En el mercado cripto y en el nicho específico de las finanzas descentralizadas, son muy habituales los hackeos. En cambio, la posibilidad de recuperación de fondos no es algo muy común por la dificultad que entraña, aunque en este caso, gracias a un error del hacker se pudieron recuperar alrededor de 200 millones de dólares.
Un hackeo producido hace más de un año
Wormhole, el puente que permitía el uso del mismo activo en diferentes redes, fue víctima de un hackeo en el que se robaron del bridge alrededor de 326 millones de dólares en febrero de 2022. Como resultado más inmediato, generó un gran desequilibrio de la oferta de tokens que estaban en blockchains diferentes.
Los hackers aprovecharon una vulnerabilidad en el contrato inteligente y fueron capaces de crear de la nada el token $wETH sin contar con el respaldo uno a uno del token $ETH. Como todo se queda registrado en blockchain, numerosos investigadores habían visto como estos se distribuían a diferentes wallets para dificultar su hackeo y ser identificados.
Un error fatal
Tras todos movimientos, unos hackers de sombrero blanco que todavía seguían la pista de los 120.000 $ETH robados, observaron que los fondos acabaron depositados en un protocolo de Maker Dao llamado Oasis app. Este protocolo se caracteriza por permitir crear mercados de capitales mediante depósitos y préstamos a unos intereses variables marcados por oferta y demanda.
Acto seguido, el 16 de febrero de 2023, se pusieron en contacto con el equipo para mostrarles que era posible recuperar los activos y lo ejemplificaron mediante una prueba de concepto en la que descubrieron una vulnerabilidad del protocolo que se podía aprovechar para su recuperación.
Esta vulnerabilidad se encontraba en el diseño de acceso de la multifirma del administrador. Normalmente, se emplean este tipo de wallets multifirma para garantizar una mayor protección ya que es necesario que dos o más personas autoricen una transacción con la firma de sus propias billeteras individuales.
La actuación del gobierno culminó la recuperación
Tras conocerse esto, la plataforma recibió una orden judicial del Tribunal Superior de Inglaterra y Gales para tomar todas las medidas necesarias para la recuperación de los activos robados. Tras esto, se ejecutó la operación tras explotar la vulnerabilidad mencionada anteriormente.
Tras esto, se pudieron recuperar los ethereum robados en su día y estos pasaron a billeteras custodiadas por el gobierno inglés, evitando cualquier especulación sobre una posible sustracción ilegal del protocolo que había generado una enorme polémica entre los usuarios.
Una polémica centrada en dos vertientes
Todo este caso, ha generado una oleada de críticas en los usuarios que han visto atónitos como una institución gubernamental podía influir en la recuperación de unos activos, cuando se presupone que tiene que primar aspectos como la descentralización y no la obligación de modificar el protocolo por parte de un solo actor sin contar al resto.
Además, el proyecto ha tenido que defenderse de las críticas vertidas sobre la vulnerabilidad encontrada que a la postre fue clave para recuperar esos activos. Ante esto, argumentaron que esta fue creada con la única intención de proteger en contra de cualquier ataque potencial y que habría permitido actuar de forma eficaz ante cualquier ataque.
Todo este jaleo, pone de manifiesto que todavía queda mucho por avanzar en la seguridad del ecosistema DeFi y que, aunque en ocasiones la centralización sea un problema, existen ocasiones en las que puede beneficiar como en esta recuperación de fondos.