Elogio de los hackers de sombrero blanco, pero confiar demasiado en ellos es una tontería

En agosto, Nomad, una plataforma que permite a los usuarios transferir tokens entre diferentes cadenas de bloques,fue víctima de un hackeoque dejó a sus usuarios sin casi 200 millones de dólares.

Las instrucciones sobre cómo ejecutar el ataque se extendieron como un reguero de pólvora por Twitter, convirtiendo un robo único en una batalla campal abierta a cualquiera que pudiera copiar y pegar una transacción en la cadena de bloques de Ethereum .

Mientras los hackers de sombrero negro se llevaban millones, los llamados "sombreros blancos" (buenos samaritanos) saqueaban los fondos para poder devolverlos a Nomad. En resumen, el esfuerzo de rescate de base...se quedó con más de 38,5 millones de dólaresfuera de las manos de los atacantes.

Los hackers de sombrero blanco desempeñan un papel fundamental en la protección del ecosistema Web3 y, sin embargo, segúnETH – ONE de los hackers que explotaron Nomad para rescatar sus fondos de los atacantes – los hackers altruistas no reciben el pago suficiente y operan en un panorama legal poco claro.

Caso práctico de Nomad x DarkFi

ETH(no relacionado conDarkFi, la cadena de bloques de capa 1 con laLunarpunk filosofía) fue ONE de los sombreros blancos que robaron y posteriormente devolvieron aproximadamente 2 millones de dólares del Nomad puente.

Cuando DarkFi detectó transacciones sospechosas entrando y saliendo del contrato inteligente del puente Nomad, el hacker copió y pegó el formato de esas transacciones similares en sus propias transacciones. De repente, algunos fondos de Nomad (que técnicamente pertenecían a sus usuarios) aparecieron en la billetera de Cripto de DarkFi.

El hacker seudónimo entró rápidamente en acción, recordando en una entrevista con CoinDesk que notó el "potencial de sacar más de este dinero [de Nomad] antes de que otros actores maliciosos se lo lleven".

DarkFi repitió la transacción con errores varias veces (ONE,dos,tres,cuatro,cinco).

Dejando a un lado las intenciones, DarkFi y otros hackers de sombrero blanco realizaron exactamente los mismos pasos que los explotadores de Nomad: retirar fondos sin el permiso de los propietarios.

DarkFi quería rescatar más dinero, pero dijo que "básicamente se abstuvo de tomar más" porque estaba "preocupado por las repercusiones de hacerlo".

“Aunque tenía toda la intención de devolver el dinero, todavía no estaba del todo claro”, dijo DarkFi.

Sombreros blancos y sombreros negros

Los piratas informáticos que escanean el código del software para identificar posibles vulnerabilidades se identifican por sus metafóricos sombreros blancos y negros.

Los hackers de sombrero negro explotan deliberadamente las vulnerabilidades que encuentran, saqueando Cripto, chantajeando a empresas o vendiendo sus descubrimientos a un mercado criminal clandestino. Stephen Tong, cofundador de una firma de auditoría de seguridad. Zellic.io, llama a estos hackers “mercenarios”.

“Los hackers de sombrero negro la mayor parte del tiempo simplemente buscan su propio beneficio, ya sea por lucro o entretenimiento”, dijo Tong a CoinDesk en una entrevista.

“Los sombreros blancos, en cambio, se esfuerzan estrictamente por hacer lo correcto. Intentan actuar de buena fe”, dijo.

En el contexto de la Web3, los hackers de sombrero blanco suelen alertar a los desarrolladores de protocolos cuando descubren un error que requiere parche. A cambio de divulgar errores de forma responsable, los protocolos suelen recompensarlos con algún tipo de recompensa.

A veces, como en el caso de Nomad, los hackers de sombrero blanco descubren un error tan grave que deciden explotarlo ellos mismos, asegurando los fondos en riesgo y devolviéndolos al protocolo antes de que alguien con malas intenciones pueda robarlos.

En estos casos, cuando la intención original de un hacker es difícil de descubrir (tal vez devolvió los fondos solo por miedo a la policía), puede resultar difícil para un protocolo decidir si se le debe compensar o no.

Problema de Aviso legal de vulnerabilidades

DarkFi destacó un problema común para los hackers de sombrero blanco: la Aviso legal de vulnerabilidades.

Cuando un hacker sabe que un protocolo es vulnerable y que los fondos corren el riesgo de ser retirados sin el permiso de los propietarios, le surgen dos opciones:

• Aprovechar la vulnerabilidad para asegurar los fondos él mismo con la intención de devolverlos.
• Alertar al proyecto sin explotar la vulnerabilidad

Si un hacker de sombrero blanco optó por la primera opción y explotó la vulnerabilidad, «el estatus legal de lo que estás haciendo es incierto. Técnicamente, aún puedes ser demandado por un proyecto si realizas trabajo de sombrero blanco y robas dinero para salvarlo de un hacker de sombrero negro», dijo DarkFi.

