Si sientes que los hackeos en cripto ocurren con más frecuencia de lo habitual, no te lo estás imaginando. Un gráfico de DefiLlama muestra un pico claro.
Hace unas semanas, medios del sector informaron sobre una nueva versión de la red neuronal Claude - Claude Mythos - que se dice es excepcionalmente buena para encontrar vulnerabilidades en código. Mythos aún no se ha lanzado públicamente. Pero una vez que este tipo de tecnología alcance la madurez, no hay forma de volver a meter al genio en la botella. Esta oleada de hackeos probablemente no sea una coincidencia.
Aun así, la noticia sobre el exploit de Bisq de hoy realmente me llamó la atención. Bisq es una plataforma descentralizada para comprar y vender Bitcoin por fiat. Lleva 10 años en funcionamiento y no había tenido ningún exploit en los últimos 6. No parece un objetivo fácil: cada transacción de Bitcoin requiere dos firmas, del comprador y del vendedor. No hay contratos inteligentes complejos donde puedan esconderse errores sutiles. Para robar fondos, habría que engañar a un humano para que firme una transacción maliciosa. Más específicamente, habría que engañar al vendedor para que firme una transacción que libere Bitcoin al comprador sin que el comprador realmente envíe el pago en fiat.
El sistema parecía tan seguro como puede ser. Y aun así, fue explotado.
Lo que los atacantes parecen haber encontrado es esto: la aplicación que muestra al vendedor lo que está firmando no valida la transacción en función de sus datos técnicos en bruto. En su lugar, se basa en metadatos proporcionados por el comprador en el momento en que añade su firma. Esa es la pieza que el atacante manipuló. Los vendedores creían que estaban enviando Bitcoin de vuelta a sí mismos desde una dirección multisig, mientras que en realidad estaban firmando una transacción que transfería los fondos al atacante. En otras palabras, el atacante era simplemente la contraparte en el intercambio.
Por eso, hoy más que nunca, la simplicidad del proceso y la confianza en tu contraparte importan en las operaciones cripto.
En rabbit.io, eso es exactamente en lo que nos enfocamos:
- se te muestra la dirección a la que debes enviar una criptomoneda;
- nosotros conocemos la dirección donde quieres recibir la otra;
- eso es todo.
Tu única tarea es copiar cuidadosamente la dirección y enviar la cantidad correcta. Lo mantenemos lo más simple posible y lo más fiable posible.
