El robo de $600 millones en POLY demuestra que DeFi necesita hackers para volverse invulnerable

El probable autor de ONE de los mayores robos de Cripto lo hizo por diversión. El martes, un hacker o grupo anónimo robó Cripto por valor de unos 600 millones de dólares de POLY Network, aparentemente para darle una lección a la plataforma multicadena (eso fue lo que dijeron en una sesión de preguntas y respuestas sobre sus motivaciones y planes).

Identificaron un error —o mejor dicho, una parte del código que les permitía transferirse dinero— y actuaron al respecto. Los desarrolladores no pretendían incluir un botón de "dinero gratis", pero estaba ahí, listo para ser explotado. Y, por fortuna, así fue: es un error más que (esperemos) no se repetirá.

Este artículo es un extracto de The Node, el resumen diario de CoinDesk con las noticias más importantes sobre blockchain y Cripto . Puedes suscribirte para recibir la información completa.boletín informativo aquí.

"¡No me interesa mucho el dinero! Sé que duele cuando atacan a la gente, pero ¿ no deberían Aprende algo de esos ataques?", publicó el explotador el miércoles en los datos de la blockchain de Ethereum . Al cierre de esta edición, se había devuelto aproximadamente la mitad de los fondos robados.

En realidad no me corresponde decir si lo son.verdaderamenteUn hacker de sombrero blanco o de sombrero negro que se dio cuenta de que sería imposible retirar su dinero. Por si sirve de algo,Tor Ekeland, un abogado que construyó su carrera defendiendo a malhechores informáticos, dijo: "El hackeo a menudo tiene más que ver con la emoción del hackeo que con cualquier objeto obtenido en el hackeo".

Los hackeos y exploits no son infrecuentes en el creciente y multimillonario ecosistema de Finanzas descentralizadas (DeFi), del cual POLY Network formaba parte. A menudo resultado de scripts diseñados apresuradamente o de fallos más profundos a nivel de protocolo, los ataques también son un factor clave para que cualquier red informática se vuelva más segura. Esto es doblemente cierto en el mundo de la cadena de bloques.

De hecho, algunos dirían que los hackeos generan código invulnerable. Es un punto controvertido, sobre todo porque los hackers no siempre devuelven los fondos robados y, sin duda, hay personas perjudicadas en el proceso.

Sigue leyendo: Una extorsión que salió mal: Las negociaciones de Binance con su filtrador de KYC

“En el mundo de blockchain, cuando alguien implementa un contrato inteligente, como en Ethereum , que tiene una vulnerabilidad, cientos de millones de dólares desaparecen de la noche a la mañana y no hay recurso”, dijo el legendario ex científico informático de Google y fundador de Agoric, dijo Mark Miller en una conferencia del Foresight Institute en2018Existen enormes recompensas por errores, efectivamente. Y cuando se cobra una de estas recompensas, el software con estas vulnerabilidades se cancela.

En otras palabras, los sistemas basados ​​en blockchain se enfrentan a una presión evolutiva. Los proyectos débiles se enfrentan a una "muerte prematura", por lo que todo el sistema se llena de código seguro.

La Tecnología blockchain lleva poco más de una década entre nosotros. Las DeFi, tal como las conocemos, son aún más recientes. Se puede argumentar que apenas estamos en las etapas iniciales de su adopción, y es probable que cometamos muchos más errores en el camino.

Los hackeos no son la única forma de que los proyectos o protocolos evolucionen. Se pueden construir cosas sencillas poco a poco, como en el caso de Bitcoin, que solo ha caído dos veces en sus 12 años de vida. Existen auditorías externas y un posible papel para los responsables políticos o los reguladores gubernamentales.

Pero buscar fallas en una base de código o encontrar explotadores después del hecho es como "cazar lobos", dijo Zooko Wilcox-O'Hearn, especialista en seguridad informática y creadora de Zcash, en un mensaje directo, tomando prestada una frase de Vitalik Buterin.

Él debería saberlo. En 2015, su empresa de auditoría, Least Authority, fue contratada por un grupo de desarrolladores para realizar una auditoría de seguridad de la red Ethereum , que pronto se lanzaría. Muchas de las vulnerabilidades que... encontró Se solucionaron algunos problemas, pero no el que tenía que ver con la “reentrada”, que permitía a las personas implementar contratos inteligentes que podían ser explotados.

Apenas unos años después, esa misma vulnerabilidad fue explotada en “El hackeo de DAO”, un problema de 55 millones de dólares que condujo a la polémica bifurcación entre Ethereum y Ethereum Classic. Al momento de presentar su informe, Least Authority incluso proporcionó un ejemplo hipotético de un contrato inteligente que podría ser explotado: un contrato inteligente de financiación colectiva, como The DAO.

Sigue leyendo: El hackeo de $55 millones que casi derriba a Ethereum | Matthew Leising

A medida que se acumula más dinero en los contratos inteligentes, será cada vez más difícil "cazar a los lobos" o a los explotadores individuales. Con los hackeos, comunidades enteras Aprende juntas qué debe y qué no debe repetirse. Con el tiempo, esto resulta en un código más "fiable". Es una forma de "proteger a las ovejas".

Si como humanos vamos a depender de las computadoras para que hagan cosas importantes por nosotros —¡y lo haremos!—, entonces necesitamos que esos programas sean invulnerables. Y a pesar del cinismo y la desesperación de mis colegas expertos en seguridad, ¡es realmente posible! —dijo Wilcox—.

Por cada programa como The DAO y POLY que fue explotado por tener una vulnerabilidad, se puede señalar otro programa que hizo lo mismo, pero no tenía esa vulnerabilidad. ¡Así que el progreso es posible!

ACTUALIZACIÓN (12 de agosto de 2021, 18:35 UTC):Corrige el nombre de Agoric. Lamentamos el error.