Un popular juego de blockchain llamado Axie Infinity ha sufrido lo que bien podría ser la mayor brecha de seguridad en la historia de las finanzas descentralizadas.
Un grupo de hackers falsificó la semana pasada retiros de fondos de la Red Ronin del juego, que perdió aproximadamente US$615 millones y dijo que estaba trabajando con las fuerzas del orden para recuperar los fondos y reembolsar a los jugadores, muchos de los cuales tuvieron que pagar cientos de dólares por adelantado para jugar. No está claro cuántos se vieron afectados. También ha pospuesto el lanzamiento de un juego similar para ganar dinero. El incidente apunta a un reto creciente para la Web3, el término que describe los servicios digitales basados en la tecnología blockchain. Una creciente lista de infracciones que se derivan en parte de errores en la escritura del código de Web3 está poniendo en entredicho una de las grandes promesas de blockchain (el mejoramiento de la seguridad) y frenando el avance de la tecnología hacia la aceptación generalizada.
El pasado mes de agosto, hackers robaron más de US$600 millones de un programa blockchain llamado Poly Network. Luego, en febrero, se robaron alrededor de US$320 millones de un llamado puente que permitía a la gente transferir criptoactivos entre dos populares redes de blockchain, solana y ethereum (XET). En ambos casos, la mayoría de los fondos, si no todos, fueron devueltos a los titulares originales. Pero DeFi, o el conjunto de redes blockchain que intentan servir de alternativa a los sistemas financieros tradicionales, se ha convertido en un objetivo atractivo para los hackers gracias a los miles de millones de dólares en diversas aplicaciones que también se ejecutan en gran medida de forma autónoma. (El dinero robado en el último hackeo no se había movido de la billetera de los atacantes en el momento de escribir este artículo).
Las cantidades perdidas a través de hackeos de proyectos DeFi se duplicaron con creces en 2021, según la firma de seguridad de criptomonedas CertiK. Una línea de tiempo en el sitio web de seguridad CryptoSec.Info enumera 83 violaciones reportadas de los servicios DeFi, con aproximadamente US$2.300 millones perdidos entre enero de 2020 y febrero de 2022.
Para aquellos que todavía estén dispuestos a invertir en Web3: prepárense para que los hackeos sigan. Un inversor de Sky Mavis, el desarrollador de Axie Infinity, ha dicho que el más reciente hackeo debería servir de advertencia a los inversionistas de capital riesgo sobre las debilidades de seguridad subyacentes en los servicios de blockchain, especialmente con los puentes.
Uno de los problemas de Ronin era que funcionaba fuera de la cadena, actuando como una capa más sobre la blockchain de ethereum para realizar transacciones de forma más rápida y barata. La contrapartida: una capa secundaria no es tan segura como la propia blockchain.
Ronin Network no dio muchos detalles en una entrada de su blog sobre la mecánica del hackeo, pero los atacantes pueden haber aprovechado la prisa por validar un gran número de transacciones a la vez, según Dan Hughes, fundador de la startup británica DeFi Radix. En otras palabras, los atacantes de Ronin pueden haber explotado una debilidad en los procesos de la red en lugar de un fallo aislado, lo que apunta a algunas de las dificultades más amplias de la construcción de aplicaciones basadas en la blockchain.
Muchos de los desarrolladores que crean aplicaciones para ethereum utilizan un lenguaje de programación llamado Solidity, que está diseñado para contratos inteligentes, un programa simple en una blockchain. Pero construir con Solidity es una de las formas más complejas de programación. Los programadores tienen que trazar sus pasos cuidadosamente y no tienen múltiples intentos para hacer algo bien. Cometer un error no sólo provoca un fallo, como podría ocurrir con un sitio o una aplicación en la web tradicional. Puede dar lugar a una vulnerabilidad de seguridad, y dado que los servicios financieros constituyen un número tan elevado de aplicaciones Web3, eso también puede poner en riesgo grandes sumas de dinero.
“A veces, algo tan simple como un error tipográfico puede ser explotado por hackers expertos”, dijo Hughes en un debate en Twitter Spaces la semana pasada con Bloomberg Opinion. Añadió el miércoles que parecía poco probable que un error de codificación con contratos inteligentes estuviera detrás de la causa de la brecha de seguridad de Ronin Network.
Aun así, una cadena recurrente de hackeos debería servir como llamada de atención para los posibles inversionistas, y para que las propias empresas de Web3 inviertan más en la seguridad de sus sistemas altamente complejos.
Hughes dice que en el desarrollo de la Web3 prevalece la cultura de “moverse rápido y romper cosas”. Esto podría ser cada vez más peligroso cuando los algoritmos mal diseñados causen la ruina financiera.
“El problema de los hacks es que si construyes un sistema seguro, hay cientos de miles de formas de hacerlo bien”, añade Hughes, aludiendo a un problema que afecta a la web 2.0 tanto como a la Web3. “Tienes que hacerlo bien siempre. Un hacker sólo tiene que acertar una vez”.
Esta nota no refleja necesariamente la opinión del consejo editorial o de Bloomberg LP y sus propietarios.
Este artículo fue traducido por Estefanía Salinas Concha.