Expertos en ciberseguridad han advertido sobre la urgente necesidad de reforzar los programas de recompensas en plataformas de criptomonedas, tras registrarse pérdidas que superaron los $1.5 mil millones en febrero. Según reportes, el ataque mayoritario se concentró en Bybit, cuyo hackeo, valorado en más de $1.4 mil millones, se produjo a causa de un fallo de seguridad clasificado como “fuera de alcance” en su programa de recompensas.

El hacker ético Marwan Hachem, de la firma FearsOff, explicó que la delimitación restrictiva de los activos elegibles para recibir incentivos permitió que actores maliciosos explotaran vulnerabilidades sin incentivo alguno para reportarlas. Hachem enfatizó la importancia de ofrecer recompensas significativamente mayores a los hackers éticos, quienes podrían identificar y ayudar a remediar dichos fallos antes de que sean aprovechados por delincuentes.

Actualmente, las recompensas oficiales de Bybit son de hasta $4,000 en su propio programa y $10,000 a través de HackerOne, cifras que contrastan de forma drástica con las potenciales ganancias ilícitas derivadas de la explotación de estas vulnerabilidades. El experto sostuvo que, en lugar de asignar un modesto 10% de los fondos sustraídos como recompensa para quienes notifican el fallo, lo ideal es incentivar proactivamente a los hackers éticos mediante premios más atractivos, lo que redundaría en sistemas de seguridad mucho más robustos y económicos a largo plazo.

Adicionalmente, la firma de seguridad CertiK ha subrayado la necesidad de implementar medidas de protección adicionales. Entre las recomendaciones se destacan la utilización de dispositivos de firma aislados, entornos operativos no persistentes para la aprobación de transacciones, y capas de autenticación reforzada para operaciones de alto valor. La adopción de ejercicios periódicos de simulación de ataques y pruebas de seguridad interna también se señala como una estrategia crucial para contrarrestar los intentos de ingeniería social y otros vectores de ataque.

El informe de CertiK detalla que, en el ataque a Bybit, un engaño por medio de phishing logró que los firmantes multisig aprobaran de forma inadvertida una actualización maliciosa del contrato. En un incidente paralelo, el hackeo a Infini se debió a la filtración de una clave privada de administrador, abriendo la puerta a retiros no autorizados. Ambos casos evidencian la imperiosa necesidad de fortalecer los protocolos de autenticación, la monitorización de transacciones en tiempo real y la seguridad en la interfaz de usuario para prevenir manipulaciones futuras.

Ante el creciente volumen de vulnerabilidades y las cuantiosas pérdidas registradas, los analistas coinciden en que mejorar las estructuras de recompensa para hackers éticos y actualizar las medidas de seguridad interna es fundamental para salvaguardar la integridad de las plataformas y mantener la confianza de la comunidad en el ecosistema cripto.