El FBI emitió un Anuncio de servicio público (PSA) con respecto a la actividad cibercriminal cada vez más concentrada que rodea el panorama DeFi (Finanzas descentralizadas). El FBI advierte a los inversores que hagan su debida diligencia al elegir con qué protocolos DeFi deciden participar, citando vulnerabilidades particulares de su (frecuente) naturaleza de código abierto. Si bien es transparente, el código abierto abre el libro sobre eventuales vulnerabilidades de seguridad que los ciberdelincuentes pueden explorar. Debido a la cantidad de dinero que se mueve a través de los intercambios descentralizados (DEX), que en 2021 movieron alrededor de $ 1 billón, existe un gran apetito por las vulnerabilidades.
Los números del FBI son asombrosos. Según el servicio, se estima que ya se han pirateado USD 1300 millones del mercado de criptomonedas, y el 97 % de ese valor se tomó del sector DeFi entre enero y marzo de este año. El FBI estima que esto corresponde a un aumento del 72 % con respecto al mismo período del año pasado y un aumento del 30 % con respecto a 2020. Según datos públicos, se desviaron más de $4 mil millones del espacio criptográfico durante todo 2021. El servicio también señala explícitamente los agujeros de gusano, servicios que unen cadenas de bloques dispares, como puntos de ataque preferidos. Recientemente, uno de esos servicios, Ronin, fue pirateado por 625 millones de dólares.
El #FBI advierte que los ciberdelincuentes están explotando cada vez más las vulnerabilidades en las plataformas de finanzas descentralizadas (DeFi) para robar las criptomonedas de los inversores. Si cree que es víctima de esto, comuníquese con la oficina local del FBI o IC3. Más información: https://t.co/fboL1N17JN pic.twitter.com/VKdbpbmEU129 de agosto de 2022
Un territorio de criptomonedas, DeFi tiene varios niveles de descentralización, que abarcan servicios verdaderamente descentralizados (donde ninguna institución singular tiene control de fondos o claves privadas) a través de versiones menos centralizadas (recuerde los eventos que rodearon a Celsius DEX). Todos ellos operan a través de contratos inteligentes, automatizaciones digitales que definen reglas para intercambios, compras, transmisiones de propiedad y, esencialmente, todo lo que sucede en el espacio de la cadena de bloques.
Sin embargo, debido a la complejidad de la programación, a veces se cuelan errores en el código. Esto también sucede a veces debido a auditorías y validaciones de código deficientes. Por lo tanto, el FBI ha incluido en sus recomendaciones que los inversores se aseguren de que el servicio DeFi que están considerando utilizar haya pasado por auditorías de código independientes. Si bien esto no es una garantía de que no puedan o no sean pirateados, en teoría aumenta el listón que los piratas informáticos tienen que atravesar para acceder a los fondos de los usuarios.
El código deficiente generalmente tiene errores que los malos actores pueden aprovechar para desviar fondos de los intercambios. Este desvío puede ocurrir a través de una transferencia real de fondos del DEX a billeteras controladas por delincuentes, o mediante la acuñación (creación) de tokens legítimos de la nada. (Estos tokens no son tokens «reales», como una unidad Ethereum (ETH) o Bitcoin (BTC), sino representaciones específicas de intercambio de ese token, que tienen el mismo valor que sus contrapartes originales). Cuando se crean estos tokens, se reconocen como válidos y, por lo tanto, valen exactamente lo mismo que los legítimos, aunque en realidad no valen nada.
Esto origina dos niveles de preocupación. Primero, el valor de todas las fichas equivalentes en circulación disminuye (porque hay más en circulación). En segundo lugar, se pueden cambiar por las criptomonedas reales que representan (como BTC o ETH). Los inversores suelen depositar estas criptomonedas en los intercambios y sirven como garantía para sus actividades DEX.
Cuando estos fondos se intercambian y se mueven a una billetera criminal, el juego casi termina. Debido a la irreversibilidad de la cadena de bloques, todas las operaciones son definitivas. Estas acciones pueden poner de rodillas a los intercambios, ya que ya no son dueños de los activos de criptomonedas depositados por los inversores y, por lo tanto, no pueden devolverlos a pedido de ellos, generando crisis de liquidez, «corridas bancarias» y dejando los fondos de los inversores varados.
Los ciberdelincuentes toman una serie de pasos para ocultar sus actividades, incluidos los tumblers (contratos inteligentes que eliminan los rastros de criptomonedas al agrupar los fondos que se le envían, ofuscando la procedencia y la trazabilidad general de todas las transacciones de criptomonedas). El servicio Tornado.cash fue uno de ellos (su codificador ha sido arrestado desde entonces). Otro método más ingenioso (y destructivo) es que los hackers simplemente peguen su código de explotación en una base de datos abierta. Luego, otros, que generalmente no tendrían los conocimientos para explorar vulnerabilidades por sí mismos, pueden simplemente copiar y pegar este código y participar en el saqueo. Aquí, el caos sirve de tapadera.
Quitar
El FBI claramente considera que el espacio de las criptomonedas es una fuente de preocupación, ya que los ataques de los malos actores afectan a una gran cantidad de usuarios (es decir, inversores) con cada extracción exitosa de fondos. Corresponde a los usuarios realizar su debida diligencia al elegir con qué intercambios interactuar y dónde depositarán sus inversiones. Buscar intercambios que tengan la transparencia adecuada, que en realidad estén descentralizados, que hayan realizado auditorías de código independientes y que tengan un historial de codificación sólida y respuesta a eventos es primordial para que los inversores calculen con precisión qué tan riesgosa es su inversión. Es más fácil decirlo que hacerlo.
Al mismo tiempo, la responsabilidad no recae únicamente en los inversores. El FBI insta a los intercambios a realizar los mismos pasos que piden a los usuarios que tengan en cuenta. Deben realizar auditorías de código independientes, administrar análisis en cadena en tiempo real y crear planes de respuesta oportunos que puedan comunicarse de manera efectiva con los inversores.
En última instancia, los usuarios también eligen con sus billeteras qué plataformas DeFi se destacan. Cuanto más informadas estén sus decisiones, más inteligente será su asignación de inversiones y menor será el riesgo.