Redacción NM
No mucho después de abandonar la universidad para seguir una carrera en criptomonedas, Ben Weintraub se despertó con malas noticias.
Weintraub y dos compañeros de clase de la Universidad de Chicago habían pasado los últimos meses trabajando en una plataforma de software llamada Beanstalk, que ofrecía una moneda estable, un tipo de criptomoneda con un valor fijo de $1. Para su sorpresa, Beanstalk se convirtió en una sensación de la noche a la mañana, atrayendo a criptoespeculadores que lo vieron como una contribución emocionante al campo experimental de las finanzas descentralizadas o DeFi.
Luego se derrumbó. En abril, un pirata informático explotó una falla en el diseño de Beanstalk para robar más de $ 180 millones de los usuarios, uno de una serie de robos este año dirigidos a empresas de DeFi. La mañana del hack, el Sr. Weintraub, de 24 años, estaba en casa para la Pascua en Montclair, Nueva Jersey. Entró en la habitación de sus padres.
«Despierta», dijo. «Beanstalk está muerto».
Los piratas informáticos han aterrorizado a la industria de la criptografía durante años, robando Bitcoin de las billeteras en línea y asaltando los intercambios donde los inversores compran y venden monedas digitales. Pero la rápida proliferación de nuevas empresas de DeFi como Beanstalk ha dado lugar a un nuevo tipo de amenaza.
Estas empresas poco reguladas permiten a las personas pedir prestado, prestar y realizar otras transacciones sin bancos ni intermediarios, confiando en cambio en un sistema regido por un código. Con el software DeFi, los inversores pueden solicitar préstamos sin revelar sus identidades o incluso sin someterse a una verificación de crédito. A medida que el mercado se disparó el año pasado, el sector emergente fue aclamado como el futuro de las finanzas, una alternativa democrática a Wall Street que daría a los operadores aficionados acceso a más capital. Los usuarios de criptomonedas confiaron aproximadamente $100 mil millones en moneda virtual a cientos de proyectos DeFi.
Pero parte del software se basó en un código defectuoso. Este año, se robaron USD 2200 millones en criptomonedas de proyectos DeFi, según la firma de seguimiento de criptomonedas Chainalysis, lo que puso a la industria en general al ritmo de su peor año de pérdidas por piratería.
Muchos de los robos se debieron a fallas en los programas informáticos, conocidos como «contratos inteligentes», que alimentan DeFi. Los programas a menudo se construyen apresuradamente. Y debido a que los contratos inteligentes usan código de fuente abierta, que proporciona un mapa del software visible públicamente, los piratas informáticos han podido organizar ataques en la infraestructura digital en sí, en lugar de simplemente infiltrarse en la cuenta de alguien. Es la diferencia entre robar a un individuo y vaciar toda la bóveda de un banco.
“DeFi ha introducido un nivel completamente diferente para que los piratas informáticos puedan acceder a una plataforma”, dijo Erin Plante, vicepresidenta de investigaciones de Chainalysis. “Está ejerciendo mucha presión sobre el espacio y restringiendo la innovación que es posible”.
Las infracciones han sacudido la fe en DeFi durante un período sombrío para la industria de las criptomonedas. Una caída épica esta primavera borró casi $ 1 billón y obligó a varias empresas de alto perfil a la bancarrota. En agosto, los ladrones explotaron un problema de codificación para sustraer $190 millones de una empresa llamada Nomad. La semana pasada, la firma de criptomonedas Wintermute dijo que su división DeFi había sido pirateada, lo que generó pérdidas de $ 160 millones.
El seguimiento del movimiento de las criptomonedas robadas es bastante sencillo. Las transacciones se registran en libros de contabilidad públicos llamados cadenas de bloques, que cualquiera puede analizar para encontrar patrones. Pero es significativamente más difícil recuperar el acceso a los fondos perdidos.
Los hacks han llevado a muchas empresas emergentes de DeFi a explorar medidas preventivas, reclutando auditores para examinar su código en busca de vulnerabilidades. Incluso cuando otros tipos de empresas de criptografía redujeron costos durante la recesión, las empresas de seguridad y auditoría han visto un gran aumento en los negocios.
“Este año fue un buen año para los atacantes”, dijo Goncalo Sa, fundador de ConsenSys Diligence, que realiza auditorías de código. “Eso definitivamente ha arraigado en la mente de las personas que la seguridad es algo que deben tomar en serio”.
Desde el inicio de las criptomonedas, las empresas han tenido problemas con la seguridad. En 2014, el primer intercambio importante de Bitcoin, Mt. Gox, fue violado en un ataque dañino que eventualmente llevó a la bancarrota de la empresa y a la pérdida de miles de millones de dólares en moneda digital.
En ese momento, la industria era relativamente pequeña y sin complicaciones. Ahora los piratas informáticos pueden atacar un ecosistema más amplio, incluida una economía experimental de videojuegos basados en criptografía, proyectos de préstamos descentralizados y monedas novedosas. El año pasado, un hacker robó $600 millones de la plataforma DeFi Poly Network; el ladrón finalmente devolvió el dinero luego de negociaciones con los líderes del proyecto.
