Los hackeos siguen siendo habituales en el espacio de las criptomonedas; se han perdido más de USD 320 millones en activos digitales en el primer trimestre de 2023. Sin embargo, los hackeos recientes han demostrado que algunos explotadores están dispuestos a devolver activos a cambio de un premio, un proceso que algunos describen como un programa de recompensas por fallos con un toque delictivo. 

Sólo en abril se produjeron al menos tres incidentes de devolución de fondos explotados por hackers en el ámbito de las finanzas descentralizadas (DeFi). El 4 de abril, el equipo de Euler Finance pudo recuperar USD 176.4 millones tras ofrecer al hacker el 10% de los fondos robados.

Del mismo modo, el protocolo de préstamos Sentiment también pudo recuperar casi un millón de dólares en fondos robados tras negociar con el hacker. Más recientemente, el atacante que consiguió hacerse con USD 8.9 millones del protocolo DeFi SafeMoon aceptó devolver el 80% de los fondos.

Un miembro de la comunidad hace comentarios sobre los recientes hackeos. Fuente: Twitter

Aunque los recientes hackeos podrían haberse evitado mediante programas de recompensas por fallos seguros y rentables, es posible que las ofertas de recompensas no merezcan la pena desde la perspectiva de un hacker ético o de sombrero blanco.

Steven Walbroehl, cofundador de la empresa de seguridad Halborn, afirma que es muy habitual que las empresas se nieguen a pagar recompensas por fallos y no se tomen muy en serio las vulnerabilidades notificadas. Como antiguo cazador de recompensas, Walbroehl afirmó que algunos programas de recompensas le han hecho "sentirse estafado" en ocasiones. Explicó que:

“Poniéndose en la piel de un investigador, si encuentras un exploit que puede generar millones de dólares en fondos robados, pero el desarrollador sólo ofrece una recompensa de USD 5,000, puede crear un incentivo desproporcionado para no aceptar la recompensa.”

Walbroehl también dijo que las empresas a menudo restan importancia a los descubrimientos, diciendo que los fallos no son críticos. Según Walbroehl, informar de los fallos también lleva a veces a las empresas a no pagar, alegando que su equipo ya ha localizado el fallo por sí mismo.

Simon Zhu, director senior de producto de la firma de seguridad de blockchain CertiK, dijo que las plataformas realmente necesitan crear programas que sean seguros y rentables para los desarrolladores. Si bien la devolución de los fondos es una victoria, Zhu dijo a Cointelegraph que no sería una tendencia bienvenida, ya que los atacantes esencialmente están reteniendo los fondos como rehenes. Zhu explicó que:

“Los programas de recompensas por fallos de sombrero blanco claramente son preferibles en este caso. Las plataformas que no ofrezcan un programa de recompensas por fallos que permita la divulgación segura y rentable de vulnerabilidades pueden terminar pagando un precio mucho más alto.”

Además, Zhu también instó a los proyectos a cambiar su línea de pensamiento cuando se trata de vulnerabilidades. Según el ejecutivo de ciberseguridad, algunos equipos de desarrolladores tienden a ignorar fallos menores cuando los costes de solucionar el fallo son elevados o cuando el contrato inteligente se vuelve más complejo de modificar una vez solucionado el fallo.

Sin embargo, el ejecutivo de CertiK destacó que en Web3, una vulnerabilidad menor puede convertirse en una importante de la noche a la mañana. "Jugar a la gallina con los depósitos de los usuarios no es un enfoque responsable de la seguridad a largo plazo", añadió Zhu.

Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión

Sigue leyendo: