Finance Redefined: Un hackeo para derribar todo un mercado, del 10 al 17 de febrero

Finance Redefined es el boletín informativo centrado en DeFi de Cointelegraph, que se envía a los suscriptores todos los miércoles.

El hackeo de Alpha Homora y Cream Finance ha dejado una huella gigantesca en el espacio DeFi esta semana.

Es el hackeo individual más grande en la historia de DeFi con $37 millones en fondos robados. También es una de las más complejas, aparentemente aprovechando varias vulnerabilidades en Alpha Homora. Unos pocos controles de entrada faltantes en condiciones muy especializadas permitieron al hacker abusar del privilegio de Alpha Homora de pedir prestada una cantidad ilimitada de fondos del Iron Bank de Cream Finance. Por supuesto, los préstamos flash estaban involucrados, pero a diferencia de algunos hackeos anteriores como Harvest Finance, esto no parece haber sido una hazaña puramente económica.

• EE.UU. acusa a tres hackers norcoreanos de ser autores de criptoataques y del ransomware WannaCry

La noticia del hackeo tuvo un impacto muy negativo en los precios de todos los protocolos involucrados en el ataque, incluido Aave por alguna razón. Mirando de manera más general al DeFi Perp en FTX, hay un aumento claro justo el 13 de febrero cuando ocurrió el hack.

Quizás algo de eso es solo una acción normal del mercado, pero en general, parece que el truco puso fin a la temporada de DeFi por ahora.

Los auditores sienten el calor

Como cualquier protocolo que alcanza cualquier tipo de adopción masiva en la actualidad, Alpha Homora fue auditado por Quantstamp y PeckShield, ambas compañías calificadas y respetables.

Sin embargo, los detalles del hackeo llevaron a algunos a sospechar que fue un trabajo interno, potencialmente realizado por alguien de estas compañías de auditoría. El desarrollador principal de Yearn.finance, Banteg, mencionó cómo los detalles del ataque eran tan oscuros que era extremadamente improbable que alguien lo averiguara con solo mirar los contratos. En particular, el pool atacado por el pirata informático no se anunció y no se usó, que es lo que permitió que ocurriera el hackeo en primer lugar.

Si bien no hubo acusaciones públicas, el incidente provocó otra discusión sobre por qué los auditores no detectaron el error, si están debidamente incentivados y cómo se puede mitigar esta situación.

La anatomía de un complejo hackeo

Como ex cazarrecompensas de errores, realmente creo que el ecosistema de auditoría está tan "alineado con los incentivos" como puede ser. Las empresas de auditoría arriesgan su reputación cada vez que un error importante como este se les escapa. Suficiente de estos en rápida sucesión y ya nadie confiará en ese negocio. Los auditores tienen toda la motivación para encontrar todo lo que pueden, es solo que a veces, de manera realista, no pueden hacerlo.

• Los 3 principales protocolos de préstamo de DeFi superan los $20,000 millones en depósitos

Una auditoría es un contrato por tiempo limitado durante el cual un equipo de ingenieros de seguridad experimentados revisa el código en busca de cualquier cosa que parezca sospechosa. Las palabras clave aquí son "por tiempo limitado" y "en busca de cualquier cosa".

Puedo decir por experiencia personal que un fallo como el que hemos tenido ahora no es algo que se pueda encontrar casualmente mirando el código. Encontrar un error complejo de varios pasos como este es un proceso iterativo. Comienza cuando te tropiezas con esa cosa rara que no está actuando como debería. Por ejemplo, un sitio web que se olvida de verificar si realmente ha iniciado sesión cuando realiza una determinada tarea. Tomas esa pepita y te preguntas: "¿Cómo puedo aprovechar esto?" Se te ocurren ideas, recorres la plataforma en busca de otros puntos débiles y ves si puedes combinarlos de alguna manera. La mayoría de las veces no encuentras nada y ese punto débil permanece sin explotar.

