El hackeo de 55 millones de dólares que casi derriba a Ethereum

El nuevo libro del periodista de Bloomberg News Mathew Leising, "Out of the Ether: The Amazing Story of Ethereum and the $55 Million Heist That Almost Destroyed It All", cuenta la historia del infame hackeo de DAO que casi derribó la segunda blockchain más grande del mundo.

En junio de 2016, un atacante (o atacantes) hasta ahora desconocido comenzó a desviar fondos de la primera organización autónoma descentralizada (DAO) de Ethereum, un software que funciona como una corporación. Semanas antes, la DAO se puso en marcha, tras una venta colectiva de 150 millones de dólares.

«La DAO jugó un papel fundamental en la historia inicial de Ethereum», escribe Leising. «No es exagerado decir que la DAO creó Ethereum». Esto se debe a que fue ONE de los primeros ejemplos de que la red de T de Ethereum era lo suficientemente resiliente como para soportar aplicaciones complejas.

Véase también: David Siegel –Entendiendo el ataque DAO

Si bien el ataque nunca rompió el código de Ethereum, sino que simplemente explotó una vulnerabilidad en el contrato inteligente de The DAO, puso en duda la viabilidad de una "computadora mundial" basada en blockchain. También fue el comienzo de...Los dos Ethereum de Ethereum.

Leising, que ha estado cubriendo la industria de las Cripto durante la mayor parte de una década, había llamado al trabajo para reportarse enfermo el día en que un pirata informático se fugó con 55 millones de dólares en criptomonedas robadas. ETHPero no dejó que la historia muriera. Durante los últimos cuatro años, ha estado informando sobre la historia narrada en el libro, examinando datos de blockchain, siguiendo pistas enigmáticas y, finalmente, rastreando la ruta hacia su principal sospechoso.

En el siguiente extracto, los lectores se encuentran en el este de Alemania junto con Christoph Jentzsch, ONE de los principales arquitectos de The DAO, quien se despertó y se dio cuenta de que el proyecto que había pasado meses construyendo estaba siendo robado "a un ritmo de unos 8 millones de dólares por hora".

Jentzsch, un hombre de familia religioso, aprovecha este momento improvisado para reflexionar sobre los desafíos que enfrentó la creación de la DAO (desde las preocupaciones sobre valores que aún afectan a los proyectos de tokens hasta las opiniones críticas de la comunidad inicial de Ethereum ) antes de tomar medidas. – Dan Kuhn

Capítulo 7

La ciudad de Mittweida, en el estado de Sajonia, Alemania, escapó del bombardeo de la Segunda Guerra Mundial. En el centro, antiguas calles de piedra dividen hileras de edificios de colores brillantes. Si sales de la plaza y caminas unos 10 minutos, llegarás a una calle tranquila con una comisaría; al lado hay una casa verde menta con molduras y persianas marrones. El viernes 17 de junio de 2016, poco después de las 8 de la mañana, Christoph Jentzsch yacía sobre la alfombra beige de la oficina del primer piso. Intentó contener la respiración, respirar hondo, no dejar que el mundo se le escapara. Los ladrones estaban dentro de la DAO, su creación, robando a un ritmo de unos 8 millones de dólares por hora.

Una de las primeras cosas que Christoph sintió fue alivio: por fin la saga de DAO llegaría a su fin. Había dominado su vida durante los últimos seis meses.

Había luchado contra la ansiedad, la depresión y el agotamiento; había descuidado a su esposa y sus cinco hijos. Hubo momentos en que se paralizó al pensar en publicar el código DAO, porque una vez que saliera al mundo, no se podría cambiar. Podría haber un error en el software, o tal vez los terroristas podrían descubrir cómo usarlo para financiar un ataque que él no podría detener. La presión lo hizo sentir mal físicamente varias veces. Había vomitado por la tensión. Dios, por favor, que esto sea el fin de todo eso.

