DeFi apps representan 24/7 tesoros multimillonarios para los hackers

Durante el fin de semana, la explotación de una vulnerabilidad de contrato inteligente obligó a los desarrolladores de la aplicación Fulcrum basada en Ethereum a deshabilitar parcialmente su contrato inteligente. Una reciente autopsia de la brecha de seguridad muestra que el atacante utilizó una serie de complejos intercambios a través de múltiples aplicaciones para explotar la vulnerabilidad. Esto hizo que los investigadores concluyeran que el atacante poseía un “conocimiento extremadamente profundo de cada protocolo DeFi”.

La viabilidad de DeFi

Como ha informado anteriormente BeInCrypto, el incidente hizo que algunos cuestionaran la viabilidad del sector DeFi. Charlie Lee, el fundador de Litecoin, dijo que el hecho de que las denominadas aplicaciones descentralizadas tengan una clave de administración para poner en pausa los contratos equivalía a un “teatro de la descentralización”. El desarrollador de Lightning Network, Alex Bosworth, compartía una opinión similar:

If your “defi” project has an admin key or a coordinator, a set of oracles, a group of validators or cosigners, a default trusted keys list, even if you “have plans to phase it out”, what you are actually doing is running a financial service. In other words you actually have no d

— Alex Bosworth (@alexbosworth) February 15, 2020

Tanto si las afirmaciones de descentralización absoluta son exactas como si no, el incidente apunta a un problema mucho mayor y más fundamental dentro de la industria. Aunque el informe de los investigadores de bZx afirma que todos los fondos de los usuarios están a salvo y que han aplicado un parche para impedir que los futuros atacantes utilicen la mismo estrategia, esas correcciones reactivas no contribuyen en nada a prevenir futuras vulnerabilidades. Como aplicaciones financieras, aplicaciones como Fulcrum representan un vasto abanico de posibilidades para los hackers. En constante funcionamiento y con funciones cada vez más complejas, el hecho de que tantos contratos inteligentes ya hayan sido víctimas de exploits demuestra que son un objetivo atractivo. El reportero y observador de la industria Larry Cermak destacó el tema a través de Twitter el martes pasado. Describe las aplicaciones actuales de DeFi como una constante “recompensa multimillonaria abierta 24/7 y con muy pocas consecuencias”. Cermak concluye que la creación de una aplicación DeFi debe ser un dolor de cabeza duradero para los desarrolladores:

In all seriousness, I can’t even imagine the stress that the DeFi currently have EVERY SINGLE DAY. It’s a multi million dollar bounty open 24/7 and with very little consequences.

— Larry Cermak (@lawmaster) February 18, 2020

Los propios desarrolladores de bZx parecen estar de acuerdo con lo anterior. Kyle J. Kistner, CVO de la BZx escribe:

“El espacio evoluciona rápidamente, y la seguridad es cada vez más grave a medida que las barreras de entrada para ejecutar una explotación se reducen a cero. No hay ninguna analogía con esto en el sistema financiero tradicional. Estamos ahora en territorios inexplorados”.

Territorio comanche

Mientras tanto, otros han argumentado que la industria aún no está suficientemente probada como para que la gente invierta grandes sumas de dinero en nuevas y complejas dApps. En el siguiente hilo de Twitter, Taylor Monahan, CEO de MyCrypto.com, detalla cómo bZx ha estado en el centro de varias vulnerabilidades anteriores:

The problem is idiots can build an exciting product, ignore security, refuse to learn, and still handle millions of dollars worth of your money bc y'all think #DeFi is safe. 😕

1. Start holding people accountable
2. Stop giving idiots your money
3. Start learning from history

— Taylor Monahan (@tayvano_) February 18, 2020

En última instancia, llega a la conclusión de que las explotaciones de DeFi del pasado deberían ser suficientes para alejar a la gente de la industria. También aboga por una mayor responsabilidad en la industria. Sin embargo, con el interés y las subsiguientes inversiones en finanzas descentralizadas que crecen rápidamente, y con las aplicaciones que también crecen en complejidad, es sin duda una cuestión de cuándo, y no de si un incidente similar al del hack de Fulcrum volverá a ocurrir.