Pero con días de trabajo concentrado, múltiples pruebas y errores, a veces se descubre cómo aprovechar el problema inicial. Cuando sucede, siempre se trata de una combinación de factores que, por sí solos, parecen irrelevantes, pero que en conjunto encajan en un desagradable rompecabezas.

El enfoque y la dedicación requeridos para encontrar la mayoría de los errores que resultaron en ataques importantes es algo que va más allá del alcance de una auditoría. Si fueran a perseguir cada pista con el tiempo que tenían, literalmente desperdiciarían tanto que no encontrarían las cosas obvias y fácilmente explotables. No quiere decir que los auditores nunca encuentren errores complejos, pero no es razonable esperar que encuentren todo. Y si un auditor realmente encontró el error Alpha Homora y lo retuvo, hay problemas más profundos en juego que los incentivos económicos.

Cómo proteger DeFi

Los problemas con las auditorías implican que los proyectos deben lanzar recompensas de errores para encontrar errores realmente complejos. No tienen límites de tiempo, muchos más ojos recorren la plataforma y el pago se basa en los resultados, mucho más eficiente que pagar a los auditores más horas de trabajo con la esperanza de que encuentren algo.

La mayoría comprende el poder de las recompensas de errores a estas alturas, aunque, por supuesto, Alpha Homora no tenía una. Pero proyectos como Yearn.finance sí, y de todos modos fueron hackeados.

• Binance Coin alcanza un nuevo máximo histórico en medio de una actividad explosiva en BSC

A veces estas cosas simplemente suceden. Las criptomonedas conllevan la problemática combinación de que explotar un fallo para obtener dinero y salirse con la suya es realmente fácil, mientras que la infraestructura no se parece a nada que los hackers hayan visto antes. Para empezar a buscar recompensas en DeFi, hay que ser un gran experto en criptos y un programador experimentado de Solidity/Vyper, cosas que no se consiguen inmediatamente. Para un white hat hacker, hay un montón de plataformas Web2 estándar que ofrecen recompensas muy competitivas, ¿por qué deberían molestarse en investigar DeFi?

La gente malinterpreta el desafío de asegurar protocolos. Alpha Homora dijo que cualquier recompensa que pudieran haber pagado habría palidecido en comparación con el botín en juego. Pero el objetivo no debería ser pagar a los piratas informáticos lo que puedan robar. Esa es una propuesta perdida. El objetivo es atraer a white hat hackers de buen corazón para que analicen el proyecto y se les pague una recompensa legal. Una recompensa que es menor que los millones que podrían obtener al explotar el error, pero que aún puede ser una recompensa que cambiará la vida. ¿Quizás algo como $50,000, $200,000, dependiendo de la situación? Es probable que sea menor que el costo de una auditoría realizada por una empresa de gran prestigio.

En otras noticias

• 1inch lanza otro "ataque de vampiros" a Uniswap al lanzar tokens gratuitos a (algunos de) sus usuarios.
• Una startup lanza una aplicación de yield habilitada para DeFi.
• Grayscale podría estar buscando establecer un fideicomiso de YFI. Para ser justos, muchos otros como SushiSwap o Chainlink también son candidatos.
• Proyectos destacados respaldan a GoodFi, una alianza educativa de DeFi.
• HiFi lanza un protocolo de préstamos a tipo de interés fijo.

Sigue leyendo:

• EE.UU. acusa a tres hackers norcoreanos de ser autores de criptoataques y del ransomware WannaCry
• Los 3 principales protocolos de préstamo de DeFi superan los $20,000 millones en depósitos
• Binance Coin alcanza un nuevo máximo histórico en medio de una actividad explosiva en BSC
• El crecimiento de los agregadores DeFi “va a eclipsar el volumen de 2020”
• Los delincuentes de criptos se llevaron $5,000 millones menos en 2020 al bajar la cantidad de estafas
• La consolidación del precio de Bitcoin supone que USD 48,000 es el nuevo nivel de soporte de BTC