Adam Back culpa al diseño de la EVM del hackeo de Bybit y quizás tenga toda la razón

Adam Back, señala que las fallas de la EVM son mayormente las culpables, no solo del hackeo de Bybit, sino de todas las vulnerabilidades vistas en el ecosistema Ethereum.

Adam Back, un conocido desarrollador de Bitcoin y cofundador de Blockstream, ha señalado directamente en su cuenta de X, al diseño de la Ethereum Virtual Machine (EVM) como el principal culpable detrás del hackeo de Bybit, entre otras vulnerabilidades similares presentadas en el ecosistema Ethereum.

Back, quien es una figura destacada en el ecosistema de Bitcoin, ha sido un crítico vocal de las debilidades de la EVM y su lenguaje de programación, Solidity. Según él, el diseño de la EVM, que es fundamental para ejecutar smart contracts en Ethereum y otras blockchains compatibles, tiene fallas estructurales que facilitan este tipo de ataques.

Pero, ¿tiene razón Adam Back? ¿Son los problemas de la EVM tan graves como afirma? En este artículo, exploraremos sus argumentos, analizaremos las vulnerabilidades históricas de la EVM y reflexionaremos sobre por qué estos problemas persisten en la industria.

¿Quién es Adam Back y por qué su opinión importa?

Adam Back es una figura emblemática en el espacio de las criptomonedas. Como cofundador de Blockstream, una empresa líder en tecnología blockchain, y uno de los pioneros en el desarrollo de Bitcoin, su opinión tiene peso en la comunidad. Back ha sido un defensor acérrimo de la seguridad y la sencillez en el diseño de blockchains, características que, según él, están ausentes en la arquitectura de la EVM.

Y es aquí donde entra en el tema el hackeo de Bybit, en el que se perdieron más de 1.400 millones de dólares, ya que este evento fue el catalizador para que Back expresara sus críticas. Según él, este tipo de incidentes no son solo resultado de errores operativos, sino que tienen sus raíces en un diseño inseguro de la EVM.

«La EVM es un fuego que dificulta la credibilidad del ecosistema», declaró en una publicación reciente. Para Back, la complejidad de la EVM y su lenguaje, Solidity, son un caldo de cultivo para vulnerabilidades que ponen en riesgo a los usuarios y a las plataformas.

Pero, ¿qué es exactamente la EVM? La Ethereum Virtual Machine es el entorno de ejecución que procesa los smart contracts en la red de Ethereum. Fue diseñada para ser Turing-completa, lo que significa que puede ejecutar cualquier algoritmo imaginable. Aunque esto ofrece flexibilidad, también introduce complejidad, lo que, según Back, es un problema grave.

La visión de Adam Back: ¿Cuáles son las fallas estructurales de la EVM?

Adam Back ha identificado varios problemas clave en el diseño de la EVM y su lenguaje de programación, Solidity, que, según él, facilitan ataques como el del hackeo de Bybit. Entre sus críticas más importantes se encuentran:

1. Complejidad de la EVM: Back asegura que la EVM es excesivamente compleja, lo que la hace propensa a errores y vulnerabilidades. «La EVM es un incendio que no se puede controlar», declaró en una publicación reciente. Según él, esta complejidad no solo afecta la seguridad, sino que también dificulta la verificación y el mantenimiento de los smart contracts.
2. Problemas con los smart contracts: Los smart contracts, que son el corazón de la EVM, han sido objeto de numerosas críticas. Back señala que estos contratos, escritos en Solidity, a menudo contienen errores debido a la falta de herramientas adecuadas para validar su seguridad. Además, la capacidad de la EVM para ejecutar código complejo abre la puerta a vectores de ataque que son difíciles de prevenir.
3. Reentrancy y otros tipos de ataques: Uno de los ejemplos más claros de las vulnerabilidades de la EVM es el ataque de reentrancia. Este tipo de ataque ocurre cuando un contrato llama a un contrato externo, el cual, a su vez, llama de vuelta al contrato original antes de que se complete la ejecución inicial. Este tipo de ataques ha sido responsable de algunas de las pérdidas más grandes en la historia de las criptomonedas, incluyendo el hackeo de Bybit. En este sentido, Back ha señalado que estos ataques son posibles debido a la falta de mecanismos robustos para prevenir la reentrancia. «La EVM permite que los contratos se comuniquen de manera insegura, lo que abre la puerta a estos tipos de ataques», explicó.
4. Fallas en la gestión de estados: La gestión de estados en la EVM también ha sido objeto de críticas. Back asegura que la forma en que la EVM maneja los estados puede conducir a incoherencias y comportamientos no esperados, especialmente en entornos complejos.
5. Solidity: un lenguaje inseguro: El lenguaje de programación Solidity, utilizado para escribir smart contracts en la EVM, también ha sido criticado por su inseguridad. Back afirma que Solidity carece de las herramientas y los mecanismos necesarios para prevenir errores comunes, como desbordamientos de enteros, reentrada y otros tipos de vulnerabilidades.

