Aldabear a un hack un exploit minimiza el error humano

Ayer, a partir de las 18:24 UTC, alguien o algo explotó una vulnerabilidad de seguridad en Wormhole, una herramienta que permite a los usuarios intercambiar activos entre Ethereum y una serie de cadenas de bloques, lo que resultó en la pérdida de 120 000 envolviendo ether (o wETH, con un valor aproximado de $ 321). millones) en la plataforma.

Este es el segundo ataque de finanzas descentralizadas (DeFi) más grande hasta la fecha, según la clasificación de rekt, en una industria donde las vulnerabilidades de seguridad son bastante comunes y parte de la curva de riesgo del usuario. Hay todo un negocio de revisiones de código, léxico de jerga específica de la industria para explicar lo que está pasando, y algo así como un libro de jugadas a seguir si inevitablemente ocurren «hacks».

Este artículo es de The Node, la colección diaria de CoinDesk de las historias más importantes en noticias de blockchain y criptomonedas. Puedes registrarte para llenarte boletín aquí.

Wormhole, además de detectar y corregir este error anteriormente, aparentemente trató de hacer lo correcto: cerró la plataforma para evitar más pérdidas, informó al público de lo que sabía y anunció que Jump Trading está en línea para reponer lo robado. monedas

Para saber mas: El agujero de gusano Blockchain Bridge sufre un posible exploit por valor de más de $ 326 millones

Además, en un movimiento que se está volviendo cada vez más común, Wormhole Deployer publicó un mensaje abierto al explotador en Ethereum ofreciéndole un «contrato de sombrero blanco» y $ 10 millones por una explicación del ataque a cambio de los fondos robados.

Disculpe la similitud, pero es como esperar a que un mago saque un conejo de un sombrero. El mundo está esperando a ver si se trata de un hacker de sombrero «blanco» o «negro», términos destinados a explicar las motivaciones de un hacker. Es probable que la realidad sea un poco más gris.

Hackear vs explotar

«Los piratas informáticos de sombrero negro son delincuentes que ingresan a las redes informáticas con intenciones maliciosas», según los expertos en seguridad de Kaspersky. Pueden usar malware, robar contraseñas o explotar código que está escrito por razones «autosuficientes» o tal vez «ideológicas». Los sombreros blancos, también conocidos como «hackers éticos» o «buenos hackers», son la «antítesis». «Aprovechan los sistemas informáticos o las redes para identificar sus fallas de seguridad y poder hacer recomendaciones para mejorar», escribe Kaspersky.

Debido a la forma en que están diseñadas las redes criptográficas, a menudo no está claro con quién está tratando. Los usuarios existen como largas cadenas de galimatías alfanuméricas y su pasado se reduce a una serie de transacciones vinculadas a su dirección.

Este sistema tiene algunas ventajas. Incluso si las plataformas no «conocen» a sus «clientes», todas las transacciones se registran en la cadena y cualquiera puede «verificar» qué monedas pertenecen a quién. Los exploits de DeFi a menudo son callejones sin salida: los intercambios, utilizados como rampas de entrada y salida de la criptoeconomía, pueden incluir en la lista negra los fondos robados, reduciendo la utilidad y el valor de esos tokens a cero.

Esto puede explicar por qué algunas de las principales hazañas tienen mentes que devuelven sus recompensas. Por ejemplo, en agosto pasado, el «hacker» de Poly Network, como se le llamaba, devolvió casi la totalidad de las criptomonedas robadas por un valor de $ 610 millones y pidió a las personas que vieran su hazaña como un «hack de sombrero blanco». conciencia de un bicho desastroso.

¿Podría ser esta la reescritura de la historia: una explicación post hoc para un ataque que finalmente salió mal? Podría volver a ocurrir: desconocemos los motivos del explotador de Wormhole, pero el equipo del puente parece estar pidiendo comerse el bicho a cambio de 10 millones de dólares.

En cierto modo, el sistema está configurado a favor de un atacante. Cuando alguien usa el código tal como está escrito, pero no según lo previsto, los tecnólogos lo llamarán un «exploit». El código tiene prioridad sobre la acción humana, por lo que los errores humanos, como la digitación gruesa de una mala transacción o la falta de una falla de seguridad, se explican como un proceso natural del código.

Un ataque se eleva al nivel de un «pirateo» solo cuando el código se reescribe o se rompe. Esta es una distinción tecnológica importante, aunque es probable que los términos provengan de la industria del juego, donde «hackear» un juego para obtener una ventaja injusta a menudo está mal visto mientras se jacta de «explotar» o encontrar lagunas en el juego.

Probablemente sea justo decir que este ataque reciente no fue parte de los planes o motivos de Wormhole Deployer. Aparentemente se cometió un error en el código, o no se encontró, y se están trabajando en soluciones. Podría indicar los «límites de seguridad fundamentales de los puentes», como señaló el cocreador de Ethereum, Vitalik Buterin, en una publicación de blog profética hace unas semanas.

El atacante llevó a cabo una serie de transacciones para que Wormhole acuñara falsamente el confuso «contrato inteligente» con ETH. Era una escapatoria que alguien con un conocimiento profundo y mucho tiempo podría explotar.

Algunas personas verán este ataque como una contribución al conjunto general de conocimientos sobre criptomonedas. Algunos incluso han afirmado que este proceso eventualmente podría conducir a un «código no pirateable», ya que cada contrato inteligente es una «recompensa de errores de un millón de dólares».

Por lo tanto, vale la pena preguntarse si el lenguaje utilizado por las criptomonedas para explicar su gran cantidad de vulnerabilidades (riesgos superpuestos a los riesgos) contribuye a la actividad de piratería en curso. O si a veces extraemos definiciones de sombreros.