Llamar exploit a un ataque minimiza el error Human

Ayer, a partir de las 18:24 UTC, alguien o algo explotó una vulnerabilidad de seguridad en Wormhole, una herramienta que permite a los usuarios intercambiar activos entre Ethereum y varias cadenas de bloques, lo que resultó en la pérdida de 120.000 ether envueltos (o wETH, con un valor de aproximadamente 321 millones de dólares) en la plataforma.

Este es el segundo ataque de Finanzas descentralizadas (DeFi) más grande hasta la fecha, según tabla de clasificación de rektEn una industria donde las vulnerabilidades de seguridad son bastante comunes y forman parte de la curva de riesgo de los usuarios, existe todo un negocio basado en revisiones de código, un léxico de jerga específica de la industria para explicar lo que sucede y una especie de manual de estrategias a Síguenos en caso de que ocurran ataques informáticos.

Este artículo es un extracto de The Node, el resumen diario de CoinDesk con las noticias más importantes sobre blockchain y Cripto . Puedes suscribirte para recibir la información completa. boletín informativo aquí.

Wormhole, además de detectar y corregir este error antes, aparentemente intentó hacer lo correcto: cerraron la plataforma para evitar más pérdidas, notificaron al público lo que saben y anunciaron que Jump Trading está en línea parareponer las monedas robadas.

Sigue leyendo: El agujero de gusano del puente blockchain sufre un posible exploit con un valor de más de 326 millones de dólares

Además, en un movimiento que se está volviendo cada vez más común, Wormhole Deployer ha publicado un mensaje abierto al explotador en Ethereum ofreciéndoles un "acuerdo de sombrero blanco" y 10 millones de dólares por una explicación del ataque a cambio de los fondos robados.

Disculpen la comparación, pero esto es como esperar a que un mago saque un conejo de una chistera. El mundo está esperando a ver si se trata de un hacker de sombrero blanco o de sombrero negro, términos que buscan explicar las motivaciones de un hacker. La realidad probablemente sea un poco más ambigua.

Hacks vs. exploits

Según los expertos en seguridad de Kaspersky, los hackers de sombrero negro son delincuentes que irrumpen en las redes informáticas con intenciones maliciosas. Pueden usar malware, robar contraseñas o explotar el código tal como está escrito por motivos egoístas o incluso ideológicos. Los hackers de sombrero blanco, también conocidos como hackers éticos o hackers de confianza, son la antítesis. Explotan los sistemas o redes informáticas para identificar sus vulnerabilidades de seguridad y así recomendar mejoras, escribe Kaspersky.

Debido al diseño de las redes de Cripto , a menudo no queda claro con quién se está tratando. Los usuarios existen como largas cadenas de galimatías alfanuméricos, y su historial se reduce a una serie de transacciones vinculadas a su dirección.

Este sistema tiene algunas ventajas. Incluso si las plataformas no conocen a sus clientes, todas las transacciones se registran en cadena y cualquiera puede verificar a quién pertenecen las monedas. Las vulnerabilidades de DeFi suelen ser callejones sin salida: los exchanges, utilizados como vías de entrada y salida de la Cripto , pueden bloquear los fondos robados, reduciendo a la nada la utilidad y el valor de esos tokens.

Eso podría explicar por qué algunos de los exploits más destacados ven a los autores intelectuales devolver sus recompensas. Por ejemplo, el pasado agosto, elEl “hacker” de POLY Network como se les empezó a denominar, devolvieron casi la totalidad de los 610 millones de dólares en Cripto robados y pidieron que la gente viera su exploit como un “hackeo de sombrero blanco” destinado a crear conciencia sobre un error desastroso.

Esto podría estar reescribiendo la historia: ¿una explicación a posteriori de un ataque que finalmente se ejecutó mal? Podría estar ocurriendo de nuevo: T las motivaciones del explotador de Wormhole, pero el equipo del puente parece estar pidiendo que se deshagan del virus a cambio de unos generosos 10 millones de dólares.

En cierto sentido, el sistema está configurado a favor del atacante. Cuando alguien usa el código tal como está escrito, pero no según lo previsto, los tecnólogos lo denominan "exploit". El código tiene prioridad sobre la acción Human , de modo que los errores Human —como manipular una transacción incorrecta o pasar por alto una vulnerabilidad de seguridad— se explican como un proceso natural del código.

Un ataque solo se considera un "hackeo" cuando el código se reescribe o se descifra. Esta es una distinción tecnológica importante, aunque los términos probablemente provienen de la industria de los videojuegos, donde "hackear" un juego para obtener una ventaja injusta suele estar mal visto, mientras que los "exploits", o la búsqueda de vulnerabilidades en el juego, son motivo de orgullo.

Probablemente sea justo decir que este reciente ataque no formó parte de los planes ni las motivaciones del Wormhole Deployer. Aparentemente se cometió un error en el código, o no se encontró, y se están buscando soluciones. Esto podría indicar los "límites fundamentales de seguridad de los puentes", como señaló el cocreador de Ethereum, Vitalik Buterin, en una profética publicación de blog hace unas semanas.

El atacante realizó una serie de transacciones para que el "contrato inteligente" de Wormhole confundiera el wETH falsamente acuñado con el material real.Desglose completo aquíEra una laguna legal que alguien con profundos conocimientos y mucho tiempo pudo explotar.

Algunas personas considerarán este ataque como una contribución al conocimiento general sobre las Cripto. Algunos incluso han dicho que este proceso podría, en última instancia, conducir a... “código inhackeable”ya que cada contrato inteligente es una potencial “recompensa de un millón de dólares por errores”.

Por lo tanto, cabe preguntarse si el lenguaje que utiliza la Cripto para explicar sus innumerables vulnerabilidades (riesgos acumulados sobre riesgos) contribuye al negocio continuo basado en los hackeos. ¿O si a veces estamos sacando definiciones de la nada?