Acerca de los hackers quedándose con las criptomonedas robadas: ¿Cuál es la solución a largo plazo?
A pesar de que la actual saga Binance-FTX sigue siendo el tema principal de conversación en el ámbito de las criptomonedas, ha habido una tendencia creciente —inquietante, por cierto— que ha estado acaparando la atención de muchos entusiastas de la moneda digital en los últimos meses, y se refiere a los hackers que devuelven fondos parciales por descubrir exploits dentro de un protocolo.
En este sentido, hace poco, los malos actores detrás del ataque de 14.5 millones de dólares de Team Finance revelaron que se les permitiría quedarse con el 10% de los fondos robados como recompensa. Del mismo modo, Mango Markets, una red de finanzas descentralizadas (DeFi) basada en Solana que recientemente sufrió un exploit por valor de más de 110 millones de dólares, reveló que su comunidad de patrocinadores estaba trabajando para alcanzar un consenso, que permitiría al hacker recibir 47 millones de dólares como recompensa por exponer el exploit.
Dado que esta tendencia continúa ganando cada vez más impulso, Cointelegraph se puso en contacto con varios observadores de la industria para examinar si tal práctica es saludable para el crecimiento continuo del mercado de activos digitales, especialmente en el largo plazo.
Una buena práctica, por ahora
Rachel Lin, cofundadora y CEO de SynFutures —un exchange de criptoderivados descentralizado— dijo a Cointelegraph que, por un lado, el hábito de animar a los “black hatters” a convertirse en “white hat” anima a la industria a elevar sus estándares de buenas prácticas, pero no deja de ser algo común el que los protocolos populares sean bifurcados o simplemente copiados y pegados, dejándolos repletos de errores ocultos. Y añadió que:
“Sería un error decir que esto es saludable cuando, en un mundo ideal, solo habría hackers white hat. Pero la transición que estamos viendo en la que los hackers están devolviendo parte de los fondos, a diferencia de antes, es un importante paso adelante, especialmente en tiempos delicados como estos, en los que cada vez está más claro que muchos proyectos y exchanges están conectados y podrían afectar al ecosistema en su conjunto”.
En una nota algo similar, Brian Pasfield, director técnico del mercado monetario descentralizado Fringe Finance, dijo a Cointelegraph que, aunque la idea de dar a los hackers una fracción del dinero que se llevan por descubrir lagunas puede considerarse insana y casi insostenible, el hecho del asunto sigue siendo que, en última instancia, los proyectos hackeados no tienen otra opción que utilizar este enfoque. “Es una alternativa mejor que recurrir a las fuerzas del orden para atrapar a los autores y recuperar los fondos, lo que lleva mucho tiempo, si es que tiene éxito”, añadió.
Hablando más técnicamente, Slava Demchuk, cofundador de AMLBot, la firma de cumplimiento cripto, dijo a Cointelegraph que como todo está on-chain, todas las acciones de un hacker son rastreables, tanto que el hacker tiene casi un 0% de posibilidades de usar los activos digitales obtenidos ilegalmente. Y añadió que:
“Cuando los hackers aceptan devolver parte de estos fondos robados, el proyecto no solo no suele perseguir al hacker, sino que incluso le permite poder utilizar el resto de los fondos de forma legal”.
Por último, Jasper Lee, jefe de tecnología de auditoría en SOOHO.IO, una firma de auditoría de criptomonedas para varias empresas de Fortune 500, dijo que este tipo de comportamiento de white hat podría ser saludable para la industria de blockchain a largo plazo, ya que proporciona la oportunidad de identificar las vulnerabilidades dentro de los protocolos DeFi antes de que se vuelvan demasiado grandes.
Además, dijo a Cointelegraph que en las industrias que no son blockchain, incluso si un hacker encuentra una vulnerabilidad en un código determinado, es difícil para ellos hacer pública esa información porque podría causar graves problemas legales. “En el hacking tradicional, es muy raro que un hacker devuelva los fondos que ha tomado, ya que hacerlo probablemente revelaría su identidad”, dijo Lee.
No todos están de acuerdo
David Carvalho, director general de Naoris Protocol, un ecosistema de ciberseguridad distribuida, declaró en términos inequívocos que permitir que los hackers se queden con los fondos de esa manera no solo socava toda la ética de un sistema financiero descentralizado, sino que promueve un comportamiento que fomenta la desconfianza.
“Eso no puede seguir viéndose como algo tolerable a ningún nivel. Los fundamentos de un sistema financiero seguro y equitativo no cambian”, dijo a Cointelegraph, y añadió: “La premisa de que la única manera de resolver el problema de la piratería es hacer que el problema sea parte de la solución es fatalmente defectuosa. Puede arreglar una pequeña grieta durante un corto período de tiempo, pero la grieta seguirá creciendo bajo el peso de las endebles soluciones y dará lugar a un mercado desestabilizado“.