Los ataques de este año han causado mucho más daño. En marzo, un grupo patrocinado por el gobierno de Corea del Norte robó USD 620 millones en moneda digital de Ronin Network, una plataforma DeFi que impulsa el videojuego Axie Infinity. Casi al mismo tiempo, un pirata informático explotó una falla de software en un proyecto DeFi llamado Wormhole para fugarse con $ 320 millones.
“Mucha gente está instalando plataformas con una vulnerabilidad conocida”, dijo Chris Tarbell, ex agente del FBI que ahora dirige la empresa de seguridad cibernética NAXO. “En un entorno rico en objetivos, los delincuentes van a ser oportunistas”.
El hackeo de Wormhole explotó vulnerabilidades en un elemento novedoso de tecnología criptográfica conocido como puente de cadena cruzada, que permite a los inversores alternar entre monedas digitales construidas en cadenas de bloques separadas. Algunas plataformas DeFi facilitan estas conversiones para ayudar a las personas a capitalizar las oportunidades comerciales; un comerciante que posee muchos Ether, por ejemplo, podría querer usar una aplicación en la cadena de bloques de otra moneda sin tener que vender Ether y comprar la otra moneda.
La gran cantidad de criptografía que fluye a través de estos puentes de cadena cruzada los convierte en objetivos valiosos. Según Chainalysis, un total de 10 hackeos este año involucraron puentes, lo que generó pérdidas de $ 1.3 mil millones.
La tecnología es «altamente complicada, y la complejidad es enemiga de la seguridad», dijo Steve Walbroehl, fundador de la firma de criptoseguridad Halborn.
Beanstalk no fue construido como un puente de cadena cruzada. Pero tenía otras vulnerabilidades integradas en su código.
El funcionamiento interno del proyecto era casi cómicamente oscuro. Un libro blanco que describe su mecánica consta de 61 páginas de gráficos, tablas y ecuaciones matemáticas (así como una cita de las cartas de Alexander Hamilton).
“La cantidad de vainas que crecen de 1 frijol sembrado está determinada por la temperatura, la tasa de interés nativa del tallo, en el momento de la siembra”, se lee en un pasaje de una guía de la plataforma llamada Farmers’ Almanac.
En esencia, Beanstalk permitió a las personas depositar decenas de millones de dólares en moneda virtual en un sistema de software, lo que generó interés y ayudó a mantener el valor de una moneda estable llamada bean.
El proyecto no operó como una startup tradicional. Al igual que muchos fundadores de criptomonedas, Weintraub y sus colaboradores (Brendan Sanderson, de 25 años, y Michael Montoya, de 24) mantuvieron sus identidades en secreto y se autodenominaron Publius, un homenaje a los autores de Federalist Papers. Cuando se lanzó el software en agosto de 2021, los usuarios que depositaron su criptografía obtuvieron votos en un colectivo de inversores llamado organización autónoma descentralizada, o DAO, que tuvo que aceptar realizar cambios en el software.
El gobierno colectivo de Beanstalk fue, en última instancia, su ruina. En abril, un pirata informático tomó prestado $ 1 mil millones en criptomonedas de otro proyecto DeFi, Aave. La transacción fue el llamado préstamo relámpago: un proceso ultrarrápido en el que un usuario de criptomonedas toma prestados fondos sin publicar ninguna garantía, realiza una transacción y luego devuelve el préstamo de inmediato, conservando las ganancias generadas por la serie de intercambios casi simultáneos. .
El código que habían diseñado Weintraub y sus socios no tenía un mecanismo para evitar que alguien usara un préstamo flash para hacerse cargo de la plataforma. Así que el hacker usó los $ 1 mil millones para reclamar una gran participación en Beanstalk DAO, tomando el control total del gobierno del software. Luego, el hacker transfirió los fondos de todos, un total de casi $200 millones, fuera del sistema Beanstalk.
Se produjo el pánico. “Perdí $ 1 millón hoy”, declaró un usuario de Beanstalk en YouTube. “Sucedió a través de frijoles”.
Algunos usuarios sospecharon que Weintraub y los otros fundadores estaban detrás del ataque, un clásico «tirón de alfombra» en el que un equipo de desarrolladores huye con los fondos de los inversores.
“Las horquillas estaban fuera”, dijo Weintraub. “Se sentía como la muerte”.
Finalmente, él y los otros fundadores decidieron continuar con el proyecto. Informaron del robo al FBI y realizaron llamadas con entusiastas de Beanstalk para encontrar un camino a seguir. En una publicación de abril en el foro de chat Discord, también revelaron sus identidades por primera vez. Fue un movimiento arriesgado: aunque el proyecto no era un negocio tradicional, podría ser vulnerable a demandas por parte de los usuarios o al escrutinio regulatorio.
En los últimos meses, Beanstalk DAO ha trabajado para reiniciar el proyecto, reclutando firmas de análisis de blockchain para ayudar a rastrear las criptomonedas perdidas. El grupo también contrató a Halborn, la firma de seguridad, que está revisando el código para eliminar cualquier vulnerabilidad. Beanstalk reabrió oficialmente el mes pasado.
Tales esfuerzos de recuperación son cada vez más comunes en las criptomonedas. “Siempre hemos sido tan transparentes con la comunidad que esto es un experimento”, dijo Weintraub. “Todos estamos resolviendo esto juntos”.
Los fondos robados siguen desaparecidos.
Este artículo apareció originalmente en The New York Times.
