Los hackeos de criptomonedas en 2022 podrían haberse evitado si los desarrolladores tomaran medidas básicas de seguridad
La pérdida de fondos por parte de los usuarios debido a una actividad maliciosa no es algo desconocido en Ethereum. De hecho, es la misma razón por la que algunos investigadores han desarrollado recientemente una propuesta para introducir un tipo de token que sea reversible en caso de hackeo u otros comportamientos desagradables.
En concreto, la sugerencia contemplaría la creación de un ERC-20R y un ERC-721R, que serían versiones modificadas de los estándares que rigen tanto los tokens regulares de Ethereum como los tokens no fungibles (NFT, por sus siglas en inglés.
La premisa es la siguiente: este nuevo estándar permitiría a los usuarios realizar una “solicitud de congelación” de las transacciones recientes que bloquearía esos fondos hasta que un “sistema judicial descentralizado” determinara la validez de la transacción. Se permitiría a ambas partes presentar sus pruebas, y los jueces se elegirían al azar de un conjunto descentralizado para minimizar la colusión.
Al final del proceso, se llegaría a un veredicto y se devolverían los fondos o se quedarían donde están. Esta decisión sería entonces definitiva y no estaría sujeta a ninguna otra disputa. Esto abriría una vía práctica para que las víctimas de hackeos y otras actividades maliciosas recuperen sus activos de una manera directa y dirigida por la comunidad.
Desgraciadamente, esto bien puede ser una propuesta innecesaria y, en última instancia, perjudicial. Una de las piedras angulares de la filosofía descentralizada es que las transacciones solo van en una dirección. No pueden deshacerse bajo prácticamente ninguna circunstancia. Este nuevo cambio de protocolo socavaría ese precepto fundamental y para arreglar lo que no está roto.
So how does this work when an attacker steals ERC-20R and cashes out to ETH via a DEX in the same transaction? Or ERC-20R will be incompatible with the current DeFi ecosystem? https://t.co/n5pN82ZBBe
— Roman Semenov ️ (@semenov_roman_) September 25, 2022
Entonces, ¿cómo funciona esto cuando un atacante roba ERC-20R y cobra ETH a través de un DEX en la misma transacción? ¿O ERC-20R será incompatible con el actual ecosistema DeFi?
También está el hecho de que incluso la implementación de tales tokens sería una pesadilla logística. A menos que todas las plataformas se adapten al nuevo estándar, habría enormes lagunas en el sistema, lo que significaría que los ladrones podrían cambiar rápidamente sus activos reversibles por otros no reversibles y evitar las repercusiones por completo. Esto haría que todo el activo fuera completamente inútil, y lo más probable es que los usuarios simplemente no se comprometieran con él.
Además, toda la idea de una revisión judicial implica una centralización. ¿No es la independencia de un tercero exactamente para lo que se crearon las criptomonedas? La propuesta existente no es clara en cuanto a cómo se eligen estos jueces, aparte de que será “al azar”. Sin que el sistema esté cuidadosamente equilibrado, es difícil decir que la colusión o la manipulación sean imposibles.
Una propuesta mejor
En última instancia, la noción de un criptoactivo reversible puede ser bien intencionada, pero también es totalmente innecesaria. La premisa introduce muchas complejidades nuevas en cuanto a su integración real en los sistemas existentes, y eso incluso suponiendo que las plataformas quieran utilizarlo. Sin embargo, hay otras formas de lograr la seguridad en el ecosistema descentralizado que no socavan lo que hace que las criptomonedas sea tan poderosas para empezar.
Por un lado, la auditoría de todos los códigos de los contratos inteligentes de forma continua. Muchos problemas en las finanzas descentralizadas (DeFi) surgen de los exploits presentes en los contratos inteligentes subyacentes. Unas auditorías de seguridad exhaustivas e independientes pueden ayudar a encontrar dónde hay problemas potenciales antes de que estos protocolos se publiquen. Además, es importante tratar de entender cómo interactuarán varios contratos juntos cuando se pongan en marcha, ya que algunos problemas solo surgen cuando se utilizan en su hábitat natural.
Cualquier contrato implementado tendrá factores de riesgo que deben ser supervisados y defendidos. Sin embargo, muchos equipos de desarrollo no cuentan con una solución sólida de supervisión de la seguridad. A menudo, la primera señal de que algo problemático está ocurriendo viene de un diagnóstico on-chain. Las transacciones masivas o inusuales y otros patrones de transacción poco comunes pueden apuntar a un ataque que está ocurriendo en tiempo real. Ser capaz de detectar y entender estas señales es clave para estar al tanto de ellas.
Por supuesto, también es necesario contar con un sistema para documentar y registrar los eventos y comunicar la información más importante a las entidades correctas. Algunas alertas pueden enviarse al equipo de desarrolladores y otras pueden ponerse a disposición de la comunidad. Con una comunidad informada de esa manera, se puede mejorar la seguridad de una forma que se alinea con el ethos descentralizado en lugar de que quede relegada a una función de revisión judicial.
Veamos como ejemplo el hackeo de Ronin. El equipo detrás del proyecto tardó seis días en darse cuenta de que se había producido un ataque, y solo se dio cuenta cuando un usuario se quejó de que no podía retirar fondos. Si la red se hubiera supervisado en tiempo real, se podría haber respondido casi instantáneamente cuando se produjo la primera transacción grande y sospechosa. En cambio, nadie se dio cuenta durante casi una semana, lo que dio al atacante tiempo suficiente para seguir moviendo fondos y ocultar su historial.
Parece bastante obvio que los tokens reversibles no habrían ayudado mucho en esta situación, pero la monitorización podría haberlo hecho. Al momento en que se advirtió, muchas de las monedas robadas se habían transferido repetidamente a través de monederos y exchanges. ¿Podrían revertirse todas estas transacciones? Las complejidades introducidas, así como los posibles nuevos riesgos creados, hacen que este esfuerzo simplemente no merezca la pena. Sobre todo si se tiene en cuenta que ya existen poderosos mecanismos que pueden ofrecer un nivel similar de seguridad y responsabilidad.
En lugar de alterar la fórmula que hace que las criptomonedas sean tan potentes, tendría mucho más sentido implantar procesos de seguridad exhaustivos y continuos en toda la Web3 para que los activos descentralizados sigan siendo inmutables pero no estén desprotegidos.
Stephen Lloyd Webber es un ingeniero de software y autor con diversa experiencia en la simplificación de situaciones complejas. Le fascinan el código abierto, la descentralización y todo lo que tenga que ver con la blockchain Ethereum. Stephen trabaja actualmente en marketing de productos en Open Zeppelin, una empresa de tecnología y servicios de ciberseguridad de primer nivel, y tiene un MFA en escritura inglesa por la Universidad Estatal de Nuevo México.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
Sigue leyendo:
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.