El incidente de hackeo de Dexx fue como un terremoto que sorprendió a la industria web3, haciendo que todo el ámbito de web3 y DeFi experimentara un impacto sin precedentes. Este incidente no solo expuso las profundas vulnerabilidades en la arquitectura técnica de los intercambios descentralizados (DEX) convencionales, sino que también provocó una crisis de confianza y reconsideración sobre las finanzas descentralizadas: los usuarios sufrieron pérdidas significativas, la reputación de la industria se vio afectada e incluso algunas personas comenzaron a cuestionar si la visión de seguridad, eficiencia y equidad que promueve DeFi puede realmente materializarse.
Sin embargo, la crisis a menudo también es una oportunidad para profundizar en la comprensión y el cambio. Desde la tecnología hasta la gobernanza, desde la teoría hasta la práctica, este incidente nos brinda una oportunidad para revisar DeFi. Partiendo del propio incidente, combinaremos el análisis del evento, la investigación teórica y las previsiones sobre tendencias tecnológicas futuras para analizar en profundidad el incidente de hackeo de Dexx y explorar cómo productos y soluciones de seguridad como Hibit pueden impulsar a DeFi hacia una verdadera madurez.
Uno, revisión del incidente de hackeo de Dexx
1.1 Detalles centrales del incidente de Dexx
Según información pública, las pérdidas sufridas por Dexx debido al ataque ascienden a 40 millones de dólares y esa cifra sigue creciendo, miles de usuarios sufrieron pérdidas. A las 4 a.m. del 16 de noviembre de 2024, la oficial emitió un aviso indicando que se había producido la transferencia de tokens de los usuarios, y varios equipos de auditoría profesionales comenzaron a realizar análisis y revisiones. A las 6:40 p.m. del mismo día, DEXX emitió un comunicado: 1. el equipo ha comunicado el caso a las autoridades de varios lugares; 2. espera poder comunicarse con los hackers; 3. el equipo de SlowMist ha comenzado a recopilar estadísticas sobre los fondos perdidos de todos los usuarios y el flujo de fondos de los hackers; 4. se están discutiendo soluciones para los usuarios. Hasta ahora no se ha obtenido la solución más completa. Y tras el análisis del equipo de Hibit, este ataque se centró en aprovechar las siguientes clases de vulnerabilidades:
(1) Vulnerabilidades en contratos inteligentes: ataque de reentrada
Los hackers extrajeron repetidamente fondos a través de la vulnerabilidad de "reentrada" presente en el contrato inteligente del pool de liquidez de Dexx. Un ataque de reentrada es una vulnerabilidad común en contratos inteligentes, donde el atacante puede llamar repetidamente a la función para extraer activos, permitiendo la llamada externa antes de que el contrato actualice su estado interno. Este problema suele surgir por la falta de validación (Verificación Formal) y auditoría en la etapa de desarrollo del código.
(2) Sistemas de gestión de claves centralizados comprometidos
A pesar de que Dexx afirma ser una plataforma completamente descentralizada, la gestión de permisos en sus operaciones clave (como la creación de monedas y retiros) aún depende de servidores centralizados, y las operaciones de billetera de Dexx son en realidad billeteras custodiadas, lo que presenta estrictas vulnerabilidades de seguridad. Por lo tanto, Dexx no es un DEX verdaderamente descentralizado, y precisamente por eso, su problema de seguridad fue aprehendido: estos servidores se convirtieron en el principal objetivo de ataque de los hackers. Una vez que los servidores son comprometidos, los atacantes obtienen control sobre las funciones centrales de la plataforma y las claves privadas de los usuarios.
(3) Ausencia de mecanismos de verificación de transacciones y sistemas de prevención del lavado de dinero (AML)
El mecanismo de verificación de transacciones de Dexx no logró detectar a tiempo grandes retiros anómalos y comportamientos de transacciones frecuentes. Al no adoptar herramientas de monitoreo en tiempo real y análisis de grandes datos, la plataforma no pudo detener rápidamente la fuga de fondos cuando los hackers comenzaron a actuar. Además, los hackers utilizaron tecnologías de mejora de privacidad (como mezcladores criptográficos) para transferir rápidamente los fondos fuera de la plataforma, exponiendo la falta de sistemas de prevención del lavado de dinero y capacidades de seguimiento de transacciones de Dexx.
