Los ciberataques a las criptomonedas de las que nadie habla: ¿Qué hay detrás?

Un día apenas al despertar, poco después de haber abandonado sus estudios universitarios para dedicarse de lleno a las criptomonedas, Ben Weintraub recibió muy malas noticias.

Weintraub y dos compañeros de la Universidad de Chicago trabajaron durante varios meses en una plataforma de software llamada Beanstalk, que ofreció stablecoin, un tipo de criptomoneda con un valor fijo de un dólar. Para su sorpresa, Beanstalk se convirtió en una sensación de la noche a la mañana y atrajo la atención de especuladores de criptomonedas que la consideraron una excelente aportación al campo experimental de las "plataformas de finanzas descentralizadas", o DeFi.

Entonces, colapsó. En abril, un ciberdelincuente aprovechó una falla en el diseño de Beanstalk y les robó a los usuarios más de 180 millones de dólares, uno más de una serie de robos sufridos este año por proyectos DeFi. La mañana del ciberataque, Weintraub, de 24 años, estaba en casa para celebrar la Pascua judía en Montclair, Nueva Jersey. Entró a la habitación de sus padres.

“Despierten”, dijo. “Beanstalk está muerta”.

Varios ciberdelincuentes han tenido aterrorizada a la industria de las criptomonedas desde hace años: han robado bitcoines de monederos en línea y atacado las casas de cambio en que los inversionistas compran y venden monedas digitales. Por desgracia, la rápida desaparición de empresas emergentes como Beanstalk ha dado origen a un nuevo tipo de amenaza.

Estas empresas que apenas están supervisadas les ofrecen opciones a las personas para obtener y otorgar préstamos, además de realizar otras operaciones bancarias, sin necesidad de recurrir a corredores, sino con ayuda de un sistema regido por código. Los inversionistas utilizan software DeFi para obtener préstamos sin revelar su identidad y sin tener que someterse a una verificación de antecedentes crediticios. Con el crecimiento del mercado el año pasado, se aclamó a este sector emergente como el futuro de las finanzas, una alternativa democrática a Wall Street que les daría a los negociadores aficionados acceso a más capital. Los usuarios de criptomonedas invirtieron alrededor de 100,000 millones de dólares en monedas virtuales en cientos de proyectos DeFi.

El problema fue que parte del software tenía como base un código defectuoso. Este año, varios proyectos DeFi han sufrido el robo de un total aproximado de 2200 millones de dólares en criptomonedas, según la firma de monitoreo de criptomonedas Chainalysis, lo que ha puesto a esta industria, en general, en tal situación que este podría ser su peor año en términos de pérdidas debido a ciberataques.

Muchos de los robos han ocurrido debido a defectos en los programas informáticos (conocidos como “contratos inteligentes”) que hacen posible la operación DeFi. Los programas por lo regular se construyen con mucha prisa. Por si esto fuera poco, como los contratos inteligentes utilizando código abierto, que le permite al público en general ver un mapa del software, los ciberdelincuentes han logrado organizar ataques contra la propia infraestructura digital, en vez de solo infiltrarse en la cuenta de alguna persona. Es la diferencia entre robarle a una persona y vaciar por completo la bóveda de un banco.

“DeFi les ha ofrecido un mundo de opciones a los ciberdelincuentes para tener acceso a una plataforma”, explicó Erin Plante, vicepresidenta de investigaciones en Chainalysis. “Ha puesto muchísima presión en el espacio y limitada la innovación que es posible”.

Estas incursiones han mermado la confianza durante un período sombrío para la industria de las criptomonedas. Un desplome de proporciones épicas esta primavera arrasó con casi un billón de dólares y llevó a varias empresas importantes a la quiebra. En agosto, unos delincuentes aprovecharon un problema de código para sustentar 190 millones de dólares de una empresa llamada Nomad. La semana pasada, la firma de criptomonedas Wintermute anunció que su división de finanzas descentralizadas había sufrido un ciberataque que produjo pérdidas equivalentes a 160 millones de dólares.

Rastrear el movimiento de las criptomonedas robadas no es complicado. Queda constancia de las transacciones en registros públicos llamadas cadenas de bloques, que cualquiera puede analizar para detectar patrones. Por desgracia, es mucho más difícil recuperar el acceso a fondos robados.

Como consecuencia de los ciberataques, muchas empresas emergentes han decidido explorar medidas de prevención, por lo que han contratado auditores para examinar su código y encontrar sus puntos vulnerables. Aunque otro tipo de empresas del criptomundo han recortado sus gastos en este periodo de desaceleración económica, las empresas de seguridad y auditoría han experimentado un gran aumento en la demanda de sus servicios.

“Este año fue bueno para los atacantes”, comentó Goncalo Sa, fundador de ConsenSys Diligence, que realiza auditorías de código. “Es una situación que definitivamente ha grabado en la mente de las personas que deben tomar muy en serio el aspecto de la seguridad”.

Desde que aparecieron las criptomonedas, las empresas han batallado con la seguridad. En 2014, la primera gran casa de cambio de bitcoines, Mt. Gox, sufrió un terrible ataque que provocó su quiebra y la pérdida de miles de millones de dólares en moneda digital.

