Especial para Infobae de The New York Times.
Un día apenas al despertar, poco después de haber abandonado sus estudios universitarios para dedicarse de lleno a las criptomonedas, Ben Weintraub recibió muy malas noticias.
Weintraub y dos compañeros de la Universidad de Chicago habían trabajado durante varios meses en una plataforma de software llamada Beanstalk, que ofrecía stablecoin, un tipo de criptomoneda con un valor fijo de un dólar. Para su sorpresa, Beanstalk se convirtió en una sensación de la noche a la mañana y atrajo la atención de especuladores de criptomonedas que la consideraron una excelente aportación al campo experimental de las finanzas descentralizadas, o DeFi.
Entonces, colapsó. En abril, un ciberdelincuente aprovechó una falla en el diseño de Beanstalk y les robó a los usuarios más de 180 millones de dólares, uno más de una serie de robos sufridos este año por proyectos DeFi. La mañana del ciberataque, Weintraub, de 24 años, estaba en casa para celebrar la Pascua judía en Montclair, Nueva Jersey. Entró a la habitación de sus padres.
“Despierten”, dijo. “Beanstalk está muerta”.
Varios ciberdelincuentes han tenido aterrorizada a la industria de las criptomonedas desde hace años: han robado bitcoines de monederos en línea y atacado las casas de cambio en que los inversionistas compran y venden monedas digitales. Por desgracia, la rápida proliferación de empresas emergentes DeFi como Beanstalk ha dado origen a un nuevo tipo de amenaza.
Estas empresas que apenas están reguladas les ofrecen opciones a las personas para obtener y otorgar préstamos, además de realizar otras operaciones, sin necesidad de recurrir a bancos o corredores, sino con ayuda de un sistema regido por código. Los inversionistas utilizan software DeFi para obtener préstamos sin revelar su identidad y sin tener que someterse a una verificación de antecedentes crediticios. Con el crecimiento del mercado el año pasado, se aclamó a este sector emergente como el futuro de las finanzas, una alternativa democrática a Wall Street que les daría a los negociadores aficionados acceso a más capital. Los usuarios de criptomonedas invirtieron alrededor de 100.000 millones de dólares en monedas virtuales en cientos de proyectos DeFi.
El problema fue que parte del software tenía como base código defectuoso. Este año, varios proyectos DeFi han sufrido el robo de un total aproximado de 2200 millones de dólares en criptomonedas, según la firma de monitoreo de criptomonedas Chainalysis, lo que ha puesto a esta industria, en general, en tal situación que este podría ser su peor año en términos de pérdidas debido a ciberataques.
Muchos de los robos han ocurrido debido a defectos en los programas informáticos (conocidos como “contratos inteligentes”) que hacen posible la operación DeFi. Los programas por lo regular se construyen con mucha prisa. Por si esto fuera poco, como los contratos inteligentes emplean código abierto, que le permite al público en general ver un mapa del software, los ciberdelincuentes han logrado organizar ataques contra la propia infraestructura digital, en vez de solo infiltrar la cuenta de alguna persona. Es la diferencia entre robarle a una persona y vaciar por completo la bóveda de un banco.
“DeFi les ha ofrecido un mundo de opciones a los ciberdelincuentes para tener acceso a una plataforma”, explicó Erin Plante, vicepresidenta de investigaciones en Chainalysis. “Ha puesto muchísima presión en el espacio y limitado la innovación que es posible”.
Estas incursiones han mermado la confianza en DeFi durante un periodo sombrío para la industria de las criptomonedas. Un desplome de proporciones épicas esta primavera arrasó con casi un billón de dólares y llevó a varias empresas importantes a la quiebra. En agosto, unos delincuentes aprovecharon un problema de código para sustraer 190 millones de dólares de una empresa llamada Nomad. La semana pasada, la firma de criptomonedas Wintermute anunció que su división DeFi había sufrido un ciberataque que produjo pérdidas equivalentes a 160 millones de dólares.
Rastrear el movimiento de las criptomonedas robadas no es complicado. Queda constancia de las transacciones en registros públicos llamados cadenas de bloques, que cualquiera puede analizar para detectar patrones. Por desgracia, es mucho más difícil recuperar el acceso a fondos robados.
Como consecuencia de los ciberataques, muchas empresas emergentes DeFi han decidido explorar medidas de prevención, por lo que han contratado auditores para examinar su código y encontrar sus puntos vulnerables. Aunque otro tipo de empresas del criptomundo han recortado sus gastos en este periodo de desaceleración económica, las empresas de seguridad y auditoría han experimentado un gran aumento en la demanda de sus servicios.
“Este año fue bueno para los atacantes”, comentó Goncalo Sa, fundador de ConsenSys Diligence, que realiza auditorías de código. “Es una situación que definitivamente ha grabado en la mente de las personas que deben tomar muy en serio el aspecto de la seguridad”.
Desde que aparecieron las criptomonedas, las empresas han batallado con la seguridad. En 2014, la primera gran casa de cambio de bitcoines, Mt. Gox, sufrió un terrible ataque que causó su quiebra y la pérdida de miles de millones de dólares en moneda digital.