1.2 Pérdidas de usuarios e impacto en el mercado
Miles de usuarios sufrieron pérdidas directas e incluso perdieron todos sus activos de inversión. Las secuelas del incidente llevaron a una drástica reducción de la liquidez en la plataforma Dexx y la confianza en todo el mercado DeFi se vio gravemente afectada. Según las estadísticas del equipo de Hibit, después de este incidente, el volumen medio diario de transacciones en toda la industria DEX disminuyó un 15%, y la actividad de los usuarios relacionados también se redujo en un 20%.
Esta serie de consecuencias indica que los problemas de seguridad no solo son un desafío técnico, sino que son la línea de base de la confianza del usuario. Una única vulnerabilidad de seguridad puede hacer que la confianza acumulada durante años de una plataforma se derrumbe instantáneamente.
Dos, análisis teórico: la esencia y los riesgos de las finanzas descentralizadas
2.1 Base teórica de la economía descentralizada
(1) Economía de costos de transacción: la paradoja de eficiencia de la descentralización
Una de las bases teóricas de las finanzas descentralizadas (DeFi) es la economía de costos de transacción (Transaction Cost Economics, Coase, 1937). Coase propuso que al reducir los intermediarios, los costos de transacción pueden reducirse significativamente. Sin embargo, en la práctica de DeFi, observamos una "paradoja de eficiencia": aunque se eliminan los intermediarios, surgen nuevos riesgos y costos.
Por ejemplo, el incidente de hackeo de Dexx expuso vulnerabilidades en contratos inteligentes, convirtiendo este riesgo técnico en un nuevo costo de transacción. Los usuarios que utilizan plataformas DeFi deben asumir la incertidumbre causada por ataques de hackers, errores en contratos inteligentes y fallos en la gobernanza de la plataforma. Según un estudio de 2023 (Xu et al., Journal of Blockchain Research), el costo promedio de riesgo de transacción en DeFi es un 30%-50% más alto que en las finanzas tradicionales, lo cual está directamente relacionado con la complejidad de los contratos inteligentes y la vulnerabilidad de la arquitectura descentralizada.
(2) Desequilibrio entre retorno de capital y transferencia de riesgos
Desde la perspectiva de la Teoría Moderna de Portafolios (Modern Portfolio Theory, Markowitz, 1952), el estado ideal de las finanzas descentralizadas es mejorar la eficiencia de asignación de fondos a través de la diversificación y la transacción sin intermediarios. Sin embargo, el incidente de hackeo de Dexx ha revelado un problema de desequilibrio entre el retorno de capital y la distribución de riesgos. Dado que las plataformas DeFi a menudo dependen de proveedores de liquidez (LPs) para respaldar los fondos, una vez que la plataforma es atacada, las pérdidas se concentran en los usuarios comunes, no en la plataforma o los proveedores de tecnología. Además, un estudio de 2024 (Zhang et al., Evaluación de Riesgos en DeFi) muestra que las pérdidas de los usuarios en plataformas DeFi representan más del 80% de las pérdidas totales por ataques de hackers, mientras que este fenómeno es relativamente bajo en sistemas financieros tradicionales. Este mecanismo de transferencia de riesgos plantea un desafío significativo a la lógica de diversificación de riesgos de las plataformas DeFi.
2.2 Análisis de la arquitectura de computación y seguridad
(1) Vulnerabilidades en contratos inteligentes: teoría y práctica
Los contratos inteligentes son el núcleo de DeFi, pero la vulnerabilidad en el diseño de su código ha llevado a frecuentes incidentes de seguridad. En 2024, Liu y otros publicaron en ACM Computing Surveys un estudio que resume los tipos comunes de vulnerabilidades en contratos inteligentes, especialmente los ataques de reentrada (como el ataque que sufrió Dexx). El estudio señala que más del 45% de los incidentes de seguridad en DeFi se atribuyen a fallos en el código de los contratos inteligentes, lo que se debe principalmente a la falta de herramientas de verificación formal y mecanismos de monitoreo dinámico en los equipos de desarrollo.
- Verificación Formal: mediante modelos matemáticos, se puede verificar si un contrato inteligente cumple con especificaciones definidas, lo que puede reducir significativamente los defectos en el código. Luu et al. (2016) en Ethereum's Future señalaron que la verificación formal es crucial para la seguridad de contratos inteligentes complejos. Sin embargo, actualmente, menos del 20% de las plataformas DeFi utilizan esta tecnología, lo que hace que muchas plataformas aún dependan de auditorías de código tradicionales, incapaces de responder a ataques de alta complejidad.