Pero Christoph también sentía una fuerte responsabilidad. Le conmocionaba haber cometido un error tan grave y que la gente perdiera dinero por ello. Creía en las ideas que sustentaban las DAO. (El lenguaje se vuelve un BIT confuso aquí, ya que existían otras DAO en ese momento, entre ellas MakerDAO. DAO es un término genérico para la estructura en la que se integran los contratos inteligentes, pero debido a su tamaño y alto perfil, la DAO de Jentzsch se convirtió en... el DAO.)

Había tantos temores —dijo Griff—. ¿Esto destruirá a Ethereum? ¿Destruirá a las DAO? ¿Qué pasará con todo este dinero?

Una DAO fue lo que lo impulsó a entrar en Ethereum en primer lugar, en el momento en que se dio cuenta de su potencial. El informe técnico de Vitalik había esbozado una visión sobre cómo las DAO podrían democratizar las estructuras corporativas para reemplazar a propietarios, empleados e inversores con usuarios que gestionaran directamente los asuntos de la empresa mediante contratos inteligentes codificados en la blockchain. Ese avance fue lo que llevó a Christoph a pausar sus estudios de doctorado y a empezar a trabajar para Ethereum en 2015. Y entonces, sorprendentemente, creó una: la DAO más grande jamás construida, de hecho, lo que la convirtió en un objetivo fácil. Después de todas las comprobaciones de seguridad, Christoph no entendía por qué ONE había encontrado el error correcto a tiempo.

Se levantó del suelo de la oficina y volvió a su portátil IBM ThinkPad. Christoph sabía que la policía de al lado no podía ayudarlo. No, este era su desastre y tendría que limpiarlo.

En ONE sentido, si se hubiera permitido que las tostadoras y las cerraduras de las puertas tuvieran cuentas bancarias, la DAO nunca habría sucedido.

Véase también: Christoph Jentzch –Bendición y maldición: Los desarrolladores de DAO en blockchain en 2016

Al menos, esa discriminación financiera contra electrodomésticos y hardware había despertado la imaginación de Christoph cuando conoció Ethereum. Ahora que se había creado la Criptomonedas ether, la pregunta que rondaba la mente de Christoph era: ¿Cuál era la mejor manera de utilizarla? No como una Criptomonedas pura como... BitcoinMás bien, Ether parecía la solución perfecta para ser una forma de micropago para lo que Christoph llama la "economía de las cosas". Airbnb se había popularizado por aquel entonces, y cuando Christoph analizó la empresa a través de su perspectiva de Ethereum , solo vio un intermediario que eliminar. ¿Qué pasaría si, con una cerradura inteligente en la puerta de casa conectada a la blockchain de Ethereum , se pudiera alquilar el apartamento directamente a otra persona? Seguiría existiendo un sitio web como el de Airbnb para que el propietario de un apartamento encontrara inquilino, pero la versión de Ethereum se diferenciaría en un aspecto clave: el sitio web conectaría a las personas entre pares y Airbnb no se quedaría con el 30 % de las ganancias. ¿Cómo explica el modelo de negocio de Airbnb ese tipo de disrupción?

Esta es precisamente la clase de idea simple pero muy poderosa que conquista a los seguidores de Ethereum . Me hizo darme cuenta de su potencial el día en Brooklyn [NY] que JOE Lubin me la explicó. Ponle un candado similar a tu coche. ¿Qué opina Hertz al respecto? Piensa también en Uber: podría ser tan fácil entrar en su mercado de viajes compartidos como lo fue para ellos entrar en la industria del taxi.

La promesa de Ethereum, en mi opinión, está en gran medida entrelazada con esta especie de reinvención de la red mundial. Si Vitalik y sus amigos pueden ofrecer una Internet alternativa entre pares —donde se evite a los intermediarios, las cosas cuesten menos y la Privacidad y la seguridad de los datos se tomen en serio—, sería una combinación perfecta. Me apuntaría a ella. Sin embargo, no es seguro que lo logren. Durante años, esta duda sobre si Ethereum realmente puede cumplir su promesa ha estado presente en el trasfondo de todo mi trabajo. Esto sin mencionar a las miles de personas que trabajan en Ethereum como desarrolladores, emprendedores y vendedores. Todos están haciendo cosas increíbles. Pero quizás resulte ser una buena distracción que capturó la imaginación de la gente durante muchos años, pero que finalmente no llegó a nada. Tendrá que luchar por cualquier avance que obtenga, eso es seguro.

