Recortes en recompensas por bugs pueden facilitar hackeos millonarios

Opinión de: Mitchell Amador, fundador y CEO de Immunefi

En el mundo de las criptomonedas, la seguridad es fundamental, y es esencial comprender que la mejor defensa no proviene solo del código, sino de los incentivos bien estructurados. Las recompensas por bugs han demostrado ser una herramienta efectiva para evitar pérdidas millonarias, y es crucial subrayar que sin los incentivos adecuados, los hackers pueden aprovechar las vulnerabilidades de manera devastadora. Si bien la codificación es importante, es el equilibrio entre las recompensas y los riesgos lo que realmente puede marcar la diferencia en la protección de los activos digitales.

Por eso, es alarmante observar que las tendencias actuales del mercado están distorsionando este equilibrio vital. Muchas plataformas están comenzando a disminuir sus recompensas por bugs, lo que podría abrir la puerta a hackeos catastróficos que amenazarían la estabilidad del ecosistema de las criptomonedas.

Recompensas por bugs como mecanismos de defensa

Un reciente hackeo de 12 millones de dólares en el Cork Protocol ilustra de manera contundente la importancia de establecer recompensas adecuadas. Este protocolo ofrecía una recompensa por bugs de solo 100.000 dólares, una cifra totalmente desproporcionada en comparación con los fondos en riesgo. Este tipo de desajuste crea un escenario en el que la economía incentiva el comportamiento destructivo: ¿por qué dedicar tiempo y esfuerzo a reportar una vulnerabilidad si la recompensa no se acerca ni remotamente al valor de la explotación?

Las recompensas por bugs son esenciales y solo funcionan correctamente cuando están alineadas con el riesgo en juego. Cuando protocolos que manejan grandes sumas de dinero ofrecen recompensas irrisorias, están apostando a que los hackers se comportarán éticamente, lo que es, en el mejor de los casos, una estrategia errónea.

El estándar del millón de dólares existe por una razón

Los estándares de seguridad en el ámbito de las criptomonedas se han forjado a través de experiencias pasadas en las que se han perdido millones de dólares. Por ejemplo, MakerDAO estableció una recompensa de 10 millones de dólares, destacando la necesidad de ofrecer incentivos significativos para proteger activos valiosos. Del mismo modo, el pago de 10 millones de dólares por parte de Wormhole después de un exploit crítico subrayó que una seguridad robusta requiere incentivos igualmente robustos.

Este modelo de escalabilidad de recompensas ha demostrado ser exitoso. Cuando las vulnerabilidades pueden comprometer millones en fondos, las recompensas deben ser proporcionales, típicamente alrededor del 10% del capital en riesgo. Esta economía no solo asegura que los mejores investigadores se mantengan en el ecosistema, sino que también les motiva a informar sobre vulnerabilidades antes que explotarlas.

Las fuerzas del mercado están creando precedentes peligrosos

La competencia por capturar cuota de mercado ha llevado a algunas plataformas a centrarse más en reducir costos que en asegurar resultados. Al vincular las tarifas de sus servicios a recompensas por bugs de bajo límite, se establece una estructura de incentivos distorsionada: en lugar de premiar la seguridad, se premia la economía. Este enfoque es un malentendido fundamental sobre la naturaleza de las recompensas por bugs, que deben ser vistas como pólizas de seguro cuyo valor debe escalar con lo que protegen.

Más preocupante aún es el surgimiento de plataformas que imponen contratos de exclusividad, limitando las opciones de los investigadores. También, algunas permiten revisiones de precios después de que se revela una vulnerabilidad, lo que socava la confianza de los investigadores. Si estos profesionales pierden la fe en la equidad del sistema, pueden optar por dejar de buscar vulnerabilidades o, peor, pasar a auditorías privadas, lo que erosiona aún más la seguridad del ecosistema.

Este ciclo es destructivo: los protocolos reducen las recompensas para minimizar costos, los investigadores se desmotivan y las vulnerabilidades pasan desapercibidas. Esto no solo facilita los hackeos, sino que también crea un ambiente donde la seguridad se convierte en un gasto en lugar de una inversión crítica.

Una advertencia de Web2

Los paralelismos con los fracasos de recompensas por bugs en Web2 son preocupantes. En esa esfera, el pago insuficiente y el trato despectivo a los investigadores llevaron a muchos sombreros blancos a abandonar programas públicos. Las criptomonedas no pueden permitirse repetir estos errores, especialmente cuando billones en valor están en juego y las instituciones están mirando de cerca.

Algunos argumentan que los equipos en etapas iniciales no pueden permitirse grandes recompensas, pero la realidad es que el costo de un hackeo exitoso siempre superará el de una recompensa por bugs bien alineada. La pérdida de fondos es costosa, pero la pérdida de confianza puede ser fatal.

El camino a seguir requiere coordinación de la industria

Proteger la infraestructura de seguridad de las criptomonedas exige un reconocimiento de que las recompensas por bugs dependen de la confianza y los incentivos. Cada programa que ofrece un pago insuficiente debilita el contrato social que mantiene a los investigadores en el lado correcto de la ley.

La solución no es radical: mantener recompensas que reflejen el riesgo real es un primer paso fundamental. Es esencial asegurar un trato justo y transparente a los investigadores y evitar ver la seguridad como un gasto, en lugar de un generador de valor.

Es crucial que las plataformas dejen de incentivar a los protocolos a escatimar en su propia defensa. La economía descentralizada solo puede prosperar cuando la confianza en ella crece en la misma medida que lo hace la tecnología.

Si queremos que las criptomonedas sigan desarrollándose y ganando la confianza de usuarios, reguladores e instituciones, necesitamos sistemas de recompensas por bugs que sean funcionales y efectivos, no solo en teoría, sino en la práctica. Las criptomonedas solo prosperarán si sus defensores tienen el poder de actuar para protegerlas.

Opinión de: Mitchell Amador, fundador y CEO de Immunefi.

Este artículo es solo para fines de información general y no debe ser considerado como asesoramiento legal o de inversión. Las opiniones, pensamientos y puntos de vista expresados aquí son únicamente del autor y no reflejan necesariamente las opiniones de Cointelegraph.