Los hacks siguen siendo comunes en el espacio criptográfico, con más de $320 millones en activos digitales perdidos en el primer trimestre de 2023. Sin embargo, los hacks recientes han demostrado que algunos explotadores están dispuestos a devolver activos a cambio de una recompensa, un proceso que algunos han descrito como un programa de recompensas con errores con sabor criminal.
Solo en abril se produjeron al menos tres incidentes de piratas informáticos que devolvieron fondos explotados al espacio de finanzas descentralizadas (DeFi). El 4 de abril, el equipo de Euler Finance logró recuperar 176,4 millones de dólares tras ofrecer al hacker el 10% de los fondos robados.
Asimismo, el protocolo de préstamos Sentiment también pudo recuperar casi un millón de dólares en fondos robados tras negociar con el hacker. Más recientemente, el atacante que logró tomar USD 8,9 millones del protocolo DeFi SafeMoon acordó devolver el 80 % de los fondos.
Si bien los hacks recientes podrían haberse evitado con programas seguros y rentables de recompensas por errores, esto puede ser el resultado de que las ofertas de recompensas no valgan la pena desde la perspectiva de un hacker ético o de sombrero blanco.
Steven Wallbroel, cofundador de la empresa de seguridad Halborn, dijo que es muy común que las empresas se nieguen a pagar recompensas por errores y no se tomen muy en serio las vulnerabilidades reportadas. Como ex cazarrecompensas, Walbroehl dijo que algunos programas de recompensas a veces lo hacen «sentirse estafado» fuera de su tiempo. Explicó que:
«Poniéndose en el lugar de un investigador, si encuentra un exploit que puede generar millones de dólares en fondos robados, pero el desarrollador solo ofrece una recompensa de $ 5,000, eso puede crear una cantidad desproporcionada de incentivos para no tomar la recompensa».
Walbroehl también dijo que las empresas a menudo minimizaban los hallazgos al decir que los errores no eran críticos. El informe de errores a veces también da como resultado que las empresas no paguen, alegando que su equipo ya encontró el error por su cuenta, según Walbroehl.
Conectado: Hacker extrae 1 billón de yUSDT después de explotar el antiguo contrato Yearn.finance
Simon Zhu, director sénior de productos de la firma de seguridad blockchain CertiK, dijo que las plataformas realmente necesitan crear programas que sean seguros y rentables para los desarrolladores. Si bien la devolución de los fondos es una victoria, Zhu le dijo a Cointelegraph que esta no sería una tendencia bienvenida, ya que en este escenario los atacantes esencialmente retienen los fondos como rehenes. Zhu explicó que:
“Aquí se prefieren claramente los programas de recompensas por errores de sombrero blanco. Las plataformas que no ofrecen un programa de recompensas por errores que permita la divulgación segura y rentable de vulnerabilidades pueden encontrarse pagando un precio mucho más alto.
Además, Zhu también instó a los proyectos a cambiar su mentalidad cuando se trata de vulnerabilidades. Según el ejecutivo de seguridad cibernética, algunos equipos de desarrollo tienden a ignorar errores menores cuando el costo de corregir el error es alto o cuando el contrato inteligente se vuelve más complejo de cambiar después de corregir el error.
Sin embargo, el CEO de CertiK enfatizó que en Web3, una pequeña vulnerabilidad puede convertirse en una grande de la noche a la mañana. «Jugar al pollo con los depósitos de los consumidores no es un enfoque responsable a largo plazo de la seguridad», agregó Zhu.
revista: Las agencias de aplicación de la ley de EE. UU. están aumentando la presión sobre los delitos relacionados con las criptomonedas