Airbnb, Hertz y Uber no van a permitir que Ethereum simplemente llegue a la ciudad y elimine sus negocios. Se trata de corporaciones globales con miles de millones de dólares de respaldo. Además, está el estado actual de la Tecnología. Ethereum está muy lejos de tener la escala y la robustez necesarias para dar soporte a millones de usuarios. Los problemas regulatorios son otro obstáculo. Pero aunque las probabilidades son bajas, hay muchas personas como Christoph, un físico teórico, dispuestas a dejarlo todo para trabajar en Ethereum y a apostar por las ganancias.

Mientras investigaba su tesis, Christoph necesitaba reunir un conjunto de discos duros para simular su trabajo de generación de moléculas muy largas. Descubrió que lo que funcionaba mejor que las CPU eran las unidades de procesamiento gráfico, o GPU, que serían más rápidas y eficientes al procesar los datos. Intentó comprar varias GPU y se topó directamente con Bitcoin, ya que las GPU eran el hardware preferido para los mineros de Bitcoin . Pronto se metió en el abismo, y en enero de 2014 se topó con el informe técnico de Vitalik.

"Me quedé totalmente impresionado", dijo Christoph. "Ahora tenía sentido. Bitcoin era solo una Criptomonedas, pero esta era una plataforma de aplicaciones descentralizada". Las posibilidades de lo que se podía hacer en Ethereum le parecían infinitas.

Christoph tiene tantos hijos que olvida cuántos tuvo en un momento dado de su vida. Pero en el verano de 2014 necesitaba ganar dinero extra, y no importaba si tenía tres o cuatro hijos en ese momento. Había visto una presentación donde el cofundador de Ethereum , Gavin Wood, hablaba del dinero que Ethereum estaba recaudando en una venta colectiva y de que esperaba abrir una oficina en Berlín y contratar desarrolladores de C++. Eso era exactamente lo que Christoph sabía hacer, y Gavin no tardó en contratarlo.

Se convirtió en el tester principal del protocolo blockchain. Ethereum se desarrolló con tres lenguajes de programación: C++, Python y Go. Estos son los clientes que hicieron funcionar la blockchain. Pero si no se comunican entre sí para que una acción en C++ se interprete exactamente igual en el cliente Go, todo falla. La blockchain debe ser secuencial ante todo, por lo que si se produce una falla, se produce lo que se denomina una bifurcación. Cuando se produce una bifurcación, se crean dos cadenas de bloques y puede ser difícil determinar cuál es el registro oficial de la transacción. Christoph se encargó de atacar a los tres clientes para intentar que fallaran: bifurcarlos. Trabajó en estrecha colaboración con Vitalik, Gavin y Jeff Wilcke.

“Todos estaban intentando pasar mis exámenes”, dijo Christoph.

Tras unos 10 meses trabajando en Ethereum, Christoph quiso llevarlo al siguiente nivel. Había estado reflexionando sobre el mejor uso de ether y decidió que sería para micropagos a dispositivos conectados a internet. Fundó slock.it con su hermano Simon y Stephan Tual, quienes controlaban un tercio de la empresa cada uno.

En una reunión de BitDevs en Nueva York el 13 de junio de 2015, en las oficinas de la firma de capital riesgo Union Square Ventures, Christoph presentó públicamente la idea de slock.it por primera vez. JOE Lubin estaba presente ese día. Christoph usó su teléfono para conectarse a Ethereum y desbloquear la manija de una puerta que había traído consigo. Esto fue tan temprano en la historia de la compañía que se llamaron EtherLock.

Christoph recibió una cálida bienvenida mientras presentaba las cerraduras inteligentes. La idea cobró adeptos, y ahora tenía que encontrar la manera de financiar su desarrollo. Pronto se dio cuenta de que su deseo de crear una DAO podía hacerse realidad y comenzó a analizar su funcionamiento. Pero no solo tenía que descifrar la mecánica del contrato inteligente. Había cuestiones más espinosas, como si el equipo de slock.it sería legalmente responsable de lo que la DAO permitía.

