A pesar de que la saga Binance-FTX en curso continúa dominando las ondas criptográficas, ha habido una tendencia creciente, incómoda, que ha llamado la atención de muchos entusiastas de las monedas digitales en los últimos meses, es decir, piratas informáticos que devuelven fondos parciales para descubrir exploits dentro de un protocolo.
En este sentido, recientemente, los malos actores detrás del ataque de $14.5 millones de Team Finance revelaron que se les permitiría permanecer en posesión del 10% de los fondos robados como recompensa. Del mismo modo, Mango Markets, una red de finanzas descentralizadas (DeFi) con sede en Solana que recientemente se explotó por una suma de más de $ 110 millones, reveló que su comunidad de patrocinadores estaba trabajando para llegar a un consenso, uno que permitiría que el pirata informático recibiera $ 47 millones como recompensa por exponer el exploit.
A medida que esta tendencia sigue ganando cada vez más fuerza, Cointelegraph contactó a varios observadores de la industria para examinar si tal práctica es saludable para el crecimiento continuo del mercado de activos digitales, especialmente a largo plazo.
Una buena práctica, por ahora.
Rachel Lin, cofundadora y directora ejecutiva de SynFutures, un intercambio de criptoderivados descentralizado, le dijo a Cointelegraph que, por un lado, el hábito de alentar a los «sombrereros negros» a convertirse en «sombrero blanco» alienta a la industria a elevar sus estándares de mejores prácticas, pero Todavía no es raro que los protocolos populares se bifurquen o simplemente se copien y peguen, dejándolos repletos de errores ocultos. Ella añadió:
“Seríamos negligentes si decimos que esto es saludable donde, en un mundo ideal, solo habría hackers de sombrero blanco. Pero la transición que estamos viendo en la que los piratas informáticos están devolviendo parte de los fondos, lo que antes no era el caso, es un gran paso adelante, particularmente en tiempos sensibles como estos, donde se vuelve más claro que muchos proyectos e intercambios están conectados y podrían impactar el ecosistema en su conjunto”.
En una nota algo similar, Brian Pasfield, director técnico del mercado monetario descentralizado Fringe Finance, le dijo a Cointelegraph que si bien la idea de dar a los piratas informáticos una fracción del dinero que se llevan para descubrir lagunas puede verse como poco saludable y casi insostenible, el hecho el asunto sigue siendo que, en última instancia, los proyectos pirateados no tienen más remedio que utilizar este enfoque. “Esta es una mejor alternativa que recurrir al enfoque de las fuerzas del orden público para atrapar a los perpetradores y recuperar los fondos, lo que lleva mucho tiempo, si es que tiene éxito”, agregó.
Reciente: ¿Qué puede hacer blockchain para aumentar la longevidad humana?
Hablando de manera más técnica, Slava Demchuk, cofundadora de la firma de cumplimiento de criptomonedas AMLBot, le dijo a Cointelegraph que dado que todo está en cadena, todas las acciones de un pirata informático son rastreables, tanto que el pirata informático tiene casi un 0% de posibilidades de usar ilegalmente. activos digitales obtenidos. Añadió:
“Cuando los piratas informáticos aceptan devolver algunos de estos fondos robados, el proyecto no solo no suele procesar al pirata informático, sino que incluso les permite utilizar los fondos restantes legalmente”.
Por último, Jasper Lee, líder de tecnología de auditoría en SOOHO.IO, una empresa de auditoría criptográfica para varias empresas de Fortune 500, dijo que este tipo de comportamiento de sombrero blanco podría ser saludable para la industria de la cadena de bloques a largo plazo, ya que brinda la oportunidad de identificar vulnerabilidades. dentro de los protocolos DeFi antes de que se vuelvan demasiado grandes.
Además, le dijo a Cointelegraph que en las industrias que no pertenecen a la cadena de bloques, incluso si un pirata informático encuentra una vulnerabilidad en un código determinado, es difícil para ellos hacer pública esa información porque podría causar graves problemas legales. “En la piratería tradicional, es muy raro que un pirata informático devuelva los fondos que ha tomado, ya que hacerlo probablemente revelaría su identidad”, dijo Lee.
no todos están de acuerdo
David Carvalho, CEO de Naoris Protocol, un ecosistema de ciberseguridad distribuido, afirmó en términos inequívocos que permitir que los piratas informáticos mantengan los fondos de tal manera no solo socava todo el espíritu de un sistema financiero descentralizado, sino que promueve un comportamiento que fomenta la desconfianza.
“No se puede seguir viendo como algo que se debe tolerar en ningún nivel. Los fundamentos de un sistema financiero seguro y equitativo no cambian”, dijo a Cointelegraph, y agregó: “La premisa de que la única forma de resolver el problema de la piratería es hacer que el problema sea parte de la solución es fatalmente errónea. Puede arreglar una pequeña grieta por un corto período de tiempo, pero la grieta continuará creciendo bajo el peso de las soluciones endebles y dará como resultado un mercado desestabilizado”.
