Para algunos, la denominada web3, es el futuro más prometedor para internet. Una forma de devolver la capacidad de decisión y participación a todos los usuarios, con la tecnología blockchain como parte central. Para sus acólitos, los NFT son el primer caso palpable de su potencial, al que las DAOs, todas las opciones del mundo cripto y las dApps les seguirán por el camino.

Pero, para otros, y hay muchos casos que lo demuestran, al menos hasta ahora la denominada web3 o todo lo que se pretende incluir bajo su paraguas ha dado más pie a algunas de las mayores estafas nunca vistas en el entono online que a otra cosa.

Pero, ¿cuánto, para hacernos una idea?

Las estafas cripto y web3 cuestan cada año el equivalente a la inversión de Musk en Twitter

La desarrolladora Molly White se ha convertido en una voz de interés en este nuevo ecosistema por las estafas que ha ido recopilando en su blog web3isgoinggreat. Allí, ha ido contabilizando el dinero perdido es escándalos relaciones con NFTs, DAOs o cripto desde el inicio de 2021. El resultado, 9.500 millones de dólares solo en el último año. Para hacerse una idea, lo mismo que la Unión Europea cedió a España en el primer tramo de las ayudas para la recuperación de la pandemia, el dinero que está dispuesto a invertir Elon Musk para comprar Twitter, o una cifra similar el PIB de países como Nicaragua, República del Congo o Bahamas. Mucho dinero.

White comentaba en una reciente entrevista con Fast Company de forma tajante que “la gente parece tener la opinión de que, por tratarse de una criptomoneda, pueden hacer lo que quieran: operar un esquema Ponzi o vender valores no registrados. Hay una razón por la que los esquemas de enriquecimiento rápido son tan atractivos, y como suelen ser las historias de éxito las que llaman la atención, creo que la gente empieza a creer que es realmente común que la gente gane dinero con estas cosas [...] Por suerte, parece estar cambiando, pero cuesta”.

Del caso Axie Infinity a los grandes escándalos cripto

El último de estos grandes escándalos ha sido el más importante en términos económicos. Axie Infinity, un videojuego basado en blockchain en el que los jugadores compiten entre sí con monstruos NFT, es uno de los juegos play-to-earn (“jugar para ganar”) más populares del mundo. Simplemente, quien más gana, más tokens consigue, pudiendo ser cambiado por dinero real. Las implicaciones sobre el mundo de los videojuegos de esto son enormes y lo que supone cambiar jugar por divertimento a hacerlo por ganar dinero.

Todo parecía ser una fuente de dinero, hasta que Sky Mavis, el desarrollador con sede en Vietnam detrás del juego, se vio con problemas.

Todo comenzó cuando la base de usuarios de Axie Infinity se disparó el año pasado, y con ello el valor de su criptomoneda del juego, la Smooth Love Potion (SLP), entró en hiperinflación. Esto obligó a los desarrolladores a implementar nuevas medidas en su política monetaria que diezmaron el potencial de ganancias de los jugadores.

Pero lo peor llegó hace unas semanas, a finales de marzo, Axie Infinity sufrió uno de los robos criptográficos más grandes del mundo. Un ataque informático se llevó 610 millones de dólares los fondos de la compañía, dando un duro golpe a los millones de jugadores del juego, muchos de los cuales tratan el juego como un trabajo.

La historia detrás del hackeo comienza en abril de 2021, cuando Sky Mavis hizo la transición del juego sacándolo de la blockchain de Ethereum para pasarlo a una sidechain escindida de desarrollo propio llamada Ronin. Se suponía que la migración facilitaría a los jugadores unirse al juego y comerciar con activos, como NFTs, haciendo que las transacciones fueran más rápidas y baratas. Y funcionó durante un tiempo.

Poco después del cambio, el número de jugadores de Axie Infinity se disparó, alcanzando un máximo de 2,5 millones de usuarios activos diarios a finales de 2021, frente a unos 38.000 en abril. El precio de su token también se disparó, con un aumento del 1.000% en la semana posterior al traslado del juego a Ronin.

Su moneda virtual (recordemos, SLP) es inútil en el mundo real, pero los jugadores de Axie Infinity pueden convertir el token virtual en Ether -la criptodivisa nativa de la cadena de bloques Ethereum- y luego cobrarlo en moneda fiduciaria. Eso era, al menos, hasta que un hacker se infiltró en la red Ronin el 23 de marzo y robó los fondos que Axie Infinity utiliza para financiar esas retiradas de fodos.

