La debilidad algorítmica resulta costosa mientras la plataforma de almacenamiento criptográfico cae presa de un atraco de 29.000 dólares

El protocolo de privacidad basado en Algorand, HermesVault, cerró permanentemente sus operaciones después de que una violación de seguridad provocara el robo de aproximadamente 261.000 tokens ALGO de $, valorados en aproximadamente 29.466 dólares en el momento del incidente. La noticia fue confirmada por el ingeniero jefe de protocolo Giulio Pizzini en una publicación en X, detallando la naturaleza técnica del exploit.

Fallo técnico en la verificación de retiros

Según Pizzini, el circuito de conocimiento cero (zk) en el núcleo del mecanismo de privacidad de HermesVault permaneció seguro. Sin embargo, la vulnerabilidad se encontró en la lógica de defensa de restablecimiento de claves dentro del script de verificación de retiro. Esta falla permitió al atacante eludir por completo el proceso de verificación de zk y retirar fondos sin la autorización adecuada.

Pizzini afirmó que desde entonces se ha solucionado la vulnerabilidad y que una parte importante de los fondos robados (230.000 $ALGO) ya se han devuelto al proyecto. Los 30.000 $ALGO restantes aún están desaparecidos, pero el equipo ha iniciado un proceso de reembolso para los usuarios afectados.

Proceso de reembolso para las víctimas

Las víctimas que perdieron fondos en el robo restante de 30.000 $ALGO son elegibles para un reembolso completo. Para reclamar una compensación, los usuarios deben demostrar la propiedad de su dirección afectada y proporcionar una nota secreta asociada con su transacción. El equipo no ha revelado una fecha límite específica para las reclamaciones de reembolso, pero instó a los usuarios a actuar con prontitud.

Implicaciones para los protocolos de privacidad

El incidente de HermesVault subraya la complejidad de proteger los protocolos DeFi centrados en la privacidad. Si bien las pruebas de conocimiento cero se consideran ampliamente sólidas, los errores de implementación en la lógica circundante, como los scripts de retiro, aún pueden exponer vulnerabilidades críticas. Este caso sirve como recordatorio de que incluso los sistemas basados ​​en zk bien auditados requieren revisiones de seguridad exhaustivas de todos los componentes auxiliares.

Para el ecosistema de Algorand, el cierre de un protocolo de privacidad notable puede plantear dudas sobre la viabilidad a largo plazo de las soluciones de privacidad en la red, especialmente a medida que el escrutinio regulatorio en torno a las transacciones anónimas se intensifica a nivel mundial.

Conclusión

El cierre de HermesVault tras el hackeo de $ALGO por valor de 29.000 dólares pone de relieve los continuos desafíos de seguridad en las finanzas descentralizadas. Si bien el equipo actuó rápidamente para corregir la falla e iniciar reembolsos, el incidente puso fin permanentemente a las operaciones del protocolo. Se anima a los usuarios con fondos afectados a seguir el proceso de reembolso oficial para recuperar sus activos.

Preguntas frecuentes

P1: ¿Qué causó el hackeo de HermesVault? El hackeo aprovechó una falla en la lógica de defensa de restablecimiento de claves del script de verificación de retiro, no el circuito de conocimiento cero en sí. Esto permitió al atacante eludir la verificación zk y retirar fondos.

P2: ¿Cuánto se robó y cuánto se reembolsó? Se robaron aproximadamente 261 000 $ALGO ($29 466). De esa cantidad, se han reembolsado 230 000 $ALGO, por lo que aún quedan pendientes 30 000 $ALGO.

P3: ¿Cómo pueden las víctimas reclamar un reembolso por el $ALGO robado restante? Las víctimas deben demostrar la propiedad de su dirección afectada y proporcionar una nota secreta asociada con su transacción para recibir un reembolso completo.