- Mecanismos de defensa dinámica: por ejemplo, bloqueos temporales (Timelocks) y límites de transacción (Transaction Caps) son herramientas efectivas para abordar transacciones anómalas de gran monto. Pero en Dexx, estos mecanismos estaban completamente ausentes, permitiendo a los atacantes extraer grandes cantidades de fondos en un corto período de tiempo.
(2) Descentralización e innovación en la gestión de claves
La gestión centralizada de claves de Dexx es la vulnerabilidad central de este incidente. En comparación, la criptografía de umbral (Threshold Cryptography) ofrece soluciones más seguras para la gestión descentralizada de claves: este método permite dividir la clave en varias partes, que son poseídas y verificadas de manera colaborativa por múltiples nodos. Incluso si un nodo es comprometido, la clave sigue siendo segura. En 2023, una investigación conjunta de IBM y Hyperledger mostró que los sistemas descentralizados que adoptan criptografía de umbral reducen el riesgo de fallos de punto único en más del 70%.
(3) Técnicas de verificación de identidad contra phishing y ingeniería social
A pesar de que las defensas técnicas de seguridad continúan mejorando, los ataques de ingeniería social siguen siendo una de las principales amenazas para DeFi. Los estudios muestran que aproximadamente el 40% de los incidentes de hackers involucran ataques de phishing. Las tecnologías de verificación de identidad contra phishing, como el estándar FIDO2 y la inteligencia artificial de análisis de comportamiento, pueden reducir significativamente el riesgo de errores operativos humanos por parte de los usuarios. Por ejemplo, FIDO2 proporciona una experiencia de autenticación multifactor sin contraseña a través de tecnología de reconocimiento biométrico y claves de autenticación de hardware. En 2024, Cryptocom integró completamente el estándar FIDO2 en su billetera, lo que redujo los incidentes de robo de cuentas en un 65%.
2.3 Teoría de gobernanza y mecanismos de confianza en plataformas DeFi
(1) Gobernanza dinámica y autonomía descentralizada
El incidente de Dexx refleja graves defectos en el nivel de gobernanza. A pesar de proclamarse descentralizado, el mecanismo de toma de decisiones real de la plataforma es altamente centralizado y no logró responder rápidamente cuando estalló el incidente. Este fenómeno de "pseudo-descentralización" no es raro en la industria DeFi. DAO proporciona una solución poderosa. A través de decisiones de votación por parte de los titulares de tokens, DAO no solo mejora la transparencia, sino que también crea espacio para que los usuarios participen en la gobernanza de la plataforma. Por ejemplo, el modelo de gobernanza adoptado por MakerDAO ha evitado con éxito múltiples riesgos significativos, demostrando la viabilidad de la gobernanza descentralizada.
(2) Digitalización de la confianza e interpretación económica
La confianza es la piedra angular de DeFi. Desde la perspectiva económica, la confianza es un "activo intangible", pero su valor puede hacerse explícito a través del diseño de mecanismos. En las plataformas DeFi, la confianza generalmente depende de la colaboración entre tecnología (como contratos inteligentes) y gobernanza (como DAO). Sin embargo, el fracaso de la gobernanza de Dexx ha llevado a una doble destrucción de la confianza de los usuarios en la tecnología y la plataforma. En la investigación sobre la confianza en ecosistemas de blockchain, se ha señalado que la transparencia y la seguridad son los dos pilares fundamentales para establecer confianza en las plataformas DeFi. Cuando una plataforma ofrece auditorías en tiempo real, código abierto y funciones de gobernanza dinámica, el nivel de confianza de los usuarios es entre un 35% y un 50% superior al de las plataformas que carecen de estas funciones.
Tres, soluciones representadas por Hibit: doble garantía técnica y de gobernanza
3.1 Innovación central de Hibit
(1) Seguridad y escalabilidad de Layer-2
Hibit ha construido más de 100,000 líneas de código en su propia infraestructura Layer-2, diseñada específicamente para mejorar la seguridad y escalabilidad. Sus contratos inteligentes han sido sometidos a una rigurosa verificación formal y cuentan con mecanismos de defensa dinámica (como bloqueos temporales y límites de transacción), previniendo efectivamente vulnerabilidades similares a ataques de reentrada.