Por ejemplo, en el caso del hackeo de Bybit, los atacantes aprovecharon una debilidad en la gestión de firmas de las wallets multisig (multifirma). Aunque este tipo de ataques no es exclusivo de la EVM, Back argumenta que la complejidad de la EVM y de Solidity hace que sea más difícil identificar y corregir estos problemas.

Los problemas de la EVM no son nuevos

Pero sorprendentemente, Adam Back no es el único en señalar las debilidades de la EVM. De hecho, muchos de los problemas que él ha identificado han sido conocidos por la comunidad desde hace años. Por ejemplo, el ataque a The DAO en 2016, uno de los hacks más infames en la historia de Ethereum, fue posible debido a una vulnerabilidad en la lógica de un smart contract. Un ataque que por cierto fue advertido días antes, advertencias que no fueron escuchadas y que al final terminaron con un rollback de Ethereum. Fue este evento el que dividió a Ethereum en dos: Ethereum Classic (la cadena original) y Ethereum (con el rollback The DAO para recuperar los fondos y soportada por Vitalik Buterin).

El hackeo de The DAO: un precedente histórico

The DAO (Decentralized Autonomous Organization) fue uno de los proyectos más ambiciosos en la historia de Ethereum. Lanzado en 2016, The DAO fue diseñado como una organización autónoma descentralizada que permitiría a los inversores apoyar proyectos mediante votaciones. Era considerado un hito en la implementación de smart contracts y una demostración del potencial de la EVM.

Sin embargo, The DAO también se convirtió en un ejemplo clarísimo de cómo las vulnerabilidades en los smart contracts pueden tener consecuencias catastróficas. En junio de 2016, un atacante explotó una debilidad en la lógica del contrato inteligente de The DAO, lo que permitió la transferencia no autorizada de más de 3.6 millones de ethers, valorados en aquel entonces en más de 70 millones de dólares.

Este ataque fue posible debido a una combinación de factores, entre los que se incluyen:

1. Reentrancy (reentrancia): El contrato de The DAO permitió que un atacante llamara repetidamente a una función antes de que se completara la ejecución inicial, lo que permitió drenar fondos de manera no autorizada.
2. Falta de validación adecuada: El contrato no contaba con los mecanismos necesarios para prevenir este tipo de ataques, a pesar de que las advertencias sobre la posibilidad de reentrancia habían sido señaladas por expertos días antes del incidente.
3. Complejidad del diseño: El contrato de The DAO era extremadamente complejo, lo que dificultó su auditoría y análisis antes de su implementación.

Así el hackeo de The DAO fue un momento decisivo en la historia de Ethereum. No solo demostró las fragilidades de la EVM y su lenguaje de programación, Solidity, sino que también puso de manifiesto la necesidad de una mayor atención a la seguridad en el desarrollo de smart contracts.

Certificado

Curso de Análisis Técnico de Criptomonedas

Nivel medio

En esta formación contamos con Iván González, un experto profesional en inversiones y en criptomonedas para enseñarte cómo funciona el mercado y cómo los precios afectan al comportamiento de los inversores.