El problema con la segunda opción es que el proyecto no tiene incentivos para pagarte el importe total una vez que ya le has informado del error. Tong indicó que, con los fondos ya devueltos o las vulnerabilidades ya corregidas, el proyecto pierde su incentivo para pagar la cantidad máxima posible y el hacker de sombrero blanco tiene menos influencia.

En ambos casos, los hackers de sombrero blanco suelen buscar una recompensa por haber salvado un protocolo de una pérdida mayor. Pero, al mismo tiempo, no quieren parecer extorsionadores, es decir, que retienen fondos o información a menos que reciban una compensación justa.

La cuestión de la Aviso legal de vulnerabilidades es “una problema de optimización", dijo Tong. "Porque queremos minimizar el sufrimiento" para desarrolladores, usuarios y hackers.

Si el objetivo es minimizar el sufrimiento de los desarrolladores y usuarios, un proyecto simplemente repararía la vulnerabilidad y no le daría nada al hacker. Y si el objetivo es minimizar el sufrimiento del hacker, un proyecto le pagaría, lo cual sería un punto débil para los responsables.

¿Es posible tener un resultado justo que haga felices a todos?

Tong dice: “No… En la mayoría de los escenarios de sombrero blanco, no hay absolutamente ningún escenario en el que todos ganen”.

Dinero dejado sobre la mesa

DarkFi devolvió fondos a Nomad en tres transacciones (ONE,dos,tres)antes Stani Kulechov, el fundador de la plataforma de préstamos de Finanzas descentralizadas (DeFi) Aave, ofreció entradas para la fiestaa los sombreros blancos y antes de que Nomad anunciara “unhasta un 10% de recompensapara los hackers de Nomad Bridge, donde Nomad considerará a cualquier parte que devuelva al menos el 90% del total de los fondos que hackearon como un hacker de sombrero blanco”.

Si un hacker saqueó un millón de dólares, devolvió 900.000 dólares y se embolsó 100.000 dólares, Nomad consideraría al hacker un "white hat" y no emprendería acciones legales.

DarkFi aún no ha recibido un ticket rAAVE de Kulechov ni una recompensa de Nomad.

Además, citando ArbitrumRecompensa de 400 ETH a 0xriptideDespués de que ese hacker encontró un críticoVulnerabilidad de 400 millones de dólaresDarkFi señaló que las recompensas inicialmente no son lo suficientemente altas y dijo que los proyectos tienden a ser tacaños.

“Ser un sombrero blanco debería ser un trabajo muy bien remunerado”, dijo.

“Dejar más claro cómo valoramos a los sombreros blancos en el espacio es muy importante para que en el futuro no quede dinero sobre la mesa para los sombreros negros”, dijo DarkFi.

Nomad no respondió a una Request de comentarios hasta el momento de la publicación.

El estándar 5-5 de Sam Bankman-Fried

El mes pasado, Sam Bankman-Fried, director ejecutivo del exchange de Cripto FTX, FORTH un nuevo estándar comunitariopara los piratas informáticos involucrados en una violación de seguridad.

El “estándar 5-5”, que valora la protección del cliente y del usuario “por encima de todo”, prioriza recuperar la integridad del cliente antes de recompensar a un hacker ético.

Según Bankman-Fried, el estándar solo funciona cuando el hacker actúa de buena fe desde el principio. Para ser considerado por la comunidad como un "buen actor" o un hacker de sombrero blanco, el hacker debe devolver al menos el 95 % de los fondos robados.

“Si se hubiera seguido el estándar 5-5, históricamente se habría reducido el impacto de los ataques en más del 98%”, afirmó Bankman-Fried.

Más vale prevenir que curar

La cantidad de veces que los hackers de sombrero blanco han impedido que se explote un protocolo resalta las preocupaciones acerca de cómo el ecosistema Web3 depende demasiado de ellos para detectar vulnerabilidades críticas.

Si bien los hackers de sombrero blanco desempeñan un papel importante en la seguridad del ecosistema Cripto , "no es aceptable confiar en ellos para KEEP la seguridad, ya que son la última línea de defensa", afirmó Tong. "Es como la última salvación que te protege de ser hackeado, porque si te atacan con un 'hat blanco', ya no es una buena situación".

Según Tong, a largo plazo es necesario establecer prácticas de desarrollo más exhaustivas y estrictas porque “más vale prevenir que curar”.

La Aviso legal de un error de sombrero blanco es «una emergencia con un lado positivo. Se te devolvió el dinero a pesar de que alguien estaba hackeando», dijo Tong. «La conclusión es que la vulnerabilidad debería haberse detectado durante el desarrollo. Debería haberse detectado durante la auditoría».