(2) Carteras no custodiales e identidad descentralizada
Hibit proporciona billeteras no custodiales (Hibit ID), eliminando el riesgo de fallos de punto único y filtraciones de claves privadas. Además, la plataforma asegura la identidad y la seguridad de los activos de los usuarios mediante tecnología de identidad descentralizada (DID).
(3) Plan de compensación para usuarios afectados
En la gestión posterior al incidente de Dexx, Hibit lanzó proactivamente un plan de compensación de airdrop para los usuarios afectados. Esto no solo ayuda a los usuarios a recuperar pérdidas, sino que también encuentra un verdadero estándar técnico para la reconstitución de la confianza en la industria.
(4) Integración de un sistema de monitoreo AI en tiempo real
Hibit asegura la transparencia y conformidad en el flujo de fondos mediante monitoreo de transacciones en tiempo real y herramientas de IA que mejoran la privacidad, sin perjudicar los derechos de privacidad de los usuarios.
Cuatro, perspectivas futuras:
4.1 El "arte de equilibrar" descentralización y seguridad
El futuro de las finanzas descentralizadas radica en cómo equilibrar la tensión inherente entre la descentralización y la seguridad. Por un lado, la descentralización es el valor central de DeFi, ya que aumenta la transparencia y la eficiencia al eliminar intermediarios tradicionales; por otro lado, la descentralización total a menudo significa la falta de un mecanismo de coordinación central, lo que puede resultar en un aumento de la complejidad técnica y el fracaso de la gobernanza. Esta contradicción ha dado lugar a la "paradoja de la descentralización" en la aplicación práctica: descentralización excesiva: la plataforma depende completamente de decisiones comunitarias y autonomía, lo que lleva a una lentitud en la reacción y dificultando la reparación de vulnerabilidades ante ataques. Centralización excesiva: la plataforma introduce componentes centralizados para simplificar los procesos técnicos y de gestión, lo que hace que pierda la esencia de la descentralización y aumenta el riesgo de fallos de punto único. En el futuro, las plataformas DeFi necesitarán una estrategia de "descentralización progresiva", es decir, encontrar el mejor equilibrio entre ambas a través de la innovación colaborativa en tecnología y gobernanza.
(1) Impulso de la verificación distribuida
El mecanismo de verificación distribuida es un camino técnico efectivo que reduce la posibilidad de fallos de punto único al distribuir la verificación de transacciones entre múltiples nodos o miembros de la red. Por ejemplo, los puentes de cadena cruzada tradicionales pueden introducir mecanismos de criptografía de umbral (Threshold Cryptography) para asegurar que ningún nodo individual pueda controlar todo el proceso de verificación, completando así la función de firma de umbral más segura en los esquemas de cadena cruzada.
(2) Introducción de seguros para contratos inteligentes
El seguro para contratos inteligentes (Smart Contract Insurance) es una herramienta financiera defensiva contra vulnerabilidades en contratos inteligentes y ataques externos. Las plataformas pueden proporcionar protección a los fondos de los usuarios mediante la introducción de mecanismos de seguros descentralizados similares a Nexus Mutual. Este tipo de seguro se logra mediante reservas distribuidas y pólizas en cadena, lo que mejora la estabilidad del sistema al tiempo que protege los fondos de los usuarios.
(3) Diseño de modelos de gobernanza dinámica
La innovación en modelos de gobernanza es crucial para equilibrar la descentralización y la seguridad. La Gobernanza Dinámica es un enfoque de gobernanza ajustable: cuando el sistema está en estado normal, la plataforma adopta el modelo de organización autónoma descentralizada (DAO) para la toma de decisiones transparente; en caso de eventos imprevistos, el sistema activa mecanismos de emergencia que concentran temporalmente los poderes en nodos de confianza, respondiendo así rápidamente a la crisis. Este mecanismo de doble vía no solo aumenta la flexibilidad de la plataforma, sino que también refuerza la seguridad sin perder el valor de la descentralización.
4.2 Gestión de riesgos y confianza del usuario
El incidente de Dexx resalta la vulnerabilidad de la confianza del usuario en DeFi. La confianza es la piedra angular de las finanzas descentralizadas, pero también es la parte más susceptible a daños. Una vez que los activos de los usuarios sufren pérdidas, el costo de reconstruir la confianza es mucho mayor que la inversión necesaria para construir la confianza inicial. Por lo tanto, las futuras plataformas DeFi deben elevar la gestión de riesgos y la protección del usuario a un núcleo estratégico y optimizarse desde los niveles técnico, de gobernanza y ecológicos.