En esa época, la industria era relativamente pequeña y simple. Ahora los ciberdelincuentes pueden atacar a un ecosistema más extenso, que incluye una economía experimental de videojuegos basados en las criptomonedas, proyectos de préstamo descentralizado y monedas de última moda. El año pasado, un ciberdelincuente robó 600 millones de dólares de la plataforma DeFi Poly Network; después de algunas negociaciones con los líderes del proyecto, el delincuente devolvió el dinero.
Los ciberataques de este año han sido más perjudiciales. En marzo, un grupo respaldado por el gobierno de Corea del Norte robó 620 millones de dólares en moneda digital de la plataforma DeFi Ronin Network, responsable de la operación del videojuego Axie Infinity. Por la misma época, un ciberdelincuente explotó un defecto de software de un proyecto DeFi llamado Wormhole para fugarse con 320 millones de dólares.
“Muchas personas están creando plataformas con una vulnerabilidad conocida”, aseveró Chris Tarbell, antiguo agente del FBI que en la actualidad dirige la firma de ciberseguridad NAXO. “En un contexto con tantos blancos, los delincuentes van a aprovecharse”.
El ataque a Wormhole aprovechó vulnerabilidades en un elemento novedoso de la tecnología de las criptomonedas conocido como puente entre cadenas, que les permite a los inversionistas realizar operaciones de cambio de una moneda digital a otra creada en una cadena de bloques separada. Algunas plataformas DeFi facilitan estas conversiones para ayudar a que las personas capitalicen oportunidades; un inversionista que tiene muchísimas monedas de Ether, por ejemplo, quizá quiera utilizar una aplicación en la cadena de bloques de otra moneda sin tener que vender sus monedas de Ether y comprar la otra moneda.
Debido a la enorme cantidad de criptomonedas que fluyen a través de estos puentes entre cadenas, se trata de objetivos valiosos. Un total de 10 ciberataques este año han involucrado este tipo de puentes, y han causado pérdidas de 1300 millones de dólares, según Chainalysis.
La tecnología es “de lo más complicada, y la complejidad es enemiga de la seguridad”, afirmó Steve Walbroehl, fundador de la firma de criptoseguridad Halborn.
Beanstalk no se diseñó como puente entre cadenas, pero sí tenía otras vulnerabilidades integradas en su código.
El funcionamiento interno del proyecto era de un misterio casi cómico. Un libro blanco que explica su mecánica está integrado por 61 páginas de gráficas, esquemas y ecuaciones matemáticas (así como una cita de las cartas de Alexander Hamilton).
“El número de vainas que crecen de un “bean” cultivado está determinado por la temperatura (la tasa de interés propia de Beanstalk) en el momento del cultivo”, indica un pasaje de una guía para la plataforma llamada Farmers’ Almanac.
En esencia, Beanstalk les permitía a los usuarios depositar decenas de millones de dólares en monedas virtuales en un sistema de software, el cual generaba intereses y ayudaba a mantener el valor de una stablecoin llamada bean.
El proyecto no operaba como una empresa emergente tradicional. Al igual que muchos fundadores de criptomonedas, Weintraub y sus colaboradores (Brendan Sanderson, de 25 años, y Michael Montoya, de 24) decidieron mantener su identidad en secreto y adoptaron el nombre Publius, en honor a los autores de la colección de ensayos “El Federalista”. Cuando el software comenzó a operar en agosto de 2021, los usuarios que depositaron sus criptomonedas obtuvieron el derecho a votar en un grupo de inversionistas designado “organización autónoma descentralizada”, o DAO, por su sigla en inglés, cuyo consentimiento es necesario para poder hacerle cambios al software.
A fin de cuentas, el gobierno colectivo de Beanstalk fue su perdición. En abril, un ciberdelincuente tomó prestados mil millones de dólares en criptomonedas de otro proyecto DeFi, Aave. La transacción fue un préstamo relámpago, según se designa en la plataforma, un proceso a velocidad relámpago en que un usuario de criptomonedas toma prestados fondos sin entregar ningún tipo de colateral, realiza una operación y luego paga de inmediato el préstamo, conservando las ganancias generadas de la serie de intercambios casi simultáneos.
El código que Weintraub y sus socios habían diseñado no contaba con un mecanismo para evitar que alguien empleara un préstamo relámpago para apoderarse de la plataforma. Así que el ciberdelincuente utilizó los mil millones de dólares para exigir una enorme participación en la DAO de Beanstalk, gracias a la cual tomó control del órgano de gobierno del software. A continuación, transfirió los fondos de todos los usuarios, un total de casi 200 millones de dólares, fuera del sistema de Beanstalk.
En meses recientes, la DAO de Beanstalk ha estado trabajando para volver a poner en marcha el proyecto: contrató los servicios de firmas de análisis de cadenas de bloques para ayudarle a rastrear las criptomonedas perdidas. El grupo también contrató a Halborn, la empresa de seguridad, y le encomendó revisar el código para eliminar cualquier otra vulnerabilidad. Beanstalk reinició operaciones oficialmente el mes pasado.
Estas acciones de recuperación son cada vez más comunes en el criptomundo. “Siempre hemos sido de lo más transparentes con la comunidad sobre el hecho de que este es un experimento”, señaló Weintraub. “Todos estamos trabajando juntos para saber qué hacer”.
Todavía no se sabe dónde están los fondos robados.