Contaban con abogados trabajando en este asunto en Nueva York, Suiza y Alemania. "De hecho, dijeron: 'Si no estás muy comprometido con el proyecto, simplemente redacta el contrato y publícalo, y luego solicitarás trabajar para esta empresa; estará legalmente bien'", dijo Christoph. Esto era una muestra de lo descentralizado que era el objetivo: incluso quienes darían vida a la DAO imaginaban que tendrían que solicitar trabajar para su propia creación. ¿Cómo demonios se hace eso? Fácil; es como cualquier otra propuesta a la DAO: los poseedores de tokens de la DAO votan para financiarla. Christoph y el resto del equipo de slock.it se sintieron cómodos con la idea de que los poseedores de tokens de la DAO votaran para financiar su startup, al menos por cortesía hacia los creadores de la DAO.

Luego tuvieron que lidiar con la opinión de un regulador como la Comisión de Bolsa y Valores de EE. UU. (SEC) sobre la DAO. ¿Se consideraría un token de la DAO un valor? De ser así, tendrían que pasar por un estricto proceso de registro y proporcionar a los posibles inversores toda la información necesaria sobre el plan de negocios, los riesgos y otros detalles para mejorar la transparencia.

Véase también: Drew Hinkes –La Ley del DAO

Sus abogados también tenían una respuesta para esto. «Aunque se trate de un valor, la creación de una empresa no requiere la aprobación de la SEC», dijo Christoph. «Consideramos la creación de la DAO como la creación de una empresa, pero no con 3 fundadores, sino con 23.000».

Adelantémonos un momento y planteemos una pregunta interesante. Según los abogados de slock.it, la venta de tokens no se consideraría una oferta de valores, en parte porque la DAO tenía miles de fundadores. ¿Qué dice esto sobre lo que Ethereum hizo con su venta colectiva de ether? Recuerden, estos son Eventos distintos. Los cofundadores de Ethereum , incluidos Gavin Wood, Vitalik y Mihai Alisie, vendieron ether al público a mediados de 2014 para recaudar fondos para financiar el desarrollo de la cadena de bloques de Ethereum . Un grupo pequeño y discreto de personas ganó mucho dinero con la venta de tokens de Ethereum . ¿ No implica eso que ether es un valor? La venta de ether recaudó 18 millones de dólares; cofundadores como JOE Lubin y Anthony Di Iorio insistieron en que ether no era un valor, pero en realidad solo tenían sus propias opiniones y la Opinión legal de un abogado en una situación que no había sido examinada por una agencia gubernamental como la SEC. Entonces llega la DAO y se bloquea. Sus abogados dicen que si sus ejecutivos no están vinculados al proyecto y todos los que compran tokens de la DAO son considerados fundadores, augeNo eres un valor. ¿Ves la inconsistencia? Bajo esta lógica, tanto un token DAO como Ether son valores, pero ninguno puede escapar de la designación.

En el frente estadounidense, al menos, la realidad es que entre 2014 y 2015 la SEC permaneció de brazos cruzados. ONE en el gobierno prestaba atención a lo que ocurría con el naciente mercado de las ICO. La SEC no empezó a presentar demandas hasta años después, y no se decidió a emitir su Opinión sobre la DAO hasta un año después de su colapso. Hablaremos de esto más adelante.

Ahora, volvamos a la DAO. Quienes compraron tokens de la DAO nunca entregaron su dinero a Christoph ni a nadie de slock.it. Lo controlaron todo el tiempo y solo interactuaron con un contrato inteligente que intercambiaba su ether por tokens de la DAO. Podían recuperar su ether si lo deseaban.

No es exagerado decir que la DAO creó Ethereum.

