Arbitrum Paga 400 ETH a un Hacker por Detectar una “Vulnerabilidad Multimillonaria”
Los hackeos son el pan de cada día en el criptoespacio. La mayoría se traduce en pérdidas astronómicas para las plataformas atacadas. Por suerte, hay ocasiones en las que todo acaba satisfactoriamente.
Estos casos son protagonizados por hackers que terminan siendo pillados o, como ha ocurrido con Arbitrum, por profesionales que se dedican a avisar de los peligros. Eso ha hecho Riptide, un hacker de sombrero blanco que ha evitado millones de dólares en pérdidas.
Una “Vulneravilidad Multimillonaria”
Riptide asegura que esta “vulneravilidad multimillonaria” podría haber afectado a cualquiera usuario que moviera fondos desde Ethereum a Arbitrum tras la actualización Nitro.
El hacker identificó algunos errores que impedían el buen funcionamiento de los puentes. Un retraso en el envío de los mensajes de autenticación le habría permitido robar millones de dólares en ETH, previa suplantación de la identidad de algún usuario.
Riptide es un hacker ético, así que decidió informar en lugar de robar. Eso sí, dejó claro en su cuenta de Twitter que “deberían darle una buena recompensa”. Y se la han dado: 400 ETH.
Una Recompensa Insuficiente
Todos los días no se reciben 400 ETH. Al cambio actual, el monto equivale a más de medio millón de dólares. No está mal, pero Riptide lo considera insuficiente. Aunque parezca lo contrario, no se trata de avaricia.
El hacker considera que la identificación de una vulnerabilidad como esta debería premiarse con una recompensa mayor. De hecho, según Riptide, Arbitrum había prometido mucho más:
“Si ofreces una recompensa de 2 millones de dólares, prepárate para pagarlos cuando llegue el momento. Si no, digan que el máximo son 400 ETH y ya está. Los hackers saben cuáles son los proyectos que cumplen y los que no. No parece una buena idea motivar a un hacker de sombrero blanco para que se convierta en uno de sombrero negro”.
El Negocio de los Hackeos
Hackear es lucrativo. Se suele pensar en los robos, pero hackear a cambio de recompensas también es una opción. En este sentido, los hackers de sombrero blanco se han convertido en una alternativa a las auditorías externas.
La revisión y supervisión de los proyectos por parte de terceros es vital para la salud del ecosistema cripto. Tiene un coste, por supuesto, y las empresas del sector lo saben. Muchas han pagado jugosas recompensas por el trabajo de hackers éticos.
No todas alcanzan los 400 ETH, ni parecen proporcionadas respecto a las pérdidas potenciales. Un buen ejemplo es la recompensa de 250k USD que ofreció Coinbase a Tree of Alpha por identificar un fallo en su función avanzada de trading.
Si bien es cierto que se trata de la mayor recompensa ofrecida por el exchange, parece una cantidad irrisoria compada con los cientos de millones de dólares que podría haber perdido. El hacker lo agradeció, pero, al igual que Riptide, señaló que era poco. Argumentó que “sería más inteligente ofrecer mayores recompensas para disuadir a los hackers de sombrero gris”.