El ecosistema de finanzas descentralizadas entre cadenas enfrenta un nuevo escrutinio después de revelaciones de que THORChain presuntamente rechazó investigación de seguridad crítica semanas antes de sufrir un exploit de $10.7 millones dirigido a vulnerabilidades casi idénticas. El incidente resalta tensiones crecientes entre investigadores de seguridad y equipos de protocolos sobre prácticas de divulgación responsable en una industria donde los bugs pueden drenar tesorerías de la noche a la mañana.

La startup de seguridad V12 afirma haber identificado y divulgado responsablemente una vulnerabilidad de drenaje de fondos a THORChain semanas antes de que hackers explotaran un fallo similar por $10.7 millones. Según los investigadores, THORChain parcheó silenciosamente la vulnerabilidad reportada sin reconocer su trabajo ni proporcionar compensación a través del programa de recompensas por bugs del proyecto. Cuando V12 hizo seguimiento a su envío, THORChain presuntamente les informó que el programa de recompensas había sido "retirado permanentemente".

La secuencia de eventos revela dinámicas preocupantes en la seguridad de protocolos entre cadenas. THORChain opera como un protocolo de liquidez descentralizado que permite a los usuarios intercambiar activos entre diferentes blockchains sin tokens envueltos ni intercambios centralizados. Esta complejidad crea numerosos vectores de ataque, haciendo que las auditorías de seguridad exhaustivas sean esenciales. El protocolo ha sufrido previamente múltiples exploits, incluyendo una serie de ataques en 2021 que colectivamente drenaron más de $13 millones de su tesorería.

Las alegaciones de V12 sugieren que THORChain pudo haber beneficiado del trabajo de los investigadores mientras evitaba obligaciones financieras típicamente asociadas con divulgación responsable. Los programas de recompensas por bugs sirven como infraestructura crítica en seguridad blockchain, incentivando a investigadores de sombrero blanco a reportar vulnerabilidades de manera privada en lugar de venderlas a actores maliciosos o publicarlas públicamente. Cuando los protocolos no cumplen estos acuerdos, arriesgan alienar a la comunidad de investigación de seguridad e incentivar prácticas de divulgación más agresivas.

La Complejidad Entre Cadenas Amplifica Desafíos de Seguridad

El incidente de THORChain subraya desafíos de seguridad más amplios enfrentados por infraestructura entre cadenas. A diferencia de aplicaciones en una única blockchain, los protocolos entre cadenas deben gestionar sincronización de estado compleja entre múltiples redes, cada una con distintos mecanismos de consenso y supuestos de seguridad. Esta complejidad arquitectónica aumenta exponencialmente las superficies de ataque potenciales, haciendo que la revisión de seguridad exhaustiva sea tanto más crítica como más intensiva en recursos.

La respuesta de V12 al presunto rechazo de THORChain señala tensiones crecientes en el espacio. La firma de seguridad ahora planea publicar código de exploit para vulnerabilidades adicionales que han identificado, una práctica conocida como "divulgación completa" que puede presionar a protocolos para abordar problemas de seguridad más urgentemente. Aunque este enfoque puede acelerar correcciones, también proporciona a actores maliciosos vectores de ataque listos para usar, creando dilemas éticos para investigadores frustrados con equipos de protocolos que no responden.

El timing entre la divulgación de V12 y el posterior exploit de $10.7 millones plantea preguntas sobre los procesos de gestión de vulnerabilidades de THORChain. Si los investigadores identificaron con precisión fallas críticas semanas antes del ataque, la respuesta de seguridad del protocolo puede haber sido insuficiente para abordar la clase más amplia de vulnerabilidades que afectan al sistema. Este patrón sugiere prácticas de seguridad reactivas en lugar de proactivas, un enfoque peligroso para protocolos que gestionan cientos de millones en fondos de usuarios.

Observadores de la industria notan que la discontinuación del programa de recompensas por bugs frecuentemente señala desafíos organizacionales más profundos. Mantener relaciones efectivas de investigación de seguridad requiere compromiso financiero sostenido y experiencia técnica para evaluar envíos. Cuando los protocolos se retiran de estos programas, pueden inadvertidamente señalar a los investigadores que sus preocupaciones de seguridad son secundarias a otras prioridades operacionales.

Las implicaciones más amplias se extienden más allá de THORChain a todo el ecosistema entre cadenas. Conforme los protocolos de puente y aplicaciones entre cadenas proliferan, establecer marcos de investigación de seguridad sostenibles se vuelve cada vez más crítico. La capacidad de la industria para atraer y retener investigadores de seguridad capacitados puede determinar si la infraestructura entre cadenas puede lograr la confiabilidad necesaria para adopción generalizada. La forma en que THORChain manejó este caso de divulgación podría influir en cómo investigadores futuros aborden reportes de vulnerabilidades en todo el sector, potencialmente afectando la postura de seguridad de numerosos protocolos.

Escrito por el equipo editorial — periodismo independiente impulsado por Bitcoin News.