El hackeo de POLY y los problemas de confianza en las criptomonedas

Y ahora, amigos, es hora de: ¿En quién confían? ¡Ay, ay, ay, ay! ¿En quién confían? En mí, estoy regalando dinero. ¿Y dónde está Batman? ¡En casa, lavando sus mallas! – El Guasón (Batman 1989)

Cuando elLa red POLY fue hackeada A principios de la semana pasada, se robaron aproximadamente 600 millones de dólares en diversas criptomonedas. El ataque se destacó principalmente por su magnitud. Es el mayor hackeo de Cripto de la historia, aunque no por mucho comparado con el de 2018. Hackeo de Coincheck por 500 millones de dólaresDesde 50.000 pies de altura, parecía la progresión lógica de una serie de ataques que se remontaban al exploit que supuestamente derribó el Monte Gox alrededor de 2013, que en sí mismo vale la pena.alrededor de 473 millones de dólaresen 2014BTCprecios.

En resumen, a pesar de su tamaño, el hack de POLY no era tan interesante.

Entonces las cosas se pusieron raras.

David Z. Morris es el columnista principal de ideas de CoinDesk.

Según se informa, el hacker entabló negociaciones con varias partes, incluyendo a POLY, mineros, la empresa de seguridad Slowmist y el emisor de la stablecoin Tether. La naturaleza de esas negociaciones aún no está del todo clara, pero sabemos al menos dos cosas: POLY le había ofrecido al hacker una "recompensa por errores" de 500.000 dólares para devolver los fondos robados, y Slowmist afirma haber identificado la IP y las direcciones de correo electrónico del hacker (aunque el hacker... negó estar comprometido).

Una tercera hipótesis sólida es que el hacker comenzaba a darse cuenta de que tendría muchas dificultades para liquidar algo cercano a los 600 millones de dólares en tokens (T el género del hacker, pero usaré "él" para simplificar y porque es probable que sea preciso). El CEO de Binance, Changpeng Zhao, prometió que su plataforma de intercambio... “congelar” cualquier fondo pirateado enviado a su plataforma, mientras que Tether en realidad tomó la medida de congelar aproximadamente 33 millones de dólares en sus USDTLa stablecoin fue tomada en el hackeo.

Puede que haya habido otros factores, pero estos por sí solos probablemente fueron suficientes para desencadenar lo que vino después: el hackerdevolvió el dineroPara el jueves 12 de agosto, el hacker había colocado casi todos los fondos pirateados (menos esos tethers congelados) enuna billetera multifirma compartido con el equipo POLY .

En otras palabras, este es el típico perro que atrapó un coche. Tras perpetrar el mayor robo de Cripto de la historia, el hacker no sabía qué hacer con su botín.

Giro de cara

Ahora, con la ayuda de la propia POLY Network, el hacker está intentando hacer lo que en la lucha libre profesional se conoce como un “giro de cara”:una transición repentina de villano a héroe.

En la mañana del 16 de agosto, el hacker publicó un mensaje a través de undirección de Ethereum verificadaIncluyendo lo siguiente:

EL DINERO NO ME IMPORTA. A ALGUNOS LES PAGAN POR HACKEAR, YO PREFIERO PAGAR POR DIVERSIÓN. ESTOY CONSIDERANDO ACEPTAR LA RECOMPENSA PARA LOS HACKERS PÚBLICOS SI PUEDEN HACKEAR LA POLY POLITÉCNICA... SI LA POLY NO OFRECE LA RECOMPENSA IMAGINARIA, COMO TODOS ESPERAN, TENGO SUFICIENTE PRESUPUESTO PARA QUE EL ESPECTÁCULO CONTINÚE.

“Confío en parte de su código, elogiaría el diseño general del proyecto, pero nunca confío en todo el equipo de POLY ”.

En otras palabras (para aclarar la nota aparentemente traducida automáticamente), el mayor hacker de Cripto de todos los tiempos dice que lo hizo por diversión. Pero también, basándose en declaraciones... hecho el 11 de agostoAfirma ser un hacker benigno que simplemente busca destacar un fallo de diseño en lugar de robar dinero. Devolver los fondos siempre fue el plan, afirma, y ​​ahora incluso está dispuesto a usar su propio dinero para pagar más "recompensas" a los hackers que ayuden a encontrar y corregir exploits en POLY. ¡Es un auténtico buen samaritano!

La red POLY ha ayudado enormemente a este cambio de imagen al darle al hacker un apodo muy halagador mientras intentaba recuperar los fondos robados: Mr. White Hat.

"White Hat", por supuesto, se refiere a un hacker de "sombrero blanco". Un hacker de sombrero blanco, en principio, solo prueba vulnerabilidades de software para ayudar a solucionarlas, en lugar de explotarlas para obtener ganancias. Un hacker de "sombrero negro", en cambio, hackea con fines lucrativos o maliciosos.

