Aunque parecía que los hackeos de criptomonedas estaban disminuyendo, recientemente el mercado fue testigo de uno de los mayores ataques en la joven historia de las finanzas descentralizadas (DeFi), en el que un hacker desconocido fue capaz de explotar una laguna en el marco digital del protocolo de cadena cruzada Poly Network, llevándose así la increíble cantidad de USD 610 millones de tres cadenas de bloques diferentes.

Poly Network es un proyecto de colaboración dirigido por Ontology, Neo y Switcheo. Pretende fomentar una "alianza de protocolos de interoperabilidad heterogénea" que integre las cadenas de bloques en un ecosistema más amplio de cadenas cruzadas. Gracias a su infraestructura, el protocolo permite a los usuarios intercambiar tokens entre diferentes cadenas de bloques sin problemas.

El equipo de desarrolladores del núcleo de Poly Network ha revelado que el ataque ha supuesto la pérdida de aproximadamente USD 273 millones en Ethereum, USD 85 millones en USD Coin (USDC) de la red de Polygon y USD 253 millones de la Binance Smart Chain. Además, también se perdieron cantidades considerables de renBTC, wrapped Bitcoin (wBTC) y wrapped Ether (wETH) como parte del ataque.

En cuanto a cómo se produjo el hackeo, Anton Bukov, cofundador del agregador DeFi, 1inch Network, dijo a Cointelegraph que uno de los subsistemas de Poly Network, diseñado para ser capaz de reenviar las interacciones de los contratos inteligentes de los usuarios entre diferentes redes blockchain, resultó ser defectuoso, añadiendo:

"El hacker puenteó interacciones de transacciones falsas en una cadena para que el sistema contratara en otra, transfiriendo los derechos de propiedad de la bóveda de activos a la clave pública del hacker. Los desarrolladores y auditores de Poly Network no se percataron de la vulnerabilidad, que permitía múltiples llamadas arbitrarias de usuarios a través de un contrato inteligente con muchos privilegios".

Hackers de sombrero blanco

Proporcionando sus pensamientos sobre el asunto, John Jefferies, analista financiero jefe de CipherTrace, dijo a Cointelegraph que este incidente ha sido especialmente interesante en comparación con cualquier hackeo de DeFi del pasado, que normalmente utilizó una forma de préstamos flash y arbitraje para explotar un contrato inteligente y robar fondos, y agregó:

"El hacker encontró esencialmente un exploit que le permitía saltarse las claves privadas y hacer que el contrato se limitara a enviarse los fondos a sí mismo. En todo el intercambio que el hacker ha hecho en un esfuerzo por ofuscar su rastro, parece que el hacker había reutilizado en un momento dado una cartera que ya tenía transacciones anteriores con algunos exchanges prominentes que tendrían información de identificación sobre él".

Además, Jefferies no está del todo convencido de cuáles eran las intenciones del hacker, aunque todos los fondos robados ya están de vuelta donde deben estar. "Es improbable que un 'sombrero blanco' haya tomado las medidas necesarias para intentar ocultar el rastro de los fondos si siempre hubiera tenido la intención de devolver el dinero", opinó.

En un extraño pero interesante giro de los acontecimientos, poco después del incidente, el hacker de Poly Network realizó una autoentrevista al estilo Ask Me Anything, utilizando mensajes incrustados en las transacciones de Ethereum. Cuando se le preguntó por qué se había elegido la Poly Network como objetivo, el hacker respondió que "el hackeo entre cadenas está de moda", y añadió que había pasado mucho tiempo intentando identificar las vulnerabilidades de la red para atacarlas.

No sólo eso, el hacker afirmó que el plan nunca fue quedarse con los USD 610 millones, sino exponer la vulnerabilidad a las masas antes de que los desarrolladores de Poly Network pudieran corregir el fallo en secreto. "Me gustaría darles [a Poly Network] consejos sobre cómo asegurar sus redes, para que puedan optar a gestionar un proyecto de mil millones [de dólares] en el futuro". Además, añadió:

"Al detectar el fallo, tuve sentimientos encontrados. Pregúntate qué harías tú si te enfrentaras a una fortuna semejante. ¿Pedir educadamente al equipo del proyecto que lo solucione? Cualquiera podría ser el traidor si le dieran mil millones. ¡No puedo confiar en nadie! La única solución que se me ocurre es guardarlo en una cuenta de confianza".

