Por qué los hackers de sombrero blanco son vitales para el ecosistema Cripto

El pasado fin de semana en ETHDenver,Jay Freemansubió al escenario para destacar su casiExplora de un error de mil millones de dólares dentro del código CORE de Optimism, BOBA y METIS, al que denominó " Optimism desenfrenado".

Freeman tiene una amplia trayectoria en desarrollo de software y piratería informática, destacando su papel crucial en el desarrollo de software para desbloquear iOS. Su experiencia ha demostrado ser invaluable en la industria de las Cripto de código abierto, al estilo del Viejo Oeste. Hace apenas dos semanas, una vulnerabilidad en un contrato inteligente dejó... Puente de agujero de gusano con un agujero de 350 millones de dólares por reparar, y eso T siquiera fue el La mayor hazaña de la historia recienteSin embargo, Freeman mencionó que los exploits de los puentes suelen detectarse rápidamente, ya que se utilizan con frecuencia y los equipos responsables de su mantenimiento los supervisan constantemente.

Sigue leyendo: Jump Trading frena la pérdida de 320 millones de dólares por el exploit de Wormhole

Durante la primera semana de febrero, Freeman descubrió un error crítico en la máquina virtual de Optimism, ONE que los desarrolladores podrían no haber estado preparados para corregir con la misma rapidez. El error se originó en Optimism. autodestrucciónfunción que permite destruir contratos y envía cualquier saldo restante de ether a una dirección designada.

Suena peligroso, entonces ¿por qué las cadenas de bloques contienen laautodestrucción¿Función? Esta función permite eliminar de la cadena contratos obsoletos o peligrosos, a la vez que devuelve el saldo de ether a su legítimo propietario.

A menos que haya un error, por supuesto.

El optimismoautodestrucciónLa función devolvía el saldo de ether a la dirección designada sin quemar el saldo dentro de un contrato. Según Freeman, «Esto significa que, cuando un contrato se autodestruye, su saldo se entrega al beneficiario y también se conserva». Si los atacantes lograran ejecutar el contrato, podrían crear un bucle que duplicara su saldo de OETH hasta que los desarrolladores de Optimism lo detectaran y lo solucionaran.

Freeman señaló que no fue la primera persona en encontrar el error después de escanear archivos anteriores.autodestrucción Llamadas a Optimism y rastreo de una billetera hasta un empleado de Etherscan. El empleado había encontrado y probado el error, pero aparentemente no comprendió la gravedad de la situación y lo dejó pasar. La vulnerabilidad empeoró con el tiempo a medida que se transferían más fondos a Optimism y otros sistemas de capa 2 copiaban el código implementado Optimism . Las redes de capa 2 son redes complementarias conectadas, pero funcionalmente separadas de la capa base.

En consecuencia, señaló Freeman, si no hubiera encontrado el error, una vulnerabilidad de acuñación habría permitido a un atacante duplicar sus fondos cada vez queautodestrucciónEsta función también se llamó en BOBA y METIS .

Sombreros blancos y DeFi

Incluso si el equipo de Optimism se hubiera percatado y hubiera pausado temporalmente las transacciones del puente a través del secuenciador <a href="https://community.optimism.io/docs/protocol/sequencing/">Optimism</a> durante un ataque teórico, un atacante podría haber causado estragos en las Finanzas descentralizadas (DeFi) de capa 2. Utilizando el OETH falsamente acuñado, cualquier atacante podría vaciar las plataformas de intercambio descentralizadas y explotar las plataformas de préstamos con garantías inútiles. El exploit probablemente habría causado daños irreparables en el ecosistema Ethereum y los usuarios de capa 2 podrían haber perdido todos sus fondos, sin activos al otro lado del puente. En conjunto, Optimism, BOBA y METIS tenían alrededor de 750 millones de dólares bloqueados en DeFi el día en que se reportó la vulnerabilidad, casi todos los cuales estaban en riesgo.

La necesidad de un adversarialismo amistoso

Las Finanzas descentralizadas siguen siendo una industria vulnerable, con fundadores anónimos, código abierto y miles de millones de dólares dispuestos a asumir riesgos. Esta enorme cantidad de capital ha creado un sistema de incentivos alineado con los equipos que construyen rápidamente y lanzan tokens.

Sigue leyendo: El problema del anonimato en Wonderland (y DeFi)

Por el contrario, la cautela y el profesionalismo resultan mucho menos atractivos para los operadores e inversores. La economía mundial ha experimentado una y otra vez el efecto de la asunción incesante de riesgos, aunque el mercado finalmente penaliza las decisiones abreviadas. No hay razón para pensar que este mismo resultado no se repetirá en las Cripto y las Finanzas descentralizadas, donde solo los protocolos más meticulosos saldrán airosos al final.

Freeman también ha reflexionado sobre el punto medio entre el principio de "Código es Ley" y la confianza de terceros. Planteó que las recompensas por errores son esenciales para incentivar a los buenos actores a buscar y encontrar vulnerabilidades. Al establecer la recompensa por ser un buen actor en una escala similar a la recompensa por ser un mal actor, esa escala inclina repentinamente los incentivos hacia el uso de sombrero blanco.

Como lo expresó Freedman, este tipo de “adversario amistoso” puede alentar a los participantes del ecosistema a ser más abiertos, honestos e incluso pesimistas respecto de las nuevas ideas.

Ese pesimismo es clave. Hoy en día, el entorno es quizás demasiado optimista, lo que entusiasma a los inversores y usuarios de DeFi con protocolos que podrían no funcionar nunca o incluso ser peligrosos. Esta falta de supervisión, combinada con la naturaleza del código abierto, crea el entorno perfecto para hackers y estafadores, un problema que gran parte de la industria de las Cripto no parece dispuesta a admitir.