¿Proteger y servir? El dilema de volver a emitir tokens DeFi pérdidos o bloqueados
El reciente hackeo del exchange KuCoin y el actual incidente de OKEx, durante el cual los retiros han sido congelados, han planteado preguntas sobre cómo los proyectos Blockchain con monedas negociadas en exchanges deben actuar cuando dichos exchanges son hackeados o los fondos están bloqueados.
Cuando se trata de proyectos como Tron, que sustituyeron los tokens que estaban en poder de OKEx, esas acciones son de esperar porque su trabajo se basa en un modelo de gobierno central. Sin embargo, ¿los proyectos son capaces de detener los contratos inteligentes o congelar los tokens si están realmente descentralizados?
¿Fue todo esto legal?
Elegir una estrategia para salvar los fondos de los usuarios en una situación de fuerza mayor puede ser un verdadero dilema para un proyecto cuyos tokens se comercializan en exchanges de criptomonedas. Realizar cualquier acción con fondos que pertenecen a otras personas es toda una responsabilidad, sobre todo cuando ocurre sin el consentimiento previo de esas personas.
Los incidentes ocurridos durante el mes pasado con KuCoin y OKEx – dos importantes exchanges – demostraron que los diferentes proyectos de DeFi tratan la seguridad de los fondos de los usuarios con diversos grados de responsabilidad. En respuesta al hackeo del 26 de septiembre de KuCoin, algunos proyectos congelaron los fondos, algunos implementaron un hard fork, y otros tomaron un enfoque de esperar y ver. Sólo un spoiler: Todas estas medidas pusieron en una lista negra el alijo de tokens robados de los hackers y ayudaron a los usuarios a recuperar sus fondos, un paso sin precedentes para la industria. Sin embargo, a algunas personas les desagrada que los proyectos tomen decisiones sin dar a la comunidad una opción.
Relacionado: OKEx permanece en silencio acerca de su repentina congelación de retiros de criptomonedas
En un intento por impedir que los hackers de KuCoin cobren los activos robados, los proyectos Blockchain impulsaron medidas para bloquear los tokens afectadas con una porción de suministro total que varía entre el 10% y el 40%. Velo, Orion, Noia y unos 30 proyectos más en total restauraron el acceso a las transacciones mediante la implementación de un intercambio de tokens, según los datos de KuCoin. Pero en realidad, no se trataba de intercambios de tokens en el sentido habitual del término, ya que los proyectos sustituyeron los tokens de los usuarios por otros nuevos.
El Protocolo Orion fue uno de los primeros proyectos en responder al anuncio del hackeo de KuCoin. En un intento por salvar 38 millones de tokens afectados por el incidente, el equipo del proyecto decidió volver a emitir tokens ORN uno a uno a través de un intercambio de tokens el mismo día que se anunció el hack. Este paso, según los fundadores del proyecto, hizo que la dirección del contrato anterior y los tokens fueran obsoletos. Alexey Koloskov, CEO de Orion, le dijo a Cointelegraph:
“Con efecto casi inmediato, los tokens ORN robados no tenían valor y tenían poco o ningún impacto en el mercado secundario. Trabajamos rápidamente para actualizar nuestra dirección de contrato inteligente en las listas oficiales de los exchanges y en los exchanges de auto-listado para asegurar que el comercio normal pudiera reanudarse lo antes posible”.
KardiaChain, otro proyecto de DeFi afectado por la violación de la seguridad de KuCoin, con un total de 10 millones de dólares de KAI desaparecidos, también tomó la medida de hacer obsoleta la dirección del contrato anterior y se sometió a un intercambio de tokens para eliminar cualquier riesgo de que los tokens de KAI robados se vendieran alguna vez en el mercado secundario. Astrid Dang, jefa de marketing y asociaciones de KardiaChain, explicó que como resultado de esta táctica, los tokens de los hackeos informáticos dejaron de tener valor, mientras que todas las demás direcciones de KAI fueron acreditadas con el nuevo token KAI en una nueva dirección del contrato.
Otros proyectos, como Covesting, optaron por medidas menos drásticas que no “afectaban a la inmutabilidad o a la descentralización del propio token”. Específicamente, Covesting bloqueó selectivamente las direcciones, dejando intactos los fondos de los usuarios.
También hubo proyectos como Synthetix y Compound que tenían usuarios que se vieron afectados como resultado del hackeo de KuCoin, pero que no bifurcaron sus contratos ni congelaron sus carteras. ¿Significa esto que están más descentralizados que otros? Tal vez, pero vale la pena señalar que la cantidad robada es relativamente menor, menos del 1% del suministro en circulación.
Todo está bien si termina bien
¿Los proyectos tenían otra opción? La pregunta se vuelve especialmente aguda cuando se considera la cuestión de la urgencia que se requiere en situaciones en las que hay grandes cantidades de dinero en juego. El hack de KuCoin sacudió todo el mercado, y muchos proyectos se enfrentaron a una elección: actuar o perder el control de una parte importante de sus fondos.