Los motivos de POLY Network para calificar preventivamente al hacker de "sombrero blanco" son bastante claros: le da una vía para recuperar los fondos y, quizás, salvar su reputación. Para POLY, la devolución de los fondos es la única prioridad, y esta estrategia es brillante: al fin y al cabo, se cazan más moscas con miel que con vinagre.

Pero aparte del apodo amigable de Poly y sus propias declaraciones, hay muy pocas pruebas claras de que las intenciones originales del hacker fueran buenas. Entre otras pruebas contradictorias, no está claro por qué habría movido 600 millones de dólares cuando el exploit podría haberse demostrado con un ataque mucho menor.

Hubba Hubba Hubba, ¿en quién confías?

La situación pone de relieve una tensión que ha crecido junto con el ecosistema de las Criptomonedas . La falta de confianza es un principio CORE de las Cripto, tanto tecnológica como filosóficamente. En términos generales, se trata de la afirmación de que se puede confiar en sistemas blockchain estables y seguros, en lugar de en seres humanos falibles y egoístas.

Pero con la creciente complejidad, competencia y riesgos, la necesidad de confiar en las personas detrás de las Cripto ha aumentado. Y también las consecuencias de no depositar esa confianza. Esto aplica de forma más evidente a los usuarios de POLY Network, quienes le confiaron sus fondos: los diversos tokens robados se habían confiado al protocolo, que actúa como custodio como parte de su funcionalidad entre cadenas.

Pero el hackeo demuestra que realmente no confiaban en el sistema; confiaban en los diseñadores y programadores de la red. Esa confianza se ha visto socavada por las aparentes fallas en su código. POLY no es la única, ni mucho menos: como se mencionó, los hackeos y exploits se han vuelto frecuentes, especialmente en los sistemas de Finanzas descentralizadas (DeFi), cuya complejidad los hace inherentemente más vulnerables que un sistema más simple como Bitcoin.

Sigue leyendo: El robo de $600 millones en POLY demuestra que DeFi necesita hackers para volverse invulnerable | Dan Kuhn

Como ha argumentado Daniel Kuhn de CoinDesk, estos ataques pueden verse como parte del proceso de hacer que estassistemas más segurosEl hacker, ya sea que esa fuera su intención inicial o no, ha hecho que POLY sea más fuerte.

Sin embargo, estos ataques resaltan una verdad incómoda: en DeFi, la reputación de lapersonas que construyen los sistemas Importa. Y el hackeo de POLY muestra específicamente una razón por la que esto es un problema. POLY es un proyecto respaldado en parte por el equipo detrás de NEO, una blockchain fundada en China en 2014. Para que una persona en EE. UU. o Europa confíe en ellos, es necesario superar las barreras lingüísticas, geográficas y políticas que las Cripto supuestamente debían eliminar.

En cambio, la brecha ha fomentado un pensamiento abiertamente conspirativo sobre los motivos de Poly. Esta mañana, POLY anunció que le ofrecería al Sr. White Hat un puesto como su... Asesor jefe de seguridadEs muy probable que esto forme parte de la estrategia de la red para ganarse la confianza del hacker. Pero también ha generado especulaciones de que el ataque en sí fue un trabajo interno con la intención de...un truco de marketing.

Otro aspecto importante de la falta de confianza en las Cripto es finalidadEn el libro blanco de 2008 de Satoshi Nakamoto, que describe Bitcoin, se afirma que las transacciones "completamente irreversibles" son una característica, no un fallo, del sistema: "Con la posibilidad de reversión, la necesidad de confianza se extiende". En última instancia, esto se debe a que la reversibilidad requiere un árbitro: un temido "tercero" con el poder de decidir quién tiene razón y luego detener o devolver las transacciones. Pero la eliminación de intermediarios externos es el objetivo principal de las Criptomonedas, la característica que las hace únicas entre las herramientas de pago digitales (y, al menos en la actualidad, entre las monedas en general).

A lo que me refiero, por supuesto, es a Tether. La moneda estable es un pilar fundamental de todo el ecosistema de las Criptomonedas , con una capitalización de mercado de 63 000 millones de dólares y un papel clave en... facilitando el comercioLa mayoría de los usuarios probablemente piensen en Tether como una Criptomonedas similar a Bitcoin, pero su respuesta al hackeo desmiente esa afirmación.

Al congelar los 33 millones de dólares involucrados en el hackeo, la compañía detrás de Tether demostró que es un "intermediario confiable". Al igual que un banco (que efectivamente lo es, en muchos sentidos), Tether ha demostrado que puede congelar cualquier fondo que se mueva en la red, en cualquier momento. Al usarlo, confías en que los administradores centrales de Tether no lo congelarán. su fondos. (Lo mismo, para que quede claro, se aplica al competidor de Tether) USDC, aunque Circle, la empresa detrás de USDC, decidió no intervenir en el caso actual).

Y por tanto, por sombrío que parezca, es indiscutible que los sistemas Cripto invitan cada vez más al mismo dilema filosófico intemporal que enfrentamos cuando tratamos con el sistema financiero tradicional:

Hubba hubba hubba, ¿en quién confías?