Poly Network Hack: reconsideración del escenario del 'pirata informático real'

El reciente hackeo entre cadenas de Poly Network, que incluye Ethereum, Binance Smart Chain y Polygon, ha causado mucho revuelo cuando el pirata informático devolvió los fondos robados.

Cuanto más avanza la historia, aparecen más detalles y especulaciones sobre los verdaderos motivos del hacker.

Si observa más de cerca este evento, puede preguntarse si fue un ataque completamente implementado por personas externas.

¿Qué hay debajo del truco?

El hack de Poly Network ocurrió a través de una vulnerabilidad en los puentes entre cadenas construidos por Poly Network. Así lo ha proporcionado el informe de la firma de ciberseguridad SlowMist.

La firma de ciberseguridad BlockSec ha ofrecido una versión del hack. En esta versión, el pirata informático obtuvo una clave que le permitió firmar transacciones entre cadenas utilizando los puentes de Poly Network. De lo contrario, encontró un error en el contrato inteligente de Poly Network que le permitió generar sus propias transacciones.

Ambos exploits serían muy difíciles de encontrar tanto para los piratas informáticos como para los auditores. Evidentemente, los auditores no encontraron el exploit. Así que nos abre una posibilidad de duda con respecto a un pirata informático externo.

Además, debe tener en cuenta el efecto de relaciones públicas que ha causado la noticia. Esto me hace considerar la posibilidad de que haya sido un ejercicio de relaciones públicas de la empresa.

Sin embargo, el escenario del "verdadero pirata informático" sigue siendo relevante en algunos hechos. El hacker decidió devolver los fondos. Esto fue después de que apareciera en Twitter la información relacionada con la dirección IP del pirata informático y la dirección verificada del cliente en el intercambio de criptomonedas Hoo.com con sede en China.

Antes del ataque, el pirata informático retiró 0.47 ETH para pagar las tarifas de gas en las transacciones. El intercambio pudo registrar el correo electrónico y la dirección IP utilizada por el pirata informático.

Entonces, amenazado por un proceso penal, el hacker decidió devolver los fondos robados para evitar una acusación. Sin embargo, eso parece bastante dudoso, ya que el hacker utilizó numerosos instrumentos de anonimización. Esto también fue en su respuesta al informe SlowMist.

Además, vale la pena señalar que el atacante envió algunos de los fondos robados a un grupo de liquidez de Ellipsis Finance. Esto podría haberle dado ya una ganancia decente, haciendo que el resto de los fondos no valga la pena el riesgo.

La tecnología novedosa conlleva riesgos

La razón principal detrás de los hacks es el uso de nuevos lenguajes de programación con los que muchos desarrolladores de blockchain no están del todo familiarizados, por ejemplo, el lenguaje de programación Solidity.

Sin embargo, la mayor carga recae en las características arquitectónicas de los contratos inteligentes que crean la mayor amenaza de seguridad para las finanzas descentralizadas en particular.

Además, la cantidad de personal de seguridad es obviamente insuficiente en la mayoría de las startups de blockchain. Algunos de ellos ni siquiera se molestan en hacer una auditoría adecuada de su tecnología.

Mientras tanto, a medida que crece la industria, también lo hace la cantidad de geeks que estudian la tecnología. La diferencia en los números a menudo favorece a los geeks que, una vez unidos en un grupo, pueden causar un peligro masivo a unos pocos miles de personas trabajadoras en toda la industria.

Cuanto más crezca la industria, más vulnerabilidades habrá siempre que la situación con la seguridad en la industria permanezca como es ahora.

Formas de abordar las ciberamenazas en el ámbito de las criptomonedas

En primer lugar, se debe prestar más atención a la seguridad de los contratos inteligentes. La mayoría de las veces, los ataques de piratería exitosos ocurren en contratos inteligentes que no han sido auditados adecuadamente.

Solo un enfoque sistémico de la seguridad de los proyectos de blockchain podría permitir que DeFi escale. Eso incluye auditorías realizadas por profesionales y siguiendo protocolos de seguridad dentro de la empresa.

Hablando de abordar los riesgos arquitectónicos, el enfoque modular podría ser una buena solución al problema. Lo bueno del desarrollo modular es que es como construir una red local utilizando sistemas blade que se pueden reemplazar sin apagar toda la unidad en la que trabajan.

Puede reemplazar el servidor sin comprometer el trabajo de la red local. Por lo tanto, puede reconstruir un módulo sin comprometer el trabajo del resto de su pila de tecnología.

El ejemplo de Poly Network no es único, cualquier proyecto que funcione con grandes cantidades de dinero tiene que pasar por innumerables verificaciones de código, y siempre es mejor utilizar el servicio de varios auditores en lugar de uno, por buenos y profesionales que sean.

El doble control debería ser un principio rector a este respecto. En segundo lugar, el proyecto no debe lanzarse apresuradamente porque el precio de un error en un código inalterable es demasiado alto. Incluso si algunas de las fechas de lanzamiento tienen que cambiar, es mejor hacerlo que correr el riesgo de lanzar un producto en el que no tiene plena confianza.

Ambas tácticas podrían reducir sustancialmente los riesgos controlables y no influenciables.

¿Qué significa para el futuro?

Esto puede ser un ataque de piratas informáticos de terceros o una persona con información privilegiada que decidió generar publicidad en torno al proyecto. Actualmente, es poco probable que sepamos la verdad hasta que la compañía revele sus resultados.

Sin embargo, si fuera un ataque de la empresa en aras de la atención del público, sería una tontería esperar que se sinceraran, ya que podría incurrir en consecuencias muy graves para todos sus gerentes ejecutivos.

La verdad de la historia es que el problema de seguridad debe abordarse seriamente. Mientras no lo sea, veremos más titulares sobre robos épicos que surgen en los medios de criptomonedas.

Descargo de responsabilidad:

Toda la información contenida en nuestro sitio web se publica de buena fe y solo con fines de información general. Cualquier acción que el lector realice sobre la información que se encuentra en nuestro sitio web es estrictamente bajo su propio riesgo.