Las mentes más brillantes de Ethereum en aquel momento también se reunieron para actuar como una especie de mecanismo de seguridad contra ataques contra la DAO. Conocidos como curadores, los miembros del grupo incluían a Vitalik, Vlad Zamfir, Alex Van de Sande, Gavin Wood, Taylor Gerring, Aeron Buchanan y otros. El objetivo del grupo era demostrar que las personas más brillantes de la sala habían examinado la DAO, lo que implicaba una especie de sello de aprobación. Sin embargo, se descubrió que los curadores eran meros adornos tras descubrirse varias fallas de seguridad en el código de la DOA.

Tras presentar la idea de la DAO en la DevCon 1 de Londres en noviembre de 2015, el entusiasmo por el proyecto no hizo más que crecer. El canal público de Slack de la DAO pronto contaba con 5000 miembros. Christoph pensó que si cada uno compraba 1000 dólares en tokens de la DAO, estarían manejando 5 millones de dólares. Parecía una cifra manejable.

Pero con el paso de los meses, una nueva preocupación empezó a atormentar a Christoph. Ahora que estaba inmerso en la escritura del código DAO, no podía escapar de su naturaleza fundamental. Una vez publicado, era imparable. Era una presión enorme cuando el código que se escribe solo lleva unos meses en funcionamiento y se encuentran errores constantemente.

En marzo de 2016, slock.it pagó 10.000 dólares por una auditoría de seguridad del código DAO a la empresa Deja vu Security, con sede en Seattle. La empresa se especializa en examinar y probar software diseñado para impulsar el IoT. Christoph viajó a Seattle durante una semana para trabajar con el equipo de Deja vu Security.

“Me alojaba en un Airbnb y me sentía casi mareado, pensando: ¿de verdad quiero hacer esto? Estaba muy nervioso, ¿en qué me he metido?”, dijo Christoph. Aún estaba a tiempo de decir que no, pensó.

Ver también:Ataque a The DAO: un problema de código provocó un robo de 60 millones de dólares en Ether.

Pero Christoph no podía renunciar, ni a sus socios ni a su hermano Simon, el director ejecutivo de slock.it. Habían agotado sus tarjetas de crédito y la cuenta bancaria estaba vacía. Pagaron a Deja vu Security de su bolsillo, y Christoph sabía que no podía KEEP pidiendo un mes más para las pruebas. Además, estaba la comunidad en general, que seguía de cerca cada desarrollo.

Es importante destacar que la DAO jugó un papel fundamental en la historia inicial de Ethereum. No es exagerado decir que la DAO... hecho Ethereum. Hubo proyectos más pequeños aquí y allá, pero ninguno con el alcance y la ambición de lo que la DAO quería hacer. Se puede apreciar su influencia en el precio de Ether. A principios de 2016, lo único que la comunidad de Ethereum podía esperar en términos de progreso era el lanzamiento de nuevas versiones del software de la capa base. Dicho de otro modo, no hubo un gran catalizador para el aumento de valor de la moneda digital Ether. Y si bien el trabajo en la red subyacente de Ethereum era importante, ONE usaría una red T aplicaciones sobre ella. Por eso la DAO era vital.

Con el paso de los meses de 2016, el precio de Ether comenzó a subir. Aparte de las actualizaciones de la red que mencioné, no encuentro otra razón para el aumento de valor de Ether que el inminente despliegue de la DAO. A mediados de marzo, cotizaba a 15 $. La demanda de unirse a la DAO fue el motor. Primero había que comprar Ether para luego comprar tokens de la DAO, por lo que es fácil ver que miles de personas convertían Bitcoin a Ether para luego comprar tokens de la DAO, lo que elevó el precio de Ether a un máximo histórico.

Todos estaban involucrados. Para ser honestos, no había nada más que hacer con Ether en ese momento. Esa es una de las principales razones por las que la DAO llegó a alcanzar los 150 millones de dólares en compras de Ether puro.

