¡Colombia quiere meterle la mano a tus criptos! ¿Qué dice la nueva reforma fiscal?

La plataforma social descentralizada UXLink se aventó un buen susto cuando un bug en su wallet multifirma le abrió la puerta a unos hackers para crear un chorro de tokens de más, sin permiso, y así hundir el valor de su moneda nativa.

Pues ya el miércoles UXLink anunció que lanzaron un nuevo contrato en Ethereum, ya bien checado y auditado por seguridad, y listo para funcionar en la red principal. Lo cool es que en este nuevo contrato quitaron la función para crear y quemar tokens, para evitar que alguien más se vuelva loco y haga lo mismo otra vez.

El problema salió a la luz el martes, cuando confirmaron que los hackers lograron transferir un buen billete en criptos a varios exchanges. Algunas cuentas calculan que el robo fue de al menos 11 millones de dólares, pero otros dicen que pasó de 30 millones, imagínate el desmadre.

Este rollo dejó claro que todavía hay broncas serias con la seguridad de los contratos inteligentes, algo que los proyectos tienen que mejorar sí o sí. Marwan Hachem, el CEO de una empresa de seguridad Web3 llamada FearsOff, dijo que este error demuestra lo peligroso que es lanzarse sin poner todas las capas de seguridad necesarias.

Resulta que los hackers se colaron por una grieta en la wallet multifirma y crearon hasta 2 mil millones de tokens UXLINK de la nada. El precio del token se meó y cayó un 90%, de 33 centavos a solo 3,3, y Hacken, la empresa de seguridad, dice que se llegaron a generar casi 10 billones de tokens.

Según Hachem, el problema vino de una falla en la función de “llamada delegada” en esa wallet, que les permitió ejecutar código raro y agarrar el control administrativo del contrato. Esto causó que se acuñaran tokens que nadie autorizó.

Hachem explicó que UXLink tenía un diseño medio chueco, porque su monedero multifirma no estaba bien protegido contra este tipo de ataques, no había controles estrictos sobre quién podía crear tokens y tampoco tenían un límite máximo programado para el suministro.

Al final, esto es un claro ejemplo de lo peligroso que es tener todo el poder en pocas manos, especialmente cuando dicen ser descentralizados, pero no lo aplican en verdad.

Desde lo técnico, Hachem dice que el hackeo se podría haber evitado con medidas bien básicas como bloqueos temporales para acciones delicadas, como crear tokens o cambiar dueños. Un delay de 24 a 48 horas ayudaría a que la comunidad detecte cualquier cosa rara antes de que se haga el daño.

Otra medida sería que, una vez que se lanzan los tokens, nadie tenga permisos para crear más, ni siquiera los del mismo equipo. Programar límites fijos en el código del contrato evita que haya tokens extra por andar de mañosos.

También es super importante que haya auditorías independientes y que todo el proceso sea transparente. No solo la revisión del contrato del token, sino también el setup de la wallet multifirma, para que todos puedan ver quiénes son los que firman cada movimiento y así reducir riesgos.

La gran lección es que ni las wallets multifirma son infalibles, y hay que darle duro a la descentralización y a meter paradas de emergencia en funciones críticas para que no pase otro despapaye así.

Hachem remató diciendo que cualquier proyecto que se apura sin tener la seguridad bien puesta termina perdiendo la confianza de su comunidad, y mejor es prevenir desde el comienzo, aunque tarde un poco más.

Así que ya saben, en este mundo de Web3, no todo es fiesta y desmadre, hay que estar bien pilas con la seguridad.