En esa época, la industria era relativamente pequeña y sencilla. Ahora los ciberdelincuentes pueden atacar a un ecosistema más extenso, que incluye una economía experimental de videojuegos basada en las criptomonedas, proyectos de préstamo descentralizado y monedas de última moda. El año pasado, un ciberdelincuente robó 600 millones de dólares de la plataforma Poly Network; después de algunas negociaciones con los líderes del proyecto, el delincuente devolvió el dinero.

Los ciberataques de este año han sido más perjudiciales. En marzo, un grupo respaldado por el gobierno de Corea del Norte robó 620 millones de dólares en moneda digital de la plataforma Ronin Network, responsable de la operación del videojuego Axie Infinity. Por la misma época, un ciberdelincuente explotó un defecto de software de un proyecto llamado Wormhole para fugarse con 320 millones de dólares.

“Muchas personas están creando plataformas con una vulnerabilidad conocida”, aseveró Chris Tarbell, antiguo agente del FBI que en la actualidad dirige la firma de ciberseguridad NAXO. “En un contexto con tantos blancos, los delincuentes van a aprovecharse”.

El ataque a Wormhole aprovechó las operaciones de vulnerabilidad en un elemento novedoso de la tecnología de las criptomonedas conocidas como puente entre cadenas, que les permite a los inversionistas realizar el cambio de una moneda digital a otra creada en una cadena de bloques separados. Algunas plataformas DeFi facilitan estas conversiones para ayudar a que las personas capitalicen oportunidades; un inversionista que tiene muchísimas monedas de Ether, por ejemplo, quizás quiera utilizar una aplicación en la cadena de bloques de otra moneda sin tener que vender sus monedas de Ether y comprar la otra moneda.

Debido a la enorme cantidad de criptomonedas que fluyen a través de estos puentes entre cadenas, se trata de objetos valiosos. Un total de 10 ciberataques este año han involucrado este tipo de puentes, y han causado pérdidas de 1,300 millones de dólares, según Chainalysis.

La tecnología es “de lo más complicada, y la complejidad es enemiga de la seguridad”, afirmó Steve Walbroehl, fundador de la firma de criptoseguridad Halborn.

Beanstalk no se construyó como puente entre cadenas, pero sí tenía otras vulnerabilidades integradas en su código.

El funcionamiento interno del proyecto era de un misterio casi cómico. Un libro blanco que explica su mecánica está integrado por 61 páginas de gráficas, esquemas y ecuaciones matemáticas (así como una cita de las cartas de Alexander Hamilton).

“El número de vainas que crecen de un “bean” cultivado está determinado por la temperatura (la tasa de interés propia de Beanstalk) en el momento del cultivo”, indica un pasaje de una guía para la plataforma llamada Farmers' Almanac.

En esencia, Beanstalk les permitía a los usuarios depositar decenas de millones de dólares en monedas virtuales en un sistema de software, el cual generaba intereses y ayudaba a mantener el valor de una stablecoin llamada bean.

El proyecto no operaba como una empresa emergente tradicional. Al igual que muchos fundadores de criptomonedas, Weintraub y sus colaboradores (Brendan Sanderson, de 25 años, y Michael Montoya, de 24) decidieron mantener su identidad en secreto y adoptaron el nombre Publius, en honor a los autores de la colección de ensayos”. El Federalista”. Cuando el software comenzó a operar en agosto de 2021, los usuarios que depositaron sus criptomonedas adquirieron el derecho a votar en un grupo de inversionistas designado “organización autónoma descentralizada”, o DAO, por su sigla en inglés, cuyo consentimiento es necesario para poder hacerle cambios al software.

A fin de cuentas, el gobierno colectivo de Beanstalk fue su perdición. En abril, un ciberdelincuente tomó prestados mil millones de dólares en criptomonedas de otro proyecto llamado Aave. La transacción fue un préstamo relámpago, según se designa en la plataforma, un proceso a velocidad relámpago en que un usuario de criptomonedas toma fondos prestados sin entregar ningún tipo de colateral, realiza una operación y luego paga de inmediato el préstamo, conservando las ganancias generadas de la serie de intercambios casi simultáneos.

El código que Weintraub y sus socios habían diseñado no contaba con un mecanismo para evitar que alguien empleara un préstamo relámpago para apoderarse de la plataforma. Así que el ciberdelincuente exigió los mil millones de dólares para exigir una enorme participación en la DAO de Beanstalk, gracias a la cual tomó control del órgano de gobierno del software. A continuación, transfirió los fondos de todos los usuarios, un total de casi 200 millones de dólares, fuera del sistema de Beanstalk.

En meses recientes, la DAO de Beanstalk ha estado trabajando para volver a poner en marcha el proyecto: contratar los servicios de firmas de análisis de cadenas de bloques para ayudar a rastrear las criptomonedas perdidas. El grupo también contrató a Halborn, la empresa de seguridad, y le encomendó revisar el código para eliminar cualquier otra vulnerabilidad. Beanstalk reinició operaciones oficialmente el mes pasado.

Estas acciones de recuperación son cada vez más comunes en el criptomundo. “Siempre hemos sido de lo más transparentes con la comunidad sobre el hecho de que este es un experimento”, dijo Weintraub. “Todos estamos trabajando juntos para saber qué hacer”.

Todavía no se sabe dónde están los fondos robados.

El botín de los ciberataques en 2022 ha sido de más de 2000 millones de dólares en monedas digitales, lo que ha hecho tambalear la confianza en este campo. (Saiman Chow/The New York Times)

Derechos de autor: c.2022 The New York Times Company