Los fondos están de vuelta

Poly Network emitió un comunicado el jueves anunciando que todos los USD 610 millones de los fondos habían sido transferidos a una billetera multisig que está bajo su responsabilidad junto con el hacker. Los únicos tokens restantes incluyen USD 33 millones en Tether (USDT), que fueron congelados inmediatamente después de la noticia del ataque.

El hacker de Poly Network comenzó devolviendo una parte importante de los fondos robados al protocolo DeFi de cadena cruzada. De hecho, poco más de un día después del suceso, CipherTrace confirmó que al menos más de USD 265 millones habían sido devueltos a Poly Network en forma de un millón de dólares en USDC; USD 256.2 millones principalmente a través de Bitcoin BEP-2 (BTCB), Binance pegged-Ether y Binance USD (BUSD); YSD 2.637 millones en Binance Coin (BNB); y USD 3.4 millones en Shiba Inu (SHIB), renBTC y Fei.

Desde el principio, el atacante afirmó estar dispuesto a devolver la totalidad de los fondos robados (promesa que se cumplió este pasado jueves) alegando que la intención era dar una costosa lección a Poly sobre sus fallos de seguridad.

Sin embargo, Tom Robinson, científico jefe de la empresa de análisis blockchain Elliptic, opina que el cambio de opinión podría deberse a que al hacker le resultó extremadamente difícil blanquear/cobrar los activos robados debido a la transparencia de la tecnología Blockchain.

Sebastian Bürgel, fundador del protocolo de privacidad de datos basado en Ethereum, HOPR, dijo a Cointelegraph que, aunque los robos nunca son algo bueno, cree que es impresionante que la comunidad DeFi haya sido capaz de unirse, desde Tether, que congeló USD 33 millones en tokens USDT, hasta OKEx y Binance, que echaron una mano para controlar los fondos desviados, para evitar que el hacker retirara o intercambiara cualquiera de los activos implicados, y añadió:

"Esperemos que esto fomente una mayor atención a la seguridad y la auditoría. El entusiasmo de DeFi es contagioso, pero es importante recordar que hay un gran valor en juego. El deseo de avanzar rápidamente no puede estar por encima de la seguridad".

"No, gracias", dice "Mr. White Hat"

Después de determinar que los motivos del hacker eran completamente limpios, un portavoz de Poly Network dijo que la compañía estaba dispuesta a ofrecer al individuo, al que la compañía apodó "Mr. White Hat", una recompensa de USD 500,000 a través de un mensaje que decía: "Te enviaremos la recompensa de USD 500,000 cuando se devuelvan los fondos restantes excepto el USDT congelado".

Sorprendentemente, el hacker se negó educadamente, afirmando que nunca respondió a la oferta. "Les devolveré todo su dinero", dijo, despidiéndose.

Con todos los fondos de vuelta en su sitio, excepto el mencionado USDT congelado, parece que el mayor hackeo en la historia de las finanzas descentralizadas ha llegado finalmente a su fin. Y aunque la identidad del hacker sigue siendo un misterio, la empresa china de ciberseguridad SlowMist publicó recientemente una actualización en la que afirmaba que su equipo de seguridad había podido identificar la dirección de correo electrónico, la dirección IP y la huella digital del dispositivo del atacante.

Esperemos que este episodio sirva de severo recordatorio de que la seguridad debe ser siempre de suma importancia a la hora de sentar las bases de cualquier proyecto, independientemente de su propuesta tecnológica. Por lo tanto, será interesante ver cómo las startups y otras empresas que operan dentro de DeFi siguen evolucionando y actualizando sus configuraciones de seguridad existentes, porque la próxima vez, el hacker puede no estar dispuesto a devolver el dinero.

Sigue leyendo: