Criptoverso: Los puentes de blockchain caen en aguas turbulentas

Otro día, otro hackeo - y otro puente de blockchain quemado.

Cuando los ladrones robaron un estimado de 190 millones de dólares de la firma de criptomonedas estadounidense Nomad la semana pasada, fue el séptimo hackeo de 2022 que tuvo como objetivo un engranaje cada vez más importante de la máquina de las criptomonedas: Los "puentes" de la cadena de bloques, cadenas de código que ayudan a mover criptomonedas entre diferentes aplicaciones.

En lo que va de año, los hackers han robado cripto por valor de unos 1.200 millones de dólares de los puentes, según muestran los datos de la firma londinense de análisis de blockchain Elliptic, lo que supone ya más del doble del total del año pasado.

"Esta es una guerra en la que la empresa de ciberseguridad o el proyecto no pueden resultar ganadores", dijo Ronghui Hu, profesor de informática de la Universidad de Columbia en Nueva York y cofundador de la empresa de ciberseguridad CertiK.

"Tenemos que proteger muchos proyectos. Para ellos (los piratas informáticos) cuando miran un proyecto y no hay fallos, simplemente pueden pasar al siguiente, hasta que encuentren un punto débil".

En la actualidad, la mayoría de los tokens digitales funcionan en su propia cadena de bloques (blockchain), esencialmente un libro de contabilidad digital público que registra las criptotransacciones. Esto supone el riesgo de que los proyectos que utilizan estas monedas se conviertan en silos, lo que reduce sus perspectivas de uso generalizado.

Los puentes de cadena de bloques pretenden derribar estos muros. Sus partidarios afirman que desempeñarán un papel fundamental en la "Web3", la tan cacareada visión de un futuro digital en el que las criptomonedas están inmersas en la vida y el comercio en línea.

Sin embargo, los puentes pueden ser el eslabón más débil.

El hackeo de Nomad fue el octavo mayor robo de criptografía registrado. Otros robos de puentes este año incluyen un atraco de 615 millones de dólares en Ronin, utilizado en un popular juego en línea, y un robo de 320 millones de dólares en Wormhole, utilizado en las llamadas aplicaciones financieras descentralizadas.

"Los puentes de blockchain son el terreno más fértil para las nuevas vulnerabilidades", dijo Steve Bassi, cofundador y director general del detector de malware PolySwarm.

TALÓN DE ACHILLES

Nomad y otras empresas que fabrican software de puentes blockchain han atraído el apoyo.

Sólo cinco días antes de ser hackeada, Nomad, con sede en San Francisco, dijo que había recaudado 22,4 millones de dólares de inversores, entre los que se encontraba la importante bolsa Coinbase Global. El director general y cofundador de Nomad, Pranay Mohan, calificó su modelo de seguridad como el "estándar de oro".

Nomad no respondió a las solicitudes de comentarios.

Ha dicho que está trabajando con las agencias de la ley y con una firma de análisis de blockchain para rastrear los fondos robados. A finales de la semana pasada, anunció una recompensa de hasta el 10% por la devolución de los fondos pirateados del puente. El sábado dijo que había recuperado más de 32 millones de dólares de los fondos hackeados hasta ahora.

"Lo más importante en las criptomonedas es la comunidad, y nuestro objetivo número uno es restaurar los fondos de los usuarios del puente", dijo Mohan. "Trataremos a cualquier parte que devuelva el 90% o más de los fondos explotados como un sombrero blanco. No perseguiremos a los sombreros blancos", dijo, refiriéndose a los llamados hackers éticos.

Varios expertos en ciberseguridad y blockchain dijeron a Reuters que la complejidad de los puentes podía representar un talón de Aquiles para los proyectos y aplicaciones que los utilizaran.

"Una de las razones por las que los piratas informáticos han apuntado a estos puentes de cadenas cruzadas últimamente es por la inmensa sofisticación técnica que implica la creación de este tipo de servicios", dijo Ganesh Swami, director general de la firma de datos de blockchain Covalent en Vancouver, que tenía algunas criptomonedas almacenadas en el puente de Nomad cuando fue hackeado.

Por ejemplo, algunos puentes crean versiones de criptomonedas que las hacen compatibles con diferentes blockchains, manteniendo las monedas originales en reserva. Otros se basan en contratos inteligentes, complejos pactos que ejecutan tratos de forma automática.

El código implicado en todos ellos puede contener bugs u otros fallos, dejando potencialmente la puerta entreabierta a los hackers.

BUG BOUNTIES

¿Cuál es la mejor manera de abordar el problema?

Algunos expertos afirman que las auditorías de los contratos inteligentes podrían ayudar a protegerse de los ciberrobos, así como los programas de "recompensas por fallos" que incentivan las revisiones de código de contratos inteligentes de código abierto.

Otros piden una menor concentración del control de los puentes por parte de las empresas individuales, algo que, según dicen, podría reforzar la resistencia y la transparencia del código.

"Los puentes entre cadenas son un objetivo atractivo para los piratas informáticos porque suelen aprovechar una infraestructura centralizada, que en su mayoría bloquea los activos", dijo Victor Young, fundador y arquitecto jefe de la empresa estadounidense de blockchain Analog.