(1) Innovación tecnológica: reducción de riesgos sistémicos
La tecnología es la primera línea de defensa para gestionar riesgos y también es el verdadero núcleo de seguridad arraigado en el producto. A continuación se presentan las direcciones de investigación que la industria necesita desarrollar en el futuro y en las que Hibit ha profundizado:
- Verificación formal de contratos inteligentes
Según datos del Blockchain Research Institute, en 2024 más del 70% de las vulnerabilidades de DeFi a nivel mundial podrían evitarse mediante herramientas de Verificación Formal. Sin embargo, la tasa de adopción actual es solo del 25%. En el futuro, la difusión y mejora de las herramientas de verificación formal será una tarea importante para las plataformas DeFi.
- Criptografía de umbral
La gestión centralizada de claves de Dexx es una de las raíces de su vulnerabilidad. Al adoptar un mecanismo de gestión de claves descentralizado, la plataforma puede reducir significativamente el riesgo de ataques de punto único y también realizar la más segura cadena cruzada.
- Sistema de advertencia de riesgos en cadena
Combinando tecnología de análisis de blockchain e IA, se puede establecer un sistema de monitoreo de riesgos en cadena en tiempo real. Por ejemplo, la herramienta Chainalysis KYT (Know Your Transaction) lanzada en 2023 puede detectar transacciones anómalas en tiempo real, proporcionando a la plataforma una advertencia anticipada del 90% de los riesgos potenciales. Además, el equipo de Hibit ha llevado a cabo un desarrollo y actualización adicionales sobre estas herramientas.
(2) Innovación en gobernanza: establecer un ecosistema de confianza
El surgimiento de DAO ha traído un gran potencial para la gobernanza de las plataformas DeFi, pero su práctica actual enfrenta ineficiencias y problemas de dispersión de poder. Al optimizar la estructura de gobernanza de DAO, se puede mejorar la capacidad de la plataforma para mantener la confianza del usuario:
- Gobernanza en múltiples niveles: dividir a los usuarios, desarrolladores e inversores institucionales en diferentes niveles de gobernanza y asignar diferentes pesos de voto a cada grupo. Este diseño no solo mejora la eficiencia de gobernanza, sino que también puede equilibrar mejor los intereses de todas las partes.
- Herramientas de transparencia para la gobernanza descentralizada: por ejemplo, herramientas como Snapshot pueden proporcionar transparencia en la votación, permitiendo a los usuarios ver claramente la participación y el apoyo a cada decisión, garantizando así una verdadera descentralización.
(3) Mecanismos de protección del usuario: fortalecer la base de confianza
La mejora de los mecanismos de protección del usuario es crucial para reconstruir la confianza. A continuación se presentan algunas medidas viables:
- Seguros en cadena y reservas de capital
Los mecanismos de seguros en cadena descentralizados (como InsurAce) pueden proporcionar compensación a los usuarios en caso de ataques de hackers o fallos en contratos inteligentes. Al mismo tiempo, la plataforma debe establecer un mecanismo de reservas de capital suficiente para hacer frente a los riesgos sistémicos potenciales.
- Fondo de compensación para víctimas
Para eventos significativos, como el ataque de hackers a Dexx, la plataforma puede establecer un fondo de compensación específico para proteger los intereses de los usuarios. Similar al plan de compensación total lanzado por Hibit, esta medida no solo protege efectivamente la confianza del usuario, sino que también demuestra la responsabilidad social de la plataforma.
Conclusión:
El incidente de hackeo de Dexx, aunque una catástrofe, también ha señalado el camino para el desarrollo futuro de DeFi. Desde la mejora técnica hasta la innovación en gobernanza, desde la protección del usuario hasta la regulación de la industria, cada paso adelante de DeFi requiere una reflexión más profunda y una práctica más sistemática. Y las plataformas representadas por Hibit están liderando a DeFi hacia una nueva era de mayor seguridad y confianza mediante tecnología avanzada y verdadera descentralización.
Si DeFi es una "revolución industrial" en el mundo financiero, entonces el incidente de Dexx es un importante accidente de seguridad y una llamada de atención. En el futuro, lo que necesitamos no es solo una verdadera "descentralización", sino también utilizar tecnologías más sólidas y una gobernanza más inteligente para lograr este ideal. Esperamos que los Builders de la industria se unan a nosotros para construir este hermoso ideal y futuro.