El robo de 292 millones en Kelp DAO revela por qué los puentes cripto siguen siendo el Talón de Aquiles del mundo crypto

Pues mira, este pedo del robo de $292 millones en KelpDAO es solo otro capítulo más en la larga historia de los hacks a los puentes cripto. Estos puentes, que supuestamente deberían conectar blockchains sin broncas, en realidad se han vuelto el blanco fácil para los hackers.

La bronca empezó porque KelpDAO usaba el sistema de LayerZero para mover info y varo entre cadenas de bloques, algo que se usa mucho en el mundo cripto. La idea de estos puentes es que puedas mandar tus activos, por ejemplo, de Ethereum a otra blockchain sin rollos. Pero en vez de ser conexiones chidas, terminan siendo puntos débiles que han dejado ir miles de millones en los últimos años.

¿Y por qué se sigue cayendo este castillo? No es solo que haya código mal hecho o que alguien la regue. El meollo está en cómo se arman estos puentes desde el inicio.

El problema más gacho es que tienes que confiar en un “intermediario”. Cuando tú mueves tokens de una cadena a otra, la segunda cadena necesita comprobar que los tokens están realmente “guardados” en la primera. En un mundo ideal, cada cadena validaría sola, pero eso sale carísimo y es más complicado que explicar la neta a tu jefe.

Así que, según Ben Fisch, CEO de Espresso Systems, la mayoría de los puentes no hacen esa verificación completa. Mejor confían en un grupito pequeño que les dice qué onda, como LayerZero o Axelar. El detalle: esa confianza puede ser traicionera.

En el hack de KelpDAO, los malos atacaron esas “fuentes de información” y les metieron datos falsos, y el puente les creyó. O sea, funcionó, pero con información equivocada. Por fuera, los hacks a puentes pueden parecer diferentes: unos roban claves, otros se chingan los contratos inteligentes. Pero todo es síntoma del mismo problema: cómo están diseñados estos sistemas.

Como dice Sergej Kunz, cofundador de 1inch, aquí todo puede salir mal y normalmente pasa una mezcla de vulnerabilidades, centralización, ingeniería social y ataques económicos.

Para los usuarios, usar un puente parece pan comido: nomás clic y listo, tus tokens saltan de una blockchain a otra. Pero detrás hay un proceso bien complejo. Primero tus tokens se bloquean en la cadena original. Luego un grupo (los validadores) confirma que ahí están. Después envían un mensaje a la cadena receptora para “crear” esos tokens en versión envuelta (como rsETH o WBTC). La bronca es que este proceso depende de confiar en esos mensajes. Si los atacantes hackean a los validadores o ese sistema, pueden enviar datos falsos y crear tokens de la nada.

El caso más grave es cuando nadie verifica nada, sólo se cree en lo que dice alguien más. Y pues ahí se arma la gorda.

Entonces, ¿por qué no se arregla el problema? Pues porque a veces la seguridad no es lo primero. La neta es que muchos equipos quieren crecer rápido, atraer usuarios y levantar mucho dinero, y ponerle tiempo y varo a seguridad les cuesta.

Además, cada vez quieren conectar más y más blockchains, y eso añade más complicaciones. Y cuando se chingan un puente, los activos siguen rodando por ahí, usándose en préstamos, pools de liquidez y más, lo que puede hacer que el problema se pase a otros lados.

Poca banda sabe bien cómo funcionan estos puentes o qué puede salir mal y eso hace que la tragedia se repita.

Para hacerlos más seguros, la idea es dejar de depender de un sólo “juez” para los datos y en lugar de eso usar muchas fuentes independientes que estén vigilando las cadenas. Eso sí, muchos puentes usan las mismas fuentes, así que si una se cae, todas sufren.

Otros métodos incluyen usar hardware especial y monitoreos bien finos para atrapar errores antes de que crezcan, o usar criptografía para verificar directamente los datos sin intermediarios.

Pero para Kunz, mientras sigamos usando puentes que dependan de validadores “de carne y hueso”, estas broncas van a continuar.

Así que si pensabas que los puentes eran la neta para mover cripto sin riesgos, piénsalo dos veces, porque en este juego, confiar ciegamente puede salir carísimo.