LEl mes pasado, los piratas informáticos escaparon de los sistemas de la red de criptomonedas Ronin con lo que entonces valía más de $ 500 millones en lo que se cree que es el segundo robo de criptomonedas más grande de todos los tiempos.
Ronin era un objetivo atractivo para un hacker. El proyecto blockchain impulsa el enormemente popular videojuego Axie Infinity, que ha generado comparaciones con juegos de recolección impulsados por la acción como Pokémon Go, con un estimado de 8 millones de jugadores.
Axie Infinity está caliente e involucra importantes sumas de dinero. Los jugadores compran criaturas llamadas Axies en forma de NFT, activos digitales únicos conocidos como tokens no fungibles. Las criaturas pueden reproducirse, luchar e incluso intercambiarse por dinero en efectivo.
El juego ha ganado popularidad a medida que los jugadores ven el potencial de ganar dinero real. Según los informes, en 2020, un jugador de 22 años de Filipinas compró dos apartamentos en Manila con las ganancias del juego. El año pasado, otro jugador dijo que ganó más dinero jugando Axie Infinity y otros juegos en línea que con su trabajo de tiempo completo en Goldman Sachs.
Pero los fundamentos del juego enfrentan importantes desafíos de seguridad. Para jugar, los jugadores deben mover sus fondos de Ethereum a Ronin en un sistema de «puente» de cadena de bloques. Ronin es una «cadena lateral» de Ethereum: una solución de escalado que permite que las transacciones se realicen más rápido que en Ethereum, que se ve abrumado por la cantidad de actividad que alberga. Alojar el juego en esta cadena lateral garantiza que pueda crecer sin perder funcionalidad. Los puentes pueden contener una gran cantidad de dinero a la vez, por lo que los piratas informáticos tomaron el control de los activos e hicieron retiros con los fondos, apuntando al Puente Ronin, que estaba transfiriendo la riqueza de los jugadores entre cadenas de bloques.
El gobierno de EE. UU. dijo esta semana que cree que los piratas informáticos de Corea del Norte estaban detrás de la redada. Pero es solo el último de una serie de robos criptográficos descarados de alto perfil. En 2018, se robaron más de $ 530 millones del intercambio de criptomonedas Coincheck. En febrero, los piratas informáticos se llevaron $ 320 millones de la plataforma financiera descentralizada Wormhole (aunque ese botín finalmente se devolvió). Y ese mismo mes, en quizás el robo cibernético más publicitado del año, los fiscales acusaron a la pareja Ilya «Dutch» Lichtenstein y su esposa Heather Morgan, también conocidos por sus patéticos golpes en TikTok bajo el alias de Razzlekhan, de conspirar para lavar Bitcoin por valor de miles de millones de dólares, que fue robado del intercambio de criptomonedas Bitfinex en 2016.
Está de moda.En 2021, se robaron USD 3200 millones en criptomonedas de personas y servicios, según un informe sobre criptocrimen de Chainalysis, una empresa que proporciona datos y análisis de blockchain a bancos, gobiernos y otras empresas. (Ronin también está trabajando con Chainalysis para rastrear los fondos robados en el hackeo, según Reuters). El número es casi seis veces el monto robado en 2020. Según los expertos, este año ya se han robado más de mil millones de dólares de Chainalysis y otras empresas de seguridad..
Vulnerabilidades en contratos inteligentes
Los hacks de alto perfil y las sumas sustanciales de dinero en juego han planteado preguntas sobre cuán vulnerable es la cadena de bloques, que durante mucho tiempo se pensó que era un lugar seguro para almacenar activos, a tales infracciones.
Algunos expertos dicen que el aumento en los informes de robo de criptomonedas se debe a que las criptomonedas se están generalizando y comprendiendo mejor que nunca.
«Básicamente tienen mucho dinero sobre la mesa, y además una mesa muy pública», dijo Nicholas Christin, profesor asociado de la Universidad Carnegie Mellon que estudia delitos en línea y seguridad informática y de redes. Con grandes sumas de dinero moviéndose públicamente en estos sistemas transparentes, puede ser tentador para un pirata informático atacar.
Para comprender cómo son posibles estos atracos, es importante diferenciar entre la cadena de bloques y otros programas construidos sobre ella, dicen los expertos. La cadena de bloques en sí es un libro público descentralizado que permite transacciones entre pares. Es la capa fundamental sobre la que se construye Bitcoin, Ethereum o Solana.
La segunda capa, que a menudo se explota, son los contratos inteligentes que se ejecutan en cadenas de bloques. Los contratos inteligentes son acuerdos en código que se ejecutan automáticamente cuando se cumplen los términos del contrato. La analogía común es con una máquina expendedora digital: seleccione un producto, ingrese la cantidad correcta de dinero y su artículo se dispensará automáticamente. Estos contratos son irrevocables.