Tim Bos, cofundador y presidente de ShareRing 0ùun ecosistema basado en blockchain que ofrece soluciones de identidad digital— se ha hecho eco de un sentimiento similar y opina que se trata de una práctica terrible. “Es similar a pagar a los delincuentes que tienen a la gente como rehén. Lo único que hace esto es que los hackers se den cuenta de que pueden cometer un gran delito, ser recompensados por ello y que luego no haya repercusiones“, dijo a Cointelegraph.
Carvalho señaló que el hecho de que un hacker sea lo suficientemente amable como para devolver parte de los fondos no lo convierte en una buena práctica, ya que estos episodios siguen provocando que las personas y las plataformas DeFi pierdan mucho dinero.
“No podemos permitirnos asociar las finanzas descentralizadas con nefastos arreglos de seguridad. Para una adopción masiva por parte de empresas y particulares, necesitamos que los sistemas de seguridad de los ecosistemas Web2 y Web3 sean de confianza y a prueba de hackers. Que una cohorte de hackers lleve ostensiblemente la voz cantante en el ámbito de la ciberseguridad es, como mínimo, una locura, y no contribuye a promover el sector”, afirma.
¿Esto supone un mal precedente para el sector?
Lin señaló que incluso entre las empresas tradicionales de la Web2 —como las FAANG de este mundo-— se incentiva a los hackers para que descubran fallos y exploits de día cero a cambio de ciertos incentivos. Sin embargo, esto suele ir acompañado de requisitos estrictos y el hecho de que los hackers white hat descubran estas lagunas se considera saludable para el ecosistema. Señaló que:
“Los grandes exploits o descubrimientos suelen poner en alerta al sector en su conjunto y a los equipos de seguridad internos. Pero es una pendiente resbaladiza. Diría que habría que definir qué es un hacker “white hat”. Por ejemplo, ¿se podría considerar hacker white hat a un pirata informático que se ve acorralado y devuelve a regañadientes solo el 10% de los fondos?”
Lee cree que estos gordos cheques de pago pueden servir como un importante impulso para que los white hats lleven a cabo más estratagemas de este tipo. Sin embargo, señaló que en lugar de ver cómo el 100% de los fondos de un protocolo son pirateados o desaparecen definitivamente, siempre es mejor para los usuarios del protocolo que se recupere una parte de los fondos asignados.
En una nota más optimista, Demchuk señaló que el mercado DeFi está impulsado por la comunidad y, por lo tanto, este tipo de acciones podrían ser vistas de forma positiva, ya que a menudo se pide a los propios hackers que trabajen para los proyectos a los que les practicaron el exploit, haciendo que sus actividades sean pruebas de penetración en la vida real.
¿Cuál es la solución?
No es ningún secreto que una gran parte del ecosistema Web3 (y sus soluciones de ciberseguridad asociadas) sigue funcionando con la arquitectura Web2 de ayer, lo que las hace muy centralizadas. En opinión de Carvalho, este es el elefante en la habitación del que la mayoría de las plataformas Web3 no quieren hablar. Considera que si no se resuelven estos problemas urgentes utilizando soluciones descentralizadas, los estándares de ejecución y publicación de contratos inteligentes no cambiarán ni mejorarán fundamentalmente, y añade que:
“Este tipo de infracciones seguirán ocurriendo porque no hay responsabilidad ni criminalización de la actividad de hacking. Creo que un enfoque de ‘solo paga al hacker’ va a aumentar el riesgo para DeFi y otras plataformas centralizadas/descentralizadas porque las debilidades fundamentales no se resuelven”.
Bos señaló que el problema central aquí no es el hackeo o las falsas recompensas que están premiando a los hackers, sino una aparente falta de auditorías, procesos de seguridad de calidad y revisiones de riesgo, especialmente de aquellos proyectos que tienen en sus arcas millones de dólares en criptoactivos.
- Reciente: Colapso de FTX: El momento Lehman Brothers de la industria de las criptomonedas
“Los bancos establecidos son prácticamente imposibles de hackear porque gastan mucho dinero en revisiones de seguridad, auditorías de riesgo, etc. Necesitamos ver el mismo nivel de supervisión técnica en la industria de las criptomonedas“, concluyó.
Por lo tanto, mientras nos dirigimos a un futuro impulsado cada vez más por las tecnologías descentralizadas, se puede decir que los hackers simplemente están demostrando cuánto trabajo debe realizar el sector de las criptomonedas en su conjunto en sus prácticas de seguridad.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
Sigue leyendo: