¡Alerta máxima! El hackeo a UXLink destapa el gran peligro oculto del control centralizado en DeFi

La plataforma social descentralizada UXLink se topó con un buen cagadón después de que unos hackers se aprovecharan de una falla en su monedero multifirma y se pusieran a crear tokens a lo loco, miles de millones, sin autorización, hundiendo el valor de su moneda nativa en picada.

El equipo de UXLink anunció que ya tienen listo un nuevo contrato en Ethereum, que pasó por una auditoría de seguridad bien estricta y que lo van a lanzar en la red principal. Para que no vuelva a pasar lo mismo, le quitaron la función de crear y quemar tokens, así nada más no se pueden pasar de lanza.

Confirmaron que la bronca salió a luz el martes, cuando vieron que el atacante había movido un buen lote de criptomonedas a distintos exchanges. Según las cuentas, las pérdidas van desde unos 11 millones de dólares, según Cyvers Alerts, hasta más de 30 millones, si nos guiamos por lo que dice Hacken.

Este lío dejó clarísimo que los contratos inteligentes tienen que estar bien protegidos o se van a desbaratar rapidito. Marwan Hachem, el mero mero de la empresa de seguridad Web3 FearsOff, dijo que todo esto muestra lo peligroso que es aventarse sin las capas de protección necesarias, porque luego pasa lo que pasa.

Los malos agarraron el control del contrato de UXLink gracias a la brecha en el monedero multifirma y ahí nomás se pusieron a crear 2 mil millones de tokens UXLINK de la nada. El precio del token se fue de 0.33 a 0.033 dólares, casi nada, y mientras el hacker seguía con la fiebre del mintage, se calcula que creó cerca de 10 billones de tokens. ¡Una locura total!

Según Hachem, el problema vino porque la llamada delegada en el monedero multifirma estaba mal protegida. Esto dejó que el hacker corriera código a placer y se volviera el dueño del contrato, pudiendo crear tokens a diestra y siniestra.

“Esto demuestra que UXLink tenía varios errores en su diseño”, explicó. “Un monedero multifirma que no estaba bien blindado contra esos ataques, permisos bien relajados sobre quién podía crear tokens y nada que frenara la cantidad máxima de tokens en el contrato”.

Al final, la bronca enseña que tener un control muy centralizado en proyectos que se dicen descentralizados es un riesgo enorme.

Desde el lado técnico, Hachem dice que el hack se pudo haber evitado con medidas básicas. Por ejemplo, poner bloqueos temporales para cosas delicadas como crear nuevos tokens o cambiar dueños, así la banda puede detectar algo raro antes de que pase. Un paro de 24 a 48 horas sería ideal.

Otra solución es quitar por completo el poder de acuñar tokens una vez que el proyecto ya esté en marcha, para que ni el equipo interno pueda hacer tokens adicionales, además de poner límites fijos en el contrato, para que nadie pueda pasarse de listo.

Hachem también insiste en que se hagan auditorías independientes y que todo sea transparente. No solo el contrato debe revisarse, sino también el mismo monedero multifirma, y que las direcciones y firmantes sean públicos. Que no haya pendradas que ocultar.

En resumen, hasta las herramientas que todos usan se pueden romper. Por eso, urge meter gobernanza más descentralizada y frenos de emergencia para funciones críticas.

“Si te lanzas sin seguridad reforzada, la comunidad puede perder la confianza en un dos por tres. Mejor híjole, ponerse las pilas desde el principio”, concluyó Hachem.

Ahora sí, todos a tomar nota y no confiar ciegamente, porque la cosa está bien dura.