Se emitió una advertencia sobre las vulnerabilidades de las finanzas descentralizadas luego de la incautación de alto perfil de activos digitales robados

Griff Green, miembro del Consejo de Seguridad de Arbitrum, ha expresado su preocupación sobre cómo los protocolos de préstamos manejan los tokens de participación líquida. Green, un veterano del hackeo de Ethereum DAO de 2016, señaló brechas de seguridad operativa en las finanzas descentralizadas. Habló tras la recuperación de 72 millones de dólares en criptoactivos robados vinculados a piratas informáticos norcoreanos. El incidente involucró un exploit de Kelp DAO que afectó a Aave y resultó en aproximadamente $300 millones en tokens robados a través de un ataque puente. El Consejo de Seguridad de Arbitrum actuó rápidamente después de rastrear 72 millones de dólares hasta carteras controladas por Corea del Norte. El consejo opera como un grupo de firmas múltiples de nueve de doce con poderes de intervención de emergencia. Trabajando junto con el equipo Seal 911, el consejo congeló los fondos robados en una nueva dirección. Esa dirección sigue siendo inaccesible para los atacantes, lo que detiene efectivamente cualquier movimiento posterior. Green señaló que esta era la primera vez que el consejo utilizaba sus poderes para congelar fondos directamente. Anteriormente, esos poderes cubrían únicamente actualizaciones de protocolos y corrección de errores. La acción se basó en el consenso social más que en la inmutabilidad del código. Green hizo referencia a la bifurcación dura Ethereum DAO de 2016 como precedente para este tipo de intervención. Sobre la naturaleza de las cadenas de bloques, Green fue directo: "Las cadenas de bloques no son inmutables y pueden modificarse mediante el consenso social". Señaló la bifurcación dura de Ethereum DAO como prueba de que la comunidad puede actuar cuando sea necesario. Esta vez, sin embargo, lo que estaba en juego involucraba fondos de otra parte y no los suyos propios. Esa distinción hizo que el esfuerzo de recuperación pareciera menos personal pero no menos urgente. Los 70 millones de dólares recuperados ahora estarán bajo la gobernanza de Arbitrum DAO. Los poseedores de tokens votarán sobre cómo redistribuir esos fondos a los usuarios afectados. Este enfoque refleja la gobernanza descentralizada en la práctica. También sienta un precedente sobre cómo se pueden manejar los fondos robados en incidentes futuros. Green afirmó que los errores de los contratos inteligentes ya no son la mayor amenaza que enfrenta la criptografía. En cambio, señaló fallas de seguridad operativa, como claves privadas filtradas. Los actores norcoreanos, en particular, dependen en gran medida de tácticas de ingeniería social. Estos métodos evitan por completo las protecciones a nivel de código y apuntan a las vulnerabilidades humanas. Al abordar la brecha de seguridad más amplia, Green advirtió que la industria debe igualar los estándares de las empresas tecnológicas maduras. Observó que atacantes como Corea del Norte “a menudo dependen de la ingeniería social en lugar de explotar contratos inteligentes”. Ese cambio de táctica significa que las auditorías técnicas por sí solas ya no son suficientes. Los equipos también deben reforzar sus procesos internos y controles de acceso. Green también abordó cómo los protocolos de préstamos como Aave abordan los tokens de participación líquida. Él cree que estas plataformas son "demasiado flexibles con los tokens de apuestas líquidas" y pasan por alto los riesgos técnicos subyacentes. Esa supervisión crea una exposición que los malos actores pueden aprovechar mediante ataques a puentes. Unos marcos de riesgo más estrictos en torno a estos activos reducirían significativamente esa vulnerabilidad. De cara al futuro, Green apoya los esfuerzos en curso como el Fondo de Seguridad DAO. Esta iniciativa tiene como objetivo identificar y respaldar proyectos de seguridad críticos en Ethereum. Una infraestructura más sólida beneficia al ecosistema más amplio con el tiempo. Hacer que las criptomonedas sean seguras y accesibles para los usuarios cotidianos sigue siendo el objetivo a largo plazo.