Se ha hablado mucho sobre los recientes “hacks” en el ámbito de las finanzas descentralizadas, particularmente en los casos de Harvest FInance y Pickle Finance. Esa charla es más que necesaria, considerando que los piratas informáticos robaron más de $ 100 millones de proyectos DeFi en 2020, lo que representa el 50% de todos los ataques este año, según un informe de CipherTrace.

Relacionados: Resumen de hacks, exploits y atracos de criptomonedas en 2020

Algunos señalan que las ocurrencias fueron simplemente exploits que arrojaron luz sobre las vulnerabilidades de los respectivos contratos inteligentes. Los ladrones realmente no entraron en nada, simplemente pasaron casualmente por la puerta trasera abierta. Según esta lógica, dado que los piratas informáticos explotaron las fallas sin realmente piratear en el sentido tradicional, el acto de explotación es éticamente más justificable.

¿Pero es?

Las diferencias entre un exploit y un hack

Las vulnerabilidades de seguridad son la raíz de las vulnerabilidades. Una vulnerabilidad de seguridad es una debilidad que un adversario podría aprovechar para comprometer la confidencialidad, disponibilidad o integridad de un recurso.

Un exploit es el código especialmente diseñado que los adversarios utilizan para aprovechar una determinada vulnerabilidad y comprometer un recurso.

Incluso mencionar la palabra “pirateo” en referencia a blockchain podría desconcertar a un forastero de la industria menos familiarizado con la tecnología, ya que la seguridad es una de las piezas centrales del atractivo principal de la tecnología de contabilidad distribuida. Es cierto, blockchain es un medio inherentemente seguro para intercambiar información, pero nada es totalmente imposible de piratear. Hay ciertas situaciones en las que los piratas informáticos pueden obtener acceso no autorizado a las cadenas de bloques. Estos escenarios incluyen:

51% de ataques: Estos ataques ocurren cuando uno o más piratas informáticos obtienen el control de más de la mitad de la potencia informática. Es una hazaña muy difícil de lograr para un hacker, pero sucede. Más recientemente, en agosto de 2020, Ethereum Classic (ETC) enfrentó tres ataques exitosos del 51% en el lapso de un mes.Errores de creación: Ocurren cuando se pasan por alto fallas o errores de seguridad durante la creación del contrato inteligente. Estos escenarios presentan lagunas en el sentido más potente del término.Seguridad insuficiente: Cuando se realizan hacks mediante el acceso indebido a una cadena de bloques con prácticas de seguridad débiles, ¿es realmente tan malo si la puerta se deja abierta de par en par?

¿Son los exploits más éticamente justificables que los hacks?

Muchos dirían que hacer algo sin consentimiento no puede considerarse ético, incluso si se hubieran cometido actos peores. Esa lógica también plantea la cuestión de si un exploit es 100% ilegal. Por ejemplo, tener una empresa estadounidense registrada en las Islas Vírgenes también se puede considerar como una “explotación” fiscal legal, aunque no se considera ilegal en apariencia. Como tal, existen ciertas áreas grises y lagunas en el sistema que las personas pueden usar para su propio beneficio, y un exploit también puede verse como una laguna en el sistema.

Luego están los casos como el cryptojacking, que es una forma de ataque cibernético en el que un pirata informático secuestra el poder de procesamiento de un objetivo para extraer criptomonedas en nombre del pirata informático. El cryptojacking puede ser malintencionado o no malintencionado.

Puede ser más seguro decir que las hazañas están lejos de ser éticas. También son completamente evitables. En las primeras etapas del proceso de creación de contratos inteligentes, es importante seguir los estándares más estrictos y las mejores prácticas del desarrollo de blockchain. Estos estándares se establecen para prevenir vulnerabilidades y su ignorancia puede generar efectos inesperados.

También es vital que los equipos realicen pruebas intensivas en una red de prueba. Las auditorías de contratos inteligentes también pueden ser una forma eficaz de detectar vulnerabilidades, aunque hay muchas empresas de auditoría que emiten auditorías por poco dinero. El mejor enfoque sería que las empresas se sometieran a varias auditorías de diferentes empresas.

Los puntos de vista, pensamientos y opiniones expresados ​​aquí son solo del autor y no reflejan ni representan necesariamente los puntos de vista y opiniones de Cointelegraph.

Pawel Stopczynski es el investigador y director de I + D de Vaiot. Anteriormente fue director de I + D y cofundador de Veriori y de UseCrypt. Desde 2004, Pawel ha estado involucrado en el desarrollo de 18 proyectos de TI en Polonia y el Reino Unido, centrándose en el sector privado. Fue ponente en varias conferencias de TI y organizador de dos conferencias TEDx. Por su trabajo, Pawel fue galardonado con una medalla de oro en el Concours Lépine International Innovation Fair 2019 en París, y una medalla de oro del ministro de defensa francés.