GRATIS 7 lecciones

Empezar ahora

Otras advertencias ignoradas

Pero el hackeo de The DAO no fue un incidente aislado. A lo largo de los años, han existido numerosas advertencias sobre las debilidades de la EVM y Solidity. Por ejemplo:

1. El problema de la «reentrancia»: La reentrancia ha sido uno de los vectores de ataque más comunes en los smart contracts de Ethereum. Aunque se han desarrollado patrones y bibliotecas para mitigar este tipo de ataques, como el patrón «Checks-Effects-Interactions», muchos desarrolladores no los implementan debido a la complejidad y el costo que conlleva.
2. El ataque «front-running»: Este tipo de ataque, en el que un minero o un actor malicioso intercepta y altera una transacción antes de que se confirme en la blockchain, es posible debido a la transparencia de las memorias de transacciones en la EVM. Aunque existen soluciones para prevenirlo, como el uso de canales estado o capas de privacidad, estos métodos no son ampliamente adoptados.
3. La falta de herramientas de análisis estático: Durante mucho tiempo, los desarrolladores de Ethereum carecieron de herramientas robustas para analizar y detectar vulnerabilidades en los smart contracts. Aunque herramientas como Etherscan, Mythril y Slither han mejorado la situación, todavía existen limitaciones en la capacidad de detectar errores complejos.
4. El problema de los «orphans» y «stuck» transactions: Algunos contratos mal diseñados pueden generar transacciones «huérfanas» (orphans) o «atascadas» (stuck), que no se pueden ejecutar ni revertir. Esto puede generar problemas de escalabilidad y congestión en la red.

Los retos de la seguridad en la EVM: ¿Se puede hacer algo al respecto?

Aunque los problemas de la EVM son graves, no son insuperables. Existen varias medidas que podemos adoptar para mejorar la seguridad de los smart contracts y reducir el riesgo de ataques como el de Bybit.

1. Mejora en la auditoría y el testing: Una de las formas más efectivas de prevenir vulnerabilidades es realizar auditorías exhaustivas y pruebas rigurosas antes de implementar cualquier smart contract. Esto incluye el uso de herramientas automatizadas y revisiones manuales por parte de expertos en seguridad.
2. Uso de mejores prácticas: Los desarrolladores deben adoptar mejores prácticas para escribir smart contracts más seguros. Esto incluye el uso de patrones como el «Checks-Effects-Interactions» para prevenir la reentrancia y la implementación de mecanismos de control de acceso robustos.
3. Creación de un marco regulatorio: Aunque la descentralización es un principio fundamental de las criptomonedas, la creación de un marco regulatorio que establezca estándares de seguridad podría ayudar a reducir el riesgo de ataques. Esto podría incluir la obligación de realizar auditorías de seguridad antes de lanzar cualquier contrato inteligente.
4. Inversión en investigación y desarrollo: La seguridad en la EVM requiere una inversión continua en investigación y desarrollo. Esto incluye el desarrollo de nuevos lenguajes de programación más seguros y la mejora de las herramientas existentes para identificar y corregir vulnerabilidades.

 ¿Tiene razón Adam Back?

En todo caso, Adam Back ha planteado una crítica válida y necesaria sobre el diseño de la EVM y su impacto en la seguridad de las criptomonedas. Los problemas que él ha identificado no son nuevos, pero sí son graves. La complejidad de la EVM y las debilidades de Solidity han creado un entorno en el que los ataques como el de Bybit pueden ocurrir.

Sin embargo, es importante destacar que la seguridad en la EVM no es un problema irresoluble. Con una combinación de mejores prácticas, inversiones en investigación y desarrollo, y una cultura de seguridad más robusta, es posible mitigar muchos de estos riesgos.

Mientras tanto, la comunidad debe escuchar las advertencias de expertos como Adam Back y tomar medidas proactivas para proteger los activos de los usuarios. Solo así podremos avanzar hacia un ecosistema más seguro y confiable.

La inversión en criptoactivos no está totalmente regulada, puede no ser adecuada para inversores minoristas debido a su alta volatilidad y existe riesgo de perder la totalidad de los importes invertidos.