La defensa de las criptomonedas contra hackeos
La mejor defensa de las criptomonedas contra hackeos catastróficos no es solo el código, sino también los incentivos. Las recompensas por errores han prevenido pérdidas de miles de millones, y es crucial enfatizar que estos miles de millones podrían haber sido el resultado de explotaciones, no de divulgaciones responsables, si no se hubieran establecido los incentivos correctos. Esta protección solo funciona cuando los incentivos para el comportamiento ético superan claramente a los de la explotación, y las tendencias actuales del mercado están inclinando ese equilibrio de maneras peligrosas.
Recompensas por errores escalables
El estándar de recompensas por errores escalables implica que el tamaño de la recompensa debe crecer con la cantidad de capital en riesgo. Si una vulnerabilidad pudiera drenar 10 millones de dólares, la recompensa debería ofrecer hasta 1 millón. Estos son incentivos que cambian vidas para que los investigadores de seguridad opten por divulgar en lugar de explotar, y son rentables para los protocolos en comparación con la devastadora alternativa de ser hackeados. Este enfoque escalable protege a los protocolos enteros de la destrucción y asegura el crecimiento continuo de las finanzas en cadena.
Desajustes en las recompensas
El reciente hackeo de 12 millones de dólares de Cork Protocol ofrece un ejemplo revelador. El protocolo había establecido su recompensa crítica por errores en solo 100,000 dólares, una fracción de los fondos en riesgo. Este desajuste crea un cálculo económico simple:
¿por qué gastar cientos de horas buscando una vulnerabilidad si el pago limitado es 120 veces menor que el valor de la explotación?
Tal cálculo no desanima la explotación; la fomenta.
Las fuerzas del mercado y sus efectos
La carrera por capturar cuota de mercado ha llevado a algunas plataformas a competir en precio en lugar de en resultados de seguridad. Al vincular las tarifas de la plataforma a recompensas por errores limitadas, crean una estructura de incentivos perversa; los protocolos eligen recompensas más bajas para minimizar costos, no porque el riesgo lo justifique, sino porque el precio lo fomenta. Este es un malentendido fundamental de lo que son las recompensas por errores. No son solo gastos; son pólizas de seguro cuyo valor debe escalar con lo que protegen.
Lecciones de Web2
Las similitudes con los fracasos de recompensas por errores de Web2 son preocupantes. Allí, el crónico subpago y el mal trato a los investigadores llevaron a muchos hackers éticos calificados a abandonar por completo los programas públicos. Las criptomonedas no pueden permitirse cometer el mismo error, especialmente cuando billones en valor se están preparando para moverse en cadena y las instituciones están observando de cerca. Algunos argumentan que los equipos en etapas tempranas no pueden permitirse grandes recompensas. Sin embargo, la verdad es que el costo de un hackeo exitoso siempre superará el de una recompensa por errores bien alineada. Perder fondos es costoso. Perder confianza es fatal.
El camino a seguir
Proteger la infraestructura de seguridad de las criptomonedas requiere reconocer que las recompensas por errores operan sobre la confianza y los incentivos. Cada programa subvaluado debilita el contrato social que mantiene a los investigadores calificados del lado correcto de la ley. La solución no es radical. Mantener recompensas que reflejen el riesgo real. Asegurar un trato transparente y justo para los investigadores. Resistir la tentación de tratar la seguridad como un centro de costos en lugar de un impulsor de valor. Críticamente, las plataformas deben dejar de incentivar a los protocolos a escatimar en su propia defensa. La economía descentralizada solo funciona cuando la confianza escala con ella. Si queremos que las criptomonedas sigan creciendo, con la confianza de los usuarios, reguladores e instituciones por igual, necesitamos sistemas de recompensas que tengan sentido, no solo en papel, sino en la práctica. Las criptomonedas prosperan solo en la medida en que sus defensores estén empoderados para actuar.
