Un pirata informático se ha llevado $2 millones en recompensas por errores después de encontrar una vulnerabilidad alarmante en la red Ethereum. Este error podría haber sido muy malo si lo hubieran encontrado piratas informáticos de sombrero negro que podrían haber explotado el activo digital por miles de millones de dólares en ETH. En cambio, un hacker de ‘sombrero gris’ conocido popularmente como Saurik informado al equipo de Ethereum de la vulnerabilidad, obteniendo un cambio de recompensa considerable.

Encontrar la vulnerabilidad en Ethereum

El hacker Saurik había encontrado la vulnerabilidad en Optimism, una solución acumulativa de capa 2 de Ethereum. El hacker mismo publicado un informe sobre cómo se encontró la vulnerabilidad en la solución. Mirando a través de los protocolos de nanopagos en el resumen, encontré una vulnerabilidad que podría permitir a un atacante retirar desenfrenadamente una cantidad “prácticamente ilimitada” de ETH de la solución.

Lectura relacionada | TA: Ethereum supera los obstáculos, por qué 100 SMA es la clave

Era similar al método de ataque implementado en la popular cadena de bloques de contratos inteligentes Solana que resultó en los hacks de 353 millones de dólares en Wormhole. El optimismo, como Wormhole, acuña lo que se conoce como “éter envuelto”. Los usuarios depositan su Ether en el contrato inteligente para que sirvan básicamente como garantía e incluso estos tokens solo existen en la red de Optimism. Luego use el protocolo de nanopagos para hacer transacciones cada vez más rápidas.

ETH recovers above $3,100 | Source: ETHUSD on TradingView.com

Saurik, famoso por desarrollar el iOS con jailbreak habia confirmado la vulnerabilidad. Sin embargo, en lugar de explotar la vulnerabilidad para su propio beneficio personal, el autodenominado hacker de sombrero gris lo informó a los desarrolladores de Optimism. A cambio, Saurik fue recompensado con una recompensa de $ 2 millones por su altruismo, lo que ha ayudado a que la red y el paquete acumulativo de capa 2 sean más seguros para los usuarios.

Desacreditando los rumores populares

Después de que se conoció la noticia de la vulnerabilidad y el posterior pago de la recompensa, han circulado rumores sobre lo que un atacante podría haber hecho con ella si decidió no informar a los desarrolladores. El más popular de estos ha sido que el atacante habría podido retirar una cantidad ilimitada de ETH de la red. Si bien esto tiene algo de mérito, en gran parte es falso.

En primer lugar, la vulnerabilidad existe en Optimism, una solución acumulada de capa 2. Si bien el protocolo existe en la red ethereum, no es la red en sí. Esto significa que la vulnerabilidad se localizó solo en el protocolo. Entonces, si bien un atacante podría haber aprovechado esto para retirar una cantidad “ilimitada” de ETH, solo podría retirar el saldo disponible en la dirección de Optimism.

Lectura relacionada | ¿Ethereum alcanzará los $7k este año? El panel del buscador dice que si

Sin embargo, todavía no es ningún secreto que los resultados hubieran sido devastadores para los usuarios del protocolo de capa 2 si un hacker de sombrero negro hubiera encontrado la vulnerabilidad. Este evento dice mucho sobre la utilidad de las recompensas por errores. Si bien las recompensas por estas recompensas pueden parecer demasiado grandes al principio, uno debe pensar cuál sería la alternativa si no hubiera incentivos para que los piratas informáticos presenten sus hallazgos. Los hackers de sombrero blanco sin duda ayudan a ahorrar millones, si no miles de millones, de dólares cada año.

Featured image from Gagadget, chart from TradingView.com