Recompensar a los hackers que acceden a devolver una parte de los fondos robados no solo “crea un riesgo moral” sino que potencialmente “conduce a más infracciones de seguridad”, ha argumentado un experto en Web3. Los recientes ataques a Kronos y Kyberswap, así como los posteriores intentos de involucrar a los hackers, se dice que demuestran por qué las víctimas de los ataques no deberían confiar solo en apaciguar a los explotadores.
Recompensar a los Hackers con Recompensas por Errores 'Crea Inherentemente un Peligro Moral', Dice el Experto
Este artículo se publicó hace más de un año. Alguna información puede no estar actualizada.
ESCRITO POR
COMPARTIR
Eficacia e Importancia de la Auditoría de Código
Según el último informe de pérdidas de criptoactivos de Immunefi reporte, los ciberdelincuentes sifonearon exitosamente más de $1.7 mil millones de plataformas de intercambio de activos digitales descentralizadas y centralizadas en los primeros once meses de 2023. Los robos se han llevado a cabo a través de hackeos, ataques de phishing y fraude abierto.
Estos ataques han aumentado en su frecuencia y audacia en los últimos meses, llevando a muchos, incluyendo a los proponentes de plataformas descentralizadas, a cuestionar la eficacia de las auditorías de código o cómo se aseguran los fondos de los usuarios. Aún así, otros como Davinder Singh, el CTO de la plataforma cripto Rocketx, concuerdan con aquellos que argumentan en contra de recompensar a los hackers. Según Singh, recompensar a los hackers que acceden a devolver una parte de los fondos robados “inherentemente crea un riesgo moral”.
Aunque están destinados a ayudar a las plataformas de finanzas descentralizadas (defi) a mejorar su seguridad y proteger a los usuarios de ataques maliciosos, Singh dijo a Bitcoin.com News que ofrecer tales recompensas “inadvertidamente incentiva a actores maliciosos y potencialmente conduce a más infracciones de seguridad”.
Los recientes ataques a Kronos y Kyberswap, así como los posteriores intentos de involucrar a los hackers, potencialmente demuestran por qué las plataformas de intercambio no deberían confiar únicamente en apaciguarlos. Por ejemplo, el actor malicioso detrás del exploit de Kyberswap recientemente hizo varias solicitudes aparentemente escandalosas, incluyendo exigir control total sobre Kyber.
Como se informó por Bitcoin.com News, el hacker está buscando un arreglo más favorable que la oferta del equipo de Kyberswap. Este ejemplo podría prestar al argumento de que las plataformas defi deben estar más enfocadas en encontrar maneras de prevenir los ataques.
Rastrear a los Hackers
Sin embargo, Fraser Edwards, el CEO de la red de pago que preserva la privacidad, Cheqd, le dijo a Bitcoin.com News que además de ayudar a las plataformas a recuperar algunos de los fondos, la oferta de recompensar a los hackers también ayuda a las plataformas de intercambio a identificar a los perpetradores de los ataques.
“La oferta y cualquier respuesta crea la posibilidad de obtener más información sobre el hacker que podría delatarlo. Por ejemplo, ¿se comunican a través de ciertos canales o usan nombres de usuario que podrían llevar a una identidad real? Un buen ejemplo aquí es cómo Ross Ulbricht de Silk Road fue identificado a través de su nombre de usuario/sobrenombre siendo vinculado a través de múltiples foros, eventualmente a su identidad real”, explicó Edwards.
Mientras tanto, Nikolay Angelov, Jefe del área Blockchain del prestamista cripto Nexo, insiste en que mientras que los bounties por errores son útiles en ayudar a las plataformas de intercambio descentralizadas a recuperar fondos robados, también ayudan a limpiar el dinero de los hackers. Además, en algunos de los casos de alto perfil conocidos en los que los hackers han accedido a devolver los fondos robados, la suma finalmente recuperada ha sido menos del 90%.
Disminución de la Confianza del Usuario
Cuando los hackers pueden escapar fácilmente con robar millones de dólares, esto inevitablemente erosiona la confianza en las plataformas de activos digitales. Para restaurar la confianza, Angelov dijo que las plataformas deben utilizar “inspecciones de código de software en tiempo real para prevenir vulnerabilidades”.
Mientras que los llamados hackers de sombrero blanco pueden estar motivados por el desafío o la recompensa, los hackers respaldados por estados, por otro lado, no tienen deseo de devolver los fondos. Por lo tanto, las recompensas por errores pueden no ser una manera efectiva de intentar recuperar fondos. Según Angelov, los operadores que están al final de los ataques orquestados por actores respaldados por el estado como el Grupo Lazarus afiliado a Corea del Norte deberían “buscar activamente la cooperación con agencias gubernamentales para prevenir que los fondos robados entren en sus plataformas”.
Singh, quien comparte sentimientos similares, instó a los actores defi a colaborar compartiendo inteligencia sobre amenazas y adoptando estrategias de defensa avanzadas. Añadió:
“Este esfuerzo colectivo es esencial para salvaguardar el ecosistema financiero descentralizado contra amenazas sofisticadas respaldadas por el estado”.
¿Cuáles son tus pensamientos sobre esta historia? Háznoslo saber en la sección de comentarios a continuación.