Los piratas informáticos se abren camino a través de estos sistemas de segunda capa para obtener dinero, ya sea explotando errores en el código u obteniendo las claves privadas que dejaron ingresar a los sistemas, explicó Christin. Algunos piratas informáticos incluso subvierten los contratos inteligentes para desviar los fondos a sus manos.
En el hackeo de Axie Infinity que apuntó al puente Ronin, el hacker obtuvo suficientes claves privadas para controlar el puente y desviar los fondos. Dado que tantos usuarios tenían sus fortunas en el puente, el pago fue masivo.
«El protocolo blockchain subyacente es seguro», dijo Ronghui Gu, fundador y director ejecutivo de la empresa de seguridad blockchain Certik. «Pero los programas que se ejecutan en ellos, los contratos inteligentes, siguen siendo como otros programas normales que pueden tener errores y vulnerabilidades».
Es común que los piratas informáticos intenten explotar el código de uno de sus objetivos. Y ayuda que gran parte del código para los programas de blockchain sea de código abierto, lo que lo hace fácilmente accesible para los piratas informáticos que desean examinar el código y encontrar posibles errores.
«En este mundo, la gente dice ‘confiamos en el código’, pero el código en sí mismo no es tan confiable», dijo Gu. Cuando fundó su empresa de seguridad de cadena de bloques en 2018, explicó Gu, pocas empresas usaban servicios de seguridad de terceros como el suyo para auditar y evaluar su código, un respaldo de seguridad crítico, pero ha visto que el número aumenta gradualmente.
Los intercambios criptográficos también son objetivos importantes para los piratas informáticos. Los intercambios son como los bancos, son entidades centrales que poseen grandes cantidades de dinero de sus usuarios y las transacciones son irreversibles. Al igual que Bridges, son un programa intermediario que tiende a ser un objetivo. «Estos grandes intercambios tienen un gran objetivo detrás de ellos», dijo Christin.
la víctima se quedó con gran esfuerzo de seguridad
Una vez que se han robado los activos criptográficos, puede ser un desafío para los ladrones cobrar, especialmente cuando el atraco está en el rango de las nueve cifras. Eso significa que los fondos a menudo permanecen en el limbo durante años o incluso indefinidamente. Durante este tiempo, el valor de los fondos robados puede fluctuar debido a la volatilidad del criptomercado.
Crypto Crime Report de Chainalysis estima que los delincuentes actualmente tienen al menos $ 10 mil millones en criptomonedas, la gran mayoría de las cuales se obtuvieron mediante robo. Gracias a la transparencia de la cadena de bloques, es posible rastrear estas transacciones y tenencias, pero es difícil determinar la identidad del perpetrador hasta que se pagan los fondos.
Se puede considerar el escándalo de Bitfinex como un caso de estudio de intento de lavado de dinero. “Los fondos no se han movido durante mucho tiempo. Y luego, cuando intentaron iniciar el proceso de lavado de dinero, esa fue una oportunidad para que las fuerzas del orden regresaran porque la gente está siguiendo estos hacks”, dijo Kim Grauer, directora de investigación de Chainalysis.
Hay pocas formas para que las víctimas de los esquemas recuperen activos. «Si falla la seguridad de un banco, no es tan malo para el banco», dijo Ethan Heilman, experto en seguridad cibernética y cofundador del servicio en la nube BastionZero. «Pero si eres un intercambio de criptomonedas y alguien agota todas tus criptomonedas, eso es realmente malo para ti». Si la tarjeta de crédito es robada, las compañías de seguros generalmente se aseguran de que se devuelva el dinero. Sin embargo, en la cadena de bloques, las transacciones son irreversibles: no hay un botón de deshacer.
Eso significa que existe una enorme carga de seguridad para que los usuarios individuales protejan sus activos. «Es posible que los usuarios finales no sean necesariamente conscientes de los riesgos de seguridad que enfrentan», dijo Christin. «Honestamente, incluso las personas en este espacio no tienen tiempo para revisar necesariamente el código fuente de un contrato inteligente».
Si confía sus llaves al intermediario de segunda capa equivocado, podría ser víctima de un robo. En general, la mayoría no está acostumbrada a esta responsabilidad.
Las criptoempresas están comenzando a tomarse la seguridad más en serio, dijo Heilman, pero un mundo sin hacks no es realista, agregó. «Nunca te pones a salvo, simplemente te vuelves más seguro», dijo. «Dada la facilidad de monetizar una vulnerabilidad en cualquiera de estos sistemas, creo que es probable que sigamos viendo cómo se piratean cosas, y la pregunta no será: ‘¿Hay un nuevo ataque este mes?’ Será, ‘¿Qué tan comunes son los ataques este mes?’”
«Hay cosas importantes que la industria debe superar para crecer y escalar realmente», dijo Grauer, «porque no se puede tener una industria en crecimiento saludable si todos tienen miedo de ser pirateados».
