Recortes en recompensas por bugs están preparando a las criptomonedas para hackeos de miles de millones de dólares

Opinión de: Mitchell Amador, fundador y CEO de Immunefi

La mejor defensa de las criptomonedas contra los hackeos catastróficos no es el código, sino los incentivos. Las recompensas por bugs han evitado miles de millones en pérdidas, y es importante recalcar que estos miles de millones podrían haber sido exploits, no revelaciones responsables, si los incentivos correctos no se hubieran establecido. Esta protección solo funciona cuando los incentivos para el comportamiento de sombrero blanco superan claramente a los de la explotación, y las tendencias actuales del mercado están inclinando ese equilibrio de formas peligrosas.

El estándar de recompensas por bugs escalables significa que el tamaño de la recompensa debe crecer con la cantidad de capital en riesgo. Si una vulnerabilidad pudiera drenar 10 millones de dólares, la recompensa debería ofrecer hasta 1 millón de dólares. Estos son incentivos que cambian la vida de los investigadores de seguridad para que revelen en lugar de explotar, y son rentables para los protocolos en comparación con la devastadora alternativa de ser hackeados. Este enfoque de escalabilidad protege protocolos completos de la destrucción y asegura el crecimiento continuo de las finanzas on-chain.

El problema es que la competencia del mercado está distorsionando estos incentivos. Algunas plataformas están ahora vinculando sus planes de servicio de menor coste a recompensas por bugs con límite, a veces no superiores a 50.000 dólares. Esta estructura de precios presiona a los protocolos a minimizar las recompensas y reducir los costes, creando las condiciones para el próximo hackeo catastrófico. 

Recompensas por bugs como mecanismos de defensa

El reciente hackeo de 12 millones de dólares de Cork Protocol ofrece un ejemplo revelador. El protocolo había fijado su recompensa crítica por bugs en solo 100.000 dólares, una fracción de los fondos en riesgo. Este desajuste crea un cálculo económico simple: ¿Por qué dedicar cientos de horas a encontrar una vulnerabilidad si la recompensa máxima es 120 veces inferior al valor del exploit? Tal cálculo no desanima la explotación; la fomenta.

Las recompensas por bugs son mecanismos de defensa críticos que solo funcionan cuando se alinean con el riesgo. Cuando los protocolos con decenas de millones en valor total bloqueado ofrecen recompensas de cinco cifras bajas, están apostando efectivamente a que los hackers elegirán la ética sobre la economía. Eso no es una estrategia, es una esperanza.

El estándar del millón de dólares existe por una razón

Los estándares de seguridad de las criptomonedas se forjaron a través de momentos de millones de dólares. MakerDAO estableció una recompensa de 10 millones de dólares que señalaba el valor de la protección. El pago de 10 millones de dólares de Wormhole después de un exploit crítico consolidó el precedente de que una seguridad significativa requiere incentivos significativos. Los investigadores de seguridad necesitan razones que cambien sus vidas para elegir la revelación en lugar de la destrucción en una industria donde los exploits pueden drenar tesorerías en minutos.

Este enfoque de escalabilidad ha demostrado funcionar. Cuando las vulnerabilidades críticas pueden afectar a millones en fondos de usuarios, las recompensas deben ofrecer recompensas proporcionales, típicamente alrededor del 10% del capital en riesgo. Esta economía ayuda a asegurar que los mejores investigadores permanezcan en el ecosistema y se mantengan motivados para informar sobre vulnerabilidades.

Las fuerzas del mercado están creando precedentes peligrosos

La carrera por capturar cuota de mercado ha llevado a algunas plataformas a competir en precio en lugar de en resultados de seguridad. Al vincular las tarifas de la plataforma a las recompensas por bugs con límite, crean una estructura de incentivos perversa; los protocolos eligen recompensas más bajas para minimizar los costes, no porque el riesgo lo justifique, sino porque los precios lo fomentan. Esto es un malentendido fundamental de lo que son las recompensas por bugs. No son solo gastos; son pólizas de seguro cuyo valor debe escalar con lo que protegen.

Peor aún, algunas plataformas de seguridad ahora requieren contratos de exclusividad que restringen dónde pueden trabajar los investigadores. Otras permiten la revisión de precios posterior a la revelación que socava la confianza del investigador. Estas prácticas erosionan el contrato social que hace que las recompensas por bugs sean efectivas en primer lugar. Si los investigadores cualificados pierden la confianza en la equidad del sistema, tienen tres opciones: dejar de buscar, pasar a auditorías privadas o desaparecer.

El resultado es un efecto paralizante: Los protocolos limitan las recompensas para reducir costes. Los investigadores se retiran porque el beneficio no vale el esfuerzo. Las vulnerabilidades críticas pasan desapercibidas. Los exploits ocurren. Los protocolos recortan aún más los presupuestos de seguridad. Es una espiral de muerte que no beneficia a nadie excepto a los actores maliciosos.

Una advertencia de Web2

Los paralelismos con los fracasos de las recompensas por bugs en Web2 son preocupantes. Allí, el pago insuficiente crónico y el maltrato a los investigadores llevaron a muchos sombreros blancos cualificados a abandonar por completo los programas públicos. Las criptomonedas no pueden permitirse cometer el mismo error, no cuando billones en valor se están preparando para moverse on-chain y las instituciones están observando de cerca.

Algunos argumentan que los equipos en etapas tempranas no pueden permitirse grandes recompensas. La verdad es, sin embargo, que el coste de un hackeo exitoso siempre superará el de una recompensa por bugs bien alineada. Perder fondos es caro. Perder la confianza es fatal.

El camino a seguir requiere coordinación de la industria

Proteger la infraestructura de seguridad de las criptomonedas requiere reconocer que las recompensas por bugs operan sobre la confianza y los incentivos. Cada programa con precio insuficiente debilita el contrato social que mantiene a los investigadores cualificados en el lado correcto de la ley.

La solución no es radical. Mantén las recompensas por bugs que reflejen el riesgo real. Asegura un trato transparente y justo a los investigadores. Resiste la tentación de tratar la seguridad como un centro de coste en lugar de un generador de valor. 

Fundamentalmente, las plataformas deben dejar de incentivar a los protocolos a escatimar en su propia defensa.

La economía descentralizada solo funciona cuando la confianza escala con ella. Si queremos que las criptomonedas sigan creciendo, con la confianza de usuarios, reguladores e instituciones por igual, necesitamos sistemas de recompensas por bugs que tengan sentido, no solo en papel, sino en la práctica. Las criptomonedas prosperan solo en la medida en que sus defensores tienen el poder de actuar.

Opinión de: Mitchell Amador, fundador y CEO de Immunefi.

Este artículo es solo para fines de información general y no pretende ser ni debe ser tomado como asesoramiento legal o de inversión. Las opiniones, pensamientos y puntos de vista expresados aquí son únicamente los del autor y no reflejan ni representan necesariamente las opiniones y puntos de vista de Cointelegraph.