Tim Bos, cofundador y presidente de ShareRing, un ecosistema basado en blockchain que proporciona soluciones de identidad digital, se hace eco de un sentimiento similar y cree que esta es una práctica terrible. “Es similar a pagar a los criminales que mantienen a la gente como rehén. Todo lo que hace es que los piratas informáticos se den cuenta de que pueden cometer un gran delito, ser recompensados por ello y luego no hay repercusiones”, dijo a Cointelegraph.
Carvalho señaló que el hecho de que un pirata informático sea lo suficientemente amable como para devolver parte de los fondos no lo convierte en una buena práctica, ya que estos episodios aún hacen que las personas y las plataformas DeFi pierdan mucho dinero.
“No podemos darnos el lujo de asociar las finanzas descentralizadas con arreglos de seguridad nefastos. Para la adopción masiva por parte de empresas e individuos, necesitamos que los sistemas de seguridad en los ecosistemas Web2 y Web3 sean confiables y a prueba de piratería. Tener una cohorte de piratas informáticos aparentemente tomando las decisiones en el espacio de la ciberseguridad es una locura, por decir lo menos, y no hace nada para promover la industria”, dijo.
¿Estableciendo un mal precedente para la industria?
Lin señaló que incluso entre las empresas tradicionales de Web2, como las FAANG de este mundo, los piratas informáticos tienen incentivos para descubrir errores y vulnerabilidades de día cero a cambio de ciertos incentivos. Sin embargo, esto a menudo viene con requisitos estrictos y hacer que los hackers de sombrero blanco descubran estas lagunas se considera saludable para el ecosistema. Ella señaló:
“Los grandes exploits o descubrimientos suelen poner en alerta a la industria en su conjunto y a los equipos de seguridad internos. Pero es una pendiente resbaladiza. Yo diría que tendríamos que definir qué es un hacker de ‘sombrero blanco’. Por ejemplo, ¿podría considerar a un pirata informático que está acorralado y de mala gana devuelve solo el 10% de los fondos como un pirata informático de sombrero blanco?
Lee cree que estos jugosos cheques de pago pueden servir como un ímpetu significativo para que los sombreros blancos lleven a cabo más estratagemas de este tipo. Sin embargo, señaló que en lugar de ver el 100% de los fondos de un protocolo siendo pirateados o desapareciendo para siempre, siempre es mejor para los usuarios del protocolo que se recupere una parte de los fondos apropiados.
En una nota más optimista, Demchuk señaló que el mercado de DeFi está impulsado por la comunidad y, por lo tanto, tales acciones podrían verse de manera positiva, ya que a menudo se les pide a los piratas informáticos que trabajen para los proyectos que explotaron, haciendo que sus actividades sean pruebas de penetración de la vida real.
¿Cual es la solución?
No es ningún secreto que una gran parte del ecosistema Web3 (y sus soluciones de ciberseguridad asociadas) todavía se ejecuta en la arquitectura Web2 de ayer, lo que los vuelve altamente centralizados. Este, en opinión de Carvalho, es el elefante en la habitación del que la mayoría de las plataformas Web3 no quieren hablar. Él cree que si estos problemas apremiantes no se resuelven utilizando soluciones descentralizadas, los estándares para la ejecución y publicación de contratos inteligentes no cambiarán ni mejorarán fundamentalmente, y agrega:
“Este tipo de infracciones continuarán ocurriendo porque no hay rendición de cuentas ni criminalización de la actividad de piratería. Creo que un enfoque de ‘simplemente pague al hacker’ aumentará el riesgo para DeFi y otras plataformas centralizadas/descentralizadas porque las debilidades fundamentales no se resuelven».
Bos señaló que el problema central aquí no es la piratería o las recompensas falsas que recompensan a los piratas informáticos, sino una aparente falta de auditorías, procesos de seguridad de calidad y revisiones de riesgos, especialmente de aquellos proyectos que tienen en sus arcas millones de dólares en criptomonedas. activos.
Reciente: Colapso de FTX: el momento Lehman Brothers de la criptoindustria
«Los bancos establecidos son prácticamente imposibles de piratear porque gastan mucho dinero en revisiones de seguridad, auditorías de riesgo, etc. Necesitamos ver el mismo nivel de supervisión técnica en la industria de la criptografía», concluyó.
Por lo tanto, a medida que nos dirigimos hacia un futuro impulsado cada vez más por tecnologías descentralizadas, se puede decir que los piratas informáticos simplemente están demostrando cuánto más trabajo necesita el sector de la criptografía en su conjunto en sus prácticas de seguridad.