Si no hubiera revisado a fondo los registros de seguridad y los eventos pasados de @Bedrock , probablemente también me habría dejado engañar por los lujosos datos de su versión 2.0. Pero después de ver esos resúmenes escalofriantes, solo me quedó una sensación: un escalofrío en la espalda. Porque Bedrock me hizo darme cuenta de manera profunda de que un protocolo que se jacta de ser una "infraestructura de nivel institucional" puede tener su defensa fácilmente vulnerada por un ex-empleado mediante ingeniería social.
En septiembre de 2024, el contrato uniBTC de Bedrock experimentó el error de precios más increíble y mortal en la historia de DeFi: ¡el sistema asumió que WETH y uniBTC podían intercambiarse a una tasa de 1:1! Un hacker utilizó un flashloan para pedir prestados 30.8 ETH y, en un instante, los convirtió en la misma cantidad de uniBTC. En un minuto, el pool de liquidez de Bedrock se evaporó directamente por aproximadamente 2 millones de dólares. Esta era la parte más irónica: un proyecto de alto perfil que afirmaba ser la puerta de enlace intercadena de BTCFi, ni siquiera podía distinguir el precio básico de ETH y BTC en su código subyacente, y aun así se atrevían a salir al mercado con confianza para recaudar fondos.
Si los errores básicos en el código se pueden atribuir a plazos ajustados o tecnología inmadura, la segunda grieta expuso completamente la descomposición de su gestión interna. Según lo divulgado por la agencia de seguridad Fuzzland, el perpetrador involucrado en este caso de gran magnitud era, sorprendentemente, un ex-empleado interno de Bedrock. Esta persona ingresó al equipo con un robot MEV y, mediante ingeniería social, implantó sigilosamente una puerta trasera en el sistema interno, permaneciendo encubierto durante semanas, mientras todo el equipo permanecía ajeno. Esa es la parte más aterradora: su orgullosa gestión de fragmentos de claves privadas y el mecanismo de múltiples firmas resultaron ser tan frágiles como nada ante un "ataque físico" de un infiltrado. Las mejores firmas de auditoría pueden detectar errores lógicos en los contratos inteligentes, pero nunca podrán detener a alguien que se sienta a tu lado todos los días programando y se infiltra en la oficina.
Te lo digo claro, la supuesta historia de seguridad de #Bedrock tiene una capa superficial que se desprende fácilmente. Los errores lógicos del contrato pueden ser parcheados, las puertas traseras del sistema pueden ser cerradas nuevamente, pero un proyecto que se ha deteriorado desde su interior y desde el modelo de confianza del equipo, prefiero mantenerme alejado. Antes de perseguir el APY excesivo de $BR , pregúntate primero: ¿puede tu capital soportar al próximo infiltrado que se cuele en su oficina?
En septiembre de 2024, el contrato uniBTC de Bedrock experimentó el error de precios más increíble y mortal en la historia de DeFi: ¡el sistema asumió que WETH y uniBTC podían intercambiarse a una tasa de 1:1! Un hacker utilizó un flashloan para pedir prestados 30.8 ETH y, en un instante, los convirtió en la misma cantidad de uniBTC. En un minuto, el pool de liquidez de Bedrock se evaporó directamente por aproximadamente 2 millones de dólares. Esta era la parte más irónica: un proyecto de alto perfil que afirmaba ser la puerta de enlace intercadena de BTCFi, ni siquiera podía distinguir el precio básico de ETH y BTC en su código subyacente, y aun así se atrevían a salir al mercado con confianza para recaudar fondos.
Si los errores básicos en el código se pueden atribuir a plazos ajustados o tecnología inmadura, la segunda grieta expuso completamente la descomposición de su gestión interna. Según lo divulgado por la agencia de seguridad Fuzzland, el perpetrador involucrado en este caso de gran magnitud era, sorprendentemente, un ex-empleado interno de Bedrock. Esta persona ingresó al equipo con un robot MEV y, mediante ingeniería social, implantó sigilosamente una puerta trasera en el sistema interno, permaneciendo encubierto durante semanas, mientras todo el equipo permanecía ajeno. Esa es la parte más aterradora: su orgullosa gestión de fragmentos de claves privadas y el mecanismo de múltiples firmas resultaron ser tan frágiles como nada ante un "ataque físico" de un infiltrado. Las mejores firmas de auditoría pueden detectar errores lógicos en los contratos inteligentes, pero nunca podrán detener a alguien que se sienta a tu lado todos los días programando y se infiltra en la oficina.
Te lo digo claro, la supuesta historia de seguridad de #Bedrock tiene una capa superficial que se desprende fácilmente. Los errores lógicos del contrato pueden ser parcheados, las puertas traseras del sistema pueden ser cerradas nuevamente, pero un proyecto que se ha deteriorado desde su interior y desde el modelo de confianza del equipo, prefiero mantenerme alejado. Antes de perseguir el APY excesivo de $BR , pregúntate primero: ¿puede tu capital soportar al próximo infiltrado que se cuele en su oficina?