Pronto, Christoph T de sentirse él mismo. El estrés lo estaba venciendo. No era propio de él; provenía de una familia numerosa y estable. El clan Jentzsch había vivido en la zona de Mittweida desde el siglo XVI. Sus padres tienen 36 nietos. Christoph también tenía una fuerte conexión con la fe mormona. Su abuelo había traído la religión a Mittweida cuando fundó la primera Iglesia de Jesucristo de los Santos de los Últimos Días en el pequeño pueblo. La esposa de Christoph fue otra influencia tranquilizadora para él y lo había apoyado durante los altibajos de la DAO. Y aun así, sentía que el caos lo absorbía: sufría altibajos depresivos. Al igual que el código DAO, parecía imparable una vez implementado.

Griff Green estaba en Mittweida el día del ataque. Se despertó en la habitación de invitados de la casa de la madre de Christoph con su teléfono repleto de mensajes de que la DAO estaba siendo hackeada. Llamó a Simon y Simon llamó a Christoph.

Griff T había visto a Christoph en tan mal estado. Antes de convertirse en el primer empleado de slock.it, Griff había dado masajes tailandeses en Beverly Hills. "No tenía licencia para hacerlo, porque ya sabes que no soy de los que la necesitan", dijo. "Hubo un momento muy intenso ese día cuando [Christoph] dijo: ' No sé qué hacer'. No estaba llorando, pero parecía que estaba al borde del Verge y simplemente tuvo que tumbarse. Estaba teniendo una especie de ataque de pánico". Griff se puso a masajear a su jefe y amigo para calmarlo. "Los alemanes no son muy sensibles", dijo Green.

“Había muchos temores”, dijo Griff. “¿Esto destruirá a Ethereum? ¿Destruirá a las DAO? ¿Qué pasará con todo este dinero?”

Ni un centavo del DAO pertenecía a Jentzsch. Era dinero ajeno, y para un hombre religioso, dedicado a su familia y de bien, eso hacía el robo aún más preocupante.

"Manejar el dinero de los demás es una mierda, ¿sabes?", dijo Griff.

A medida que se acercaba la fecha límite de recaudación de fondos de la DAO, el 28 de mayo, la cantidad de ether en la DAO seguía aumentando. ONE podía ignorar la magnitud en la que se estaba convirtiendo la DAO ante sus ojos. Los 5 millones de dólares que Christoph esperaba se convirtieron en una gota en el océano y empezó a entrar en pánico.

Véase también: Nolan Bauerle –El DAO es un nuevo Dow

"En ese momento, no era un buen esposo ni padre", dijo Christoph. Estaba acostado en la cama ese viernes por la mañana cuando sonó el teléfono. Su esposa contestó y le dijo que su hermano le había dicho que algo andaba mal con la DAO y que necesitaba conectarse de inmediato. En su oficina en casa, Christoph revisó Etherscan, el explorador de bloques de la cadena de bloques de Ethereum (algo así como Google para blockchain). Vio que el dinero salía de la DAO a través de la función de división, que existía por si un usuario de la DAO quería recuperar su dinero y marcharse.

“Al principio pensé: ‘Bueno, es solo alguien que abandona la DAO’”, dijo. “Pero luego es muy extraño, siempre sale la misma cantidad. Y era una ONE transacción, es decir, una ONE transacción y muchos pagos. Pero debería ser solo un pago por transacción”.

Algo andaba muy mal. Yacía en el suelo de su oficina, intentando KEEP que el mundo se le escapara. Sin embargo, sentía una mezcla de emociones. «Sentía dos tipos de sentimientos», dijo Christoph. «ONE era que me sentía liberado, porque este era claramente el fin del DAO». Este capítulo desquiciado, asombroso y estresante de su vida finalmente llegaría a su fin. Su responsabilidad cesaría.

“Por otro lado, estaba en shock y sentía que había arruinado todo el sistema. Necesito arreglar esto ya”, dijo. “Necesito averiguar qué está pasando, la gente está perdiendo dinero. Podría ir a la cárcel. Este tipo de miedo”.

Se levantó del suelo y empezó a contraatacar.

Extracto con autorización de la editorial Wiley de "Out of the Ether" de Matthew Leising. Copyright (c) 2021 de Matthew Leising. Reservados todos los derechos. Este libro está disponible en cualquier tienda de libros y eBooks.