El martes 26 de marzo, el proyecto Munchables, basado en NFT y basado en Ethereum, “GameFi”, informó un hack que drenó más de 17,400 ETH (aproximadamente $63 millones) de sus arcas. Cinco horas después de la investigación, quedó claro que el ataque provino del interior de la casa: un desarrollador contratado con el alias "Werewolves0943" había drenado los fondos. El robo de fondos de proyectos por parte de personas con información privilegiada es bastante común en Cripto , por lo que el término "rugpull" es el lenguaje común, pero lo que fue único en esta situación es que los trabajadores contratados supuestamente tenían vínculos con Corea del Norte .
Este es un extracto del boletín The Node, un resumen diario de las noticias Cripto más importantes en CoinDesk y más allá. Puede suscribirse para recibir el boletín completo aquí .
Después de una hora de negociaciones dirigidas por Munchables, junto con el investigador independiente de blockchain ZachXBT y la firma de seguridad PeckShield, Werewolves0943 quedó convencido de devolver todos los fondos. “El desarrollador de Munchables ha compartido todas las claves privadas involucradas para ayudar a recuperar los fondos del usuario. Específicamente, la clave que contiene $62,535,441.24 USD, la clave que contiene 73 WETH y la clave del propietario que contiene el resto de los fondos”, publicó el equipo de Munchables a las 4:40 am UTC.
Si bien parece una resolución bastante feliz de un hack de valor relativamente bajo, el exploit Munchables puede tener una larga serie de malos resultados para la industria de la Cripto . Lo más importante es que, si bien aún no se ha confirmado que Corea del Norte haya estado involucrada en el ataque, el mero hecho de que tanta gente estuviera dispuesta a aceptarlo al pie de la letra ayuda a promover una narrativa peligrosa de que las Cripto están ayudando a erosionar la defensa nacional y reforzar las organizaciones terroristas.
Los datos de 2016 a 2023 recopilados por la firma de análisis en cadena Chainalysis mostraron que Corea del Norte pirateó al menos 20 plataformas Cripto y robó poco más de mil millones de dólares en activos solo el año pasado. Un informe separado de TRM Labs corroboró en gran medida esos hallazgos. "Los hackeos vinculados a Corea del Norte han ido en aumento en los últimos años, y grupos de ciberespionaje como Kimsuky y Lazarus Group utilizan diversas tácticas maliciosas para adquirir grandes cantidades de Cripto ", dijo Chainalysis en su informe.
Investigaciones anteriores encontraron que los piratas informáticos afiliados a Corea del Norte estaban utilizando miles de millones de dólares en botín Cripto robado para financiar el programa de armas nucleares del Reino Ermitaño. Estos ataques fueron una razón importante por la que el Departamento del Tesoro de EE. UU. tomó la medida sin precedentes de sancionar el contrato inteligente del mezclador de Cripto Tornado Cash y por la que la senadora Elizabeth Warren (D-Mass.) puede, de buena fe, llamar a las Cripto un "riesgo para la seguridad nacional".
"Hablando de verdad: la mayor amenaza Regulación para las Cripto es, con diferencia, la acusación de que Corea del Norte financia su programa de misiles pirateando contratos inteligentes", escribió en X el director ejecutivo de Variant Fund, Jake Chervinsky. Si se prohíben las Cripto , "será causado por una visión cada vez más común entre los responsables de las políticas anti-criptomonedas de que las Cripto no tienen un caso de uso distinto del juego y el crimen, y que el riesgo de permitir que las Cripto sigan existiendo supera con creces el potencial". beneficios que los desarrolladores de blockchain han prometido pero no han cumplido durante años”.
El ataque de los Munchables sólo se suma a esta imagen. De hecho, es un poco peor porque no se trata de un actor externo que explota un código mal escrito, sino de un completo fracaso de la diligencia debida por parte de un proyecto blockchain multimillonario al contratar desarrolladores. Le da un giro completamente nuevo a la idea de “ingeniería social” cuando los actores de amenazas aparentes no sólo pueden manipular a una persona interna para obtener información crítica, sino que también pueden recibir un pago por estar en el interior.
Según el desarrollador de Ethereum , 0xQuit , el ataque a Munchables había sido planeado desde el principio. El atacante pudo actualizar el "contrato de bloqueo", destinado a KEEP los fondos del proyecto bajo llave durante un período de tiempo específico, de modo que pudiera "asignarse un saldo depositado de 1.000.000 de ether" y al mismo tiempo ocultar evidencia de los cambios. 0xQuit reclamado .
Ver también: Llamar a un hack un exploit minimiza el error Human | Opinión
Por supuesto, esto no es un problema solo para la industria de la Cripto : durante años, la Oficina Federal de Investigaciones y la República de Corea han estado emitiendo advertencias sobre el "artesanía" norcoreana de los explotadores que obtienen acceso a infraestructura clave a través del empleo. "La contratación o el apoyo a trabajadores de TI de la RPDC sigue planteando muchos riesgos, que van desde el robo de propiedad intelectual, datos y fondos hasta daños a la reputación y consecuencias legales", escribieron las agencias en un reciente anuncio de servicio público.
Retroceder
Aparte de la vergüenza de tener al menos un hacker norcoreano trabajando en el interior de los proyectos que pretenden robar, la respuesta de la Cripto al ataque de Munchables también dejó al descubierto exactamente cuán vulnerables son estos sistemas. Por ejemplo, varias personas en Cripto Twitter sugirieron que, debido a que Munichables estaba en la controvertida cadena de bloques Blast, que se mantiene esencialmente mediante una simple billetera multifirma, el equipo de Blast podría intervenir haciendo retroceder la cadena para recuperar los fondos robados.
"Aunque estoy firmemente en contra de esta acción en cualquier otra cadena, no tomo a Blast como una marca de 'cadena de descentralización seria', sino más bien como un lugar para juegos, experimentos, degeneración, ETC", dijo Adam Cochran, un influyente Voz en los círculos de Ethereum y socio de Cinneamhain Ventures, dijo en apoyo de la posible reversión .
Sin duda, Blast es una red controvertida , que recaudó más de ONE millones de dólares sin siquiera un prototipo, pero no es tan diferente de la forma en que se construyen otras capas 2 de OP Stack. Por ejemplo, después de que Eric Wall recordara a sus seguidores que Blast y la red Base de Coinbase esencialmente ejecutan la misma base de código, el desarrollador principal de Base, Jesse Pollack, tuiteó que las "claves de Base no están controladas por ONE parte o entidad". En cambio, Base está controlada por una billetera multi-firma 2/2, que en teoría también podría revertir la cadena si ambas partes estuvieran de acuerdo.
Actualmente, ninguna solución de escalado de Ethereum está verdaderamente "descentralizada" como se entiende comúnmente, incluso si los equipos que las desarrollan generalmente se adhieren a los principios de acceso sin permiso y no censurar a los usuarios. En cierto sentido, como señala Chervinsky, muchos formuladores de políticas que “comprenden la diferencia entre Tecnología centralizada y descentralizada” elegirían la primera porque significa que los fundadores mantienen el control de lo que sucede en la cadena.
"Pero, en última instancia, la carga de hacerlo mejor recae en los constructores de la industria", añadió.