El problema yacía en que la mayor flexibilidad daba también mayor isneguridad. La red Ronin requiere que todas las transacciones en su cadena de bloques sean aprobadas por cinco de los nueve “validadores”, es decir, entidades que firman cualquier depósito o retirada de la red. Esto es muy poco comparado con otras cadenas de bloques: La cadena de bloques principal de Ethereum tiene más de 300.000 validadores.

Cuatro de los validadores comprometidos de Ronin estaban controlados por Sky Mavis, mientras que el quinto estaba controlado por la DAO de Axie, la organización autónoma descentralizada que representa a la comunidad del juego. Sin embargo, en noviembre de 2021, el DAO de Axie permitió a Sky Mavis aprobar transacciones en su nombre para ayudar al desarrollador a manejar “una inmensa masa de usuarios”. El acuerdo terminó un mes más tarde, pero Sky Mavis se olvidó de revocar su permiso para firmar por el DAO de Axie.

Eso significaba que el hacker podía obtener fácilmente el control de la red Ronin simplemente vulnerando los accesos de Sky Mavis, y luego aprobar transferencias de aproximadamente 620 millones de dólares de criptodivisas a sus propias cuentas, convirtiéndolo en el robo más numeroso hasta la fecha.

El Departamento del Tesoro de Estados Unidos atribuyó posteriormente el robo al grupo Lazarus de Corea del Norte.

Otros ‘atracos’ cripto con mayores sumas de dinero

El caso de Axie es el más reciente, pero desde luego no el único. En agosto de 2021 un hacker atacó Poly Network explotando una vulnerabilidad en su sistema y consiguió robar fondos por valor de más de 600 millones de dólares, considerado el segundo robo más alto. Sin embargo, en un extraño giro, no se hicieron con el dinero. En su lugar, el hacker habló con la plataforma y acordó devolver la mayor parte del dinero, excepto 33 millones de dólares de tether (USDT) que habían sido congelados por los emisores. Pero ese no fue el final del fiasco, ya que 200 millones de dólares de los fondos robados quedaron atrapados en una cuenta que requería una contraseña del hacker y de Poly Network. Durante un tiempo, el hacker se negó a entregar la suya, hasta que Poly Network les suplicó que la entregaran, les dio 500.000 dólares como gesto por haber encontrado la vulnerabilidad del sistema.

En enero de 2018, la empresa japonesa Coincheck sufrió el robo de sus tokens por valor de más de 530 millones de dólares. Los hackers explotaron el hecho de que la moneda se guardaba en una cartera “caliente”, lo que significa que estaba conectada al servidor. Los desarrolladores de NEM pudieron identificar las monedas robadas y marcarlas como tales. Sin embargo, como las monedas perdieron mucho valor después del ataque, es poco probable que muchos hayan visto esto como un buen negocio.

Mucho más antiguo es el caso de MT Gox, con una suma robada de 470 millones de dólares. Este fue el primer hackeo a gran escala de una bolsa y sigue siendo el mayor robo de Bitcoins. Sin embargo, el atraco a MT Gox no se debió a un hecho aislado. Más bien, la plataforma había estado filtrando fondos desde 2011, hasta que se descubrió en febrero de 2014. MT Gox entró en liquidación poco después del hackeo y los liquidadores recuperaron aproximadamente 200.000 de los bitcoins robados.

De ahí vamos a uno mucho más reciente. En el primer gran robo de criptomonedas de 2022 involucró a la plataforma de criptomonedas de Wormhole, de al que desaparecieron el equivalente a 326 millones de dólares. La plataforma actúa como un puente de comunicación entre Solana y otras redes financieras descentralizadas.

Cerramos con el caso de la plataforma KuCoin. En septiembre de 2020, KuCoin confirmó que los hackers habían logrado obtener las claves privadas de sus carteras calientes antes de retirar grandes cantidades de ethereum (ETH) y bitcoin (BTC), así como Bitcoin SV (BSV), Litecoin (LTC), XRP (XRP), Stellar Lumens (XLM), Tron (TRX) y Tether (USDT). Desde entonces, los expertos han sugerido que tienen fuertes razones para creer que los hackers de Corea del Norte fueron los responsables.