El proyecto de cálculo estable Nirvana Finance en Solana reinicia V2

La semana pasada ocurrieron muchos eventos importantes, entre ellos, la Reserva Federal recortó las tasas de interés en 50 puntos básicos de manera relativamente agresiva, mientras que el Banco de Japón se mantuvo en espera. Esto sugiere que en las próximas semanas podría no haber información excesivamente negativa. En este proceso, necesitamos centrarnos en dos puntos clave para gestionar el riesgo: primero, si el mercado laboral se recupera como se esperaba, y segundo, el riesgo de reavivamiento de la inflación.

Además, una noticia destacada es que el proyecto de moneda estable algorítmica Nirvana Finance en Solana ha anunciado el relanzamiento de su versión V2. Este proyecto fue forzado a suspender operaciones después de sufrir un ataque de hackers en julio de 2022, en el que perdió más de 3.5 millones de dólares. Poder reiniciar su operación significa que las autoridades judiciales pertinentes pueden haber completado la recuperación de los fondos robados. Esto podría convertirse en el primer caso en Estados Unidos condenado por un ataque a contratos inteligentes, lo que tendría un significado emblemático para el sistema de derecho marítimo, y el proceso de manejo de casos similares podría mejorar significativamente en el futuro.

Antecedentes del ataque de préstamo relámpago a Nirvana Finance

Nirvana Finance es un proyecto de moneda estable algorítmica en la blockchain de Solana. El proyecto se lanzó a principios de 2022, pero fue atacado por hackers el 28 de julio de ese mismo año, robando todos los colaterales de la moneda estable NIRV (aproximadamente 3.5 millones de dólares). A pesar de que el contrato del proyecto no es de código abierto, los hackers lograron llevar a cabo el ataque utilizando la función de préstamo relámpago de una plataforma de préstamos, lo que generó dudas sobre el equipo del proyecto.

Curiosamente, el proyecto afirmó haber completado una "auditoría automática" antes de ser atacado, pero evidentemente esto no tuvo el efecto esperado. El cofundador Alex Hoffman, en una entrevista con los medios, dijo que justo en la semana en que ocurrió el ataque, el equipo había comenzado a trabajar en la auditoría. Reconoció que inicialmente no se esperaba que el proyecto recibiera tanta atención, hasta que algunos informes de medios chinos provocaron un aumento significativo en el total del valor bloqueado (TVL). Esto se puede entender, ya que en ese momento había un gran interés en ciertos proyectos de monedas estables algorítmicas, y toda la pista de monedas estables algorítmicas estaba recibiendo mucha atención.

Después de lograr un éxito inicial, el CEO de Solana, Anatoly Yakovenko, incluso instó personalmente a realizar una auditoría de contratos inteligentes y trató de acelerar el proceso de auditoría. Sin embargo, después del robo de los fondos colateralizados, el proyecto se detuvo, y solo la comunidad de Discord sigue siendo mantenida por personal oficial. La comunidad ha estado monitoreando los fondos robados, pero debido a que los hackers utilizaron alguna herramienta de anonimato y monedas de privacidad para aislarse, no ha habido avances sustanciales en la recuperación.

Avances y desarrollos posteriores del caso

Las cosas dieron un giro el 14 de diciembre de 2023. Un ex ingeniero de seguridad de software senior de Amazon llamado Shakeeb Ahmed se declaró culpable en el tribunal del distrito sur de Nueva York de cargos de fraude informático relacionados con un ataque de hackers a Nirvana Finance y a un intercambio de criptomonedas descentralizado no nombrado. La oficina del fiscal de EE. UU. afirmó que este es el primer caso en ser condenado por un ataque de hackers a un contrato inteligente.

Los fundadores de Nirvana Finance no han dejado de trabajar tras el ataque al proyecto, sino que han desarrollado otros proyectos como superposition finance y concordia systems. Esto también refleja los beneficios de mantener cierto anonimato, al menos las emociones negativas no se trasladan fácilmente.

El 15 de abril de 2024, el caso llegó a su veredicto. Shakeeb Ahmed fue condenado a tres años de prisión por invadir y estafar a dos intercambios de criptomonedas. El 6 de junio, los fondos robados fueron transferidos de vuelta a la cuenta designada del proyecto, marcando la recuperación oficial de los fondos.

La verdadera fuente del caso y el proceso de captura del hacker

En realidad, el origen de todo el caso debería ser un ataque a otro intercambio descentralizado. Nirvana Finance fue bloqueado después de que el hacker fue capturado y se entregó proactivamente.

En ese momento, Shakeeb Ahmed, de 34 años, era un ingeniero de seguridad senior en una empresa tecnológica internacional, especializado en auditoría de contratos inteligentes y blockchain, y experto en ingeniería inversa de software. Esto explica por qué Nirvana fue atacado incluso sin ser de código abierto. La técnica de ingeniería inversa puede convertir el código ejecutable compilado de nuevo a un lenguaje de alto nivel legible por humanos, y el código compilado de los contratos inteligentes se almacena en la cadena, por lo que aquellos que dominan esta técnica pueden acceder fácilmente a él.

Según documentos públicos del Departamento de Justicia de EE. UU., el verdadero origen del caso es un intercambio descentralizado que fue atacado en julio de 2022 y perdió aproximadamente 9 millones de dólares. Ahmed atacó la plataforma a través de un préstamo relámpago y ofreció una "recompensa de sombrero blanco" de 2.5 millones de dólares para recuperar los activos de otros usuarios y renunciar a la persecución. Finalmente, el intercambio aceptó una "recompensa de sombrero blanco" de aproximadamente 1.68 millones de dólares.

Las claves para la detención de Ahmed pueden ser dos. Primero, el atacante interactuó con la dirección de algún intercambio centralizado o con la dirección de algún intercambio anidado asociado. En segundo lugar, Ahmed puede haber cometido un error al usar alguna herramienta de anonimización. Poco después del ataque, depositó fondos en dicha herramienta, pero pronto se realizaron transacciones de retiro, y los fondos retirados terminaron en otro intercambio centralizado. Esto parece insinuar que las autoridades judiciales finalmente capturaron a Ahmed en Nueva York al colaborar con estos dos intercambios centralizados.

De todos modos, la recuperación de fondos robados es algo positivo. Esto refleja dos problemas: primero, para los desarrolladores de DApp, la seguridad de los fondos debe ser una dimensión a considerar seriamente. En segundo lugar, ahora hay un modelo de referencia para manejar este tipo de casos, lo que debería tener un efecto disuasorio sobre los comportamientos ilegales relacionados.