La proporción de tokens robados para algunos proyectos alcanzó el 40% de la oferta total, lo que significa que un atacante podría causar aún más daño manipulando el precio de las monedas. Koloskov, cuyo proyecto Orion tenía comprometido el 38% de su suministro ORN en circulación, dijo a Cointelegraph:
“Para evitar que el hacker se beneficie de la explotación a expensas de la comunidad ORN, no nos quedó más remedio que ejecutar un intercambio de tokens. Tomamos la decisión ejecutiva de detener inmediatamente el comercio, los depósitos y retiros en KuCoin, mientras que los depósitos se suspendieron temporalmente a través de otros socios de cotización oficial”.
Algunos proyectos no pudieron evitar la caída de los precios. OCEAN de Ocean Protocol perdió un 8%, según CoinGecko, cuando los hackers vendieron los tokens robados en lotes de 10.000 monedas. En un intento por evitar que los precios de las monedas cayeran aún más, el proyecto inició una bifurcación dura del contrato para revertir el hacking para cualquiera que decidiera adoptar la nueva versión del contrato.
¿Fue una acción que contradecía la inmutabilidad de la Blockchain? La respuesta es, posiblemente, tanto sí como no. Por un lado, si un proyecto puede hacer retroceder un contrato inteligente a su estado anterior, entonces puede hacerlo en cualquier momento para manipular los fondos del usuario. Por otro lado, si el equipo de Ethereum no hubiera implementado su famoso hard fork después del hack de The DAO en 2016, sus usuarios no habrían recuperado 16 millones de dólares.
Relacionado: El hackeo de KuCoin desempacado: Posiblemente fueron robadas más criptomonedas de lo que se temía en un principio
Para muchos proyectos, como KardiaChain, KuCoin era el principal mercado que aportaba liquidez a sus inversores y servía a sus usuarios y, por lo tanto, no podían permitir que el grueso de los fondos cayera en manos de los estafadores. Dang de KardiaChain dijo que un intercambio de tokens podría no ser la respuesta ideal a un hackeo, pero el hackeo de KuCoin era particularmente especial y único a su manera, ya que alguien conocía la llave privada y obtuvo el control total. Añadió:
“De hecho, dudamos, pero cuando vimos la transacción en la que los hackers probaron la transferencia de 10.000 KAI, decidimos poner en pausa el viejo contrato inteligente. Si esa cantidad fuera la totalidad de 524 millones de KAI, nos sentiríamos arrepentidos para siempre”.
El veredicto de la comunidad
Puede parecer que un intercambio de tokens puede ocurrir porque los proyectos controlan las tokens ERC-20 en la red de Ethereum. Pero los proyectos no pueden controlar los validadores de la red, por lo que los proyectos necesitan una sesión de votación para revertir los ataques maliciosos – así es como funcionan la descentralización y Blockchain.
En respuesta al hackeo de KuCoin, algunos proyectos tomaron medidas de inmediato, alegando que no tenían tiempo para esperar, mientras que otros pidieron a sus usuarios que dieran su opinión. A juzgar por los mensajes de Twitter, la mayoría de la comunidad apoyó las medidas de protección, aunque hubo bastantes críticas. Koloskov explicó que la iniciativa de Orion de implementar su intercambio de tokens fue sugerida por los usuarios:
“Cuando el primer proyecto en Kucoin respondió con el intercambio de tokens, el Orion Protocol, nuestra comunidad citó el enlace y sugirió que lo hiciéramos de la misma manera. De hecho, Kucoin ha sido inteligente al idear esta táctica y todos estuvimos en conversaciones para tomar la acción. Algunos de los proyectos vieron pérdidas al responder lentamente”.
Domantas Jaskunas, el cofundador de Noia, también afirmó que su proyecto recibió un “apoyo abrumador” para la solución, diciendo que “La alternativa simplemente no era una opción”. Hablando con Cointelegraph, añadió:
“Dado el tamaño del hack, todo el mundo, incluidos los que mantienen sus tokens de NOIA fuera de los exchanges se habría visto gravemente afectado de manera negativa.”
Dang de Kardiachain señaló que el hackeo de KuCoin es una situación única, única en su tipo, y es muy raro que tantos proyectos y exchanges afectados se pongan de acuerdo en un intercambio de tokens, lo cual no tiene precedentes: “Podemos ver que no siempre tenemos ese tipo de apoyo en este mundo cripto“.
La situación indicativa
En el momento de escribir esto, KuCoin ha reanudado el servicio completo de 130 tokens en la plataforma. Mientras tanto, los traders de criptomonedas siguen esperando que los retiros se reabran en OKEx. Parece que la comunidad cripto no ha estado tan unida desde el hack de The DAO. Sólo la exitosa cooperación entre exchanges y proyectos hizo posible la rápida identificación del hacker y evitó aún mayores pérdidas.
La evidencia disponible sugiere que no habría sido posible resolver rápidamente el problema sin interferir con la estructura de la Blockchain. Sin embargo, en el futuro, es probable que los proyectos y los usuarios puedan llegar a un consenso para resolver las cuestiones relativas a la seguridad de los fondos en el caso de situaciones de fuerza mayor. Iniciativas como el programa de salvaguardia ofrecido por KuCoin para apoyar a las instituciones y los usuarios afectados por incidentes de seguridad pueden hacer que este proceso sea más fluido y transparente para toda la industria.
Sigue leyendo: