada en la aplicación de Aikido, sorprendentemente. Añade una nueva capa de protección y nos da más confianza al manejar datos de usuario.
Antes de Zen, dependíamos de herramientas como Vercel Security y Sentry para obtener información en tiempo de ejecución. Eran buenas para sacar a la luz información, pero Zen es mucho más agresivo en la identificación de amenazas y posibles exploits, con la opción de bloquearlos fácilmente.
“Zen sacó a la luz cosas que antes no habríamos investigado, como nuevos endpoints de salida que podrían ser maliciosos.”
¿Hubo algún incidente específico que te hiciera darte cuenta de que tus protecciones existentes no eran suficientes?
No hubo un incidente específico, pero una vez que integramos Zen, comenzó a mostrar endpoints y actividad salientes que nos permitieron ser más exhaustivos en nuestra monitorización.
Al evaluar Zen, ¿qué le convenció de que valía la pena añadir la protección en tiempo de ejecución integrada en la aplicación?
No le dimos demasiadas vueltas, era una capa adicional de defensa que podíamos añadir fácilmente a todos nuestros servicios. Una vez que lo activamos, Zen comenzó a detectar vulnerabilidades potenciales que requerían atención, y eso fue un gran avance para nosotros.
¿Cuál es tu capacidad Zen favorita?
«La función de descubrimiento de API es realmente genial. Nos ayuda a ver qué está realmente expuesto y dónde, lo cual es crucial en Web3».
¿Ha observado una reducción de falsos positivos o un ahorro de tiempo desde la incorporación de Zen?
Todavía no realizamos bloqueos automáticos, pero Zen nos ayuda a revisar posibles amenazas que podríamos haber pasado por alto antes. Nos proporciona una visión más clara sin añadir sobrecarga.
¿Cómo ha cambiado Aikido la forma en que Cube Labs aborda la seguridad y la gestión de vulnerabilidades?
Ahora tenemos SLAs que garantizan que las vulnerabilidades se parchean rápidamente. Aikido nos ayuda a comprender mejor los problemas y a decidir cómo abordarlos basándonos en el impacto real.
¿Hubo algún momento en que Aikido ahorró tiempo, estrés o riesgo a tu equipo?
“Durante un reciente ataque a la cadena de suministro, pudimos confiar en que estábamos a salvo de cualquier exploit. Eso fue transformador.”
Cómo ayuda Aikido con las crecientes exigencias regulatorias y de protección de datos?
Somos extremadamente cuidadosos con los datos de los usuarios, y Zen añade una capa adicional de protección y cumplimiento. Ayuda a garantizar que cumplimos nuestras promesas de seguridad a los usuarios.
¿Ha observado resultados medibles, como una remediación más rápida o menos vulnerabilidades pasadas por alto?
Todavía no en términos cuantificados, pero ya podemos ver que las cosas funcionan de manera más fluida y eficiente. Estamos dedicando menos tiempo a gestionar la seguridad y más tiempo a construir.
Si tuvieras que describir el impacto de Aikido en una frase, ¿cuál sería?
Aikido nos ha proporcionado una gran visión sobre posibles vulnerabilidades y la confianza de que estamos seguros en tiempos de crisis.
El resumen
Cube Labs opera en una de las industrias más atacadas del mundo, Web3, donde los fallos de seguridad pueden tener consecuencias financieras en segundos. Con Aikido, el equipo obtiene claridad, automatización y tranquilidad. Para Cube Labs, Aikido no es solo una herramienta. Es una red de seguridad que los mantiene protegidos mientras construyen el futuro de la web descentralizada.
