El pasado julio un usuario anónimo robó 50 millones de dólares en Ethereum, una criptomoneda de la que lleva meses hablándose como una alternativa al Bitcoin. El robo se produjo después de que esta persona encontrase una vulnerabilidad en el código de un programa, el cual estaba siendo utilizado por miles de inversores para meter en un fondo común su dinero.
Este robo y la investigación posterior protagonizan el primer capítulo de 'Insert Coin', una nueva sección mensual en la que entrevistaremos a invitados super especialistas técnicos en materias que nos fascinan en Xataka. Es un programa en vídeo que puedes ver a continuación. El vídeo está editado con un resumen de la charla, con nuestro protagonista, si la quieres escuchar entera puedes hacerlo en nuestros podcast de iTunes e iVoox.
En nuestro primer programa tenemos el lujo de contar con Pablo Fernández Burgueño, abogado especializado en ciberseguridad y derecho del entretenimiento, y un apasionado de las criptomonedas. Pablo nos cuenta en detalle qué ocurrió exactamente en el caso 'The DAO', cómo fue alguien capaz de llevarse el dinero sin que nadie se diera cuenta y por qué todavía no se sabe quién ha sido.
Pocas personas pueden ofrecernos un relato tan completo y tan desde dentro de lo que fue y sigue siendo la investigación: la Comisión Europea pidió le asesoramiento para saber qué leyes se podían aplicar, por lo que es una de las personas que mejor conoce el caso.
Insert Coin 1x01: 'The DAO' y el robo de 50 millones de dólares
El Ethereum es una criptomoneda basada en Blockchain como el Bitcoin. Cuando le preguntamos a Pablo sobre las diferencias entre ambas, nos explica que "mientras el Bitcoin intenta generar una economía mundial, en Ethereum escriben códigos informáticos en la cadena de bloques y en Internet".
A estos códigos se les llama 'Smart Contracts'. Tal y como [os contamos hace unos meses], estos "contratos inteligentes" son una pieza de código que se ejecuta de forma transparente al usuario, y que suele incluir una transacción financiera. Ethereum incluye la posibilidad de crear un software distribuido sin limitaciones que se ejecuta en el blockchain (es decir, en múltiples ordenadores) y que puede conllevar la ejecución de pagos.
Dicho de una manera más simple, es un código software que dice "si pasa esto haz esto otro" de una forma distribuida en el blockchain y que por tanto no puede manipularse. Por eso se suele hablar de "contrato" más que de "software" a la hora de referirse a él.
Y este tipo de programas nos lleva precisamente al caso de 'The DAO', una organización creada por un grupo de desarrolladores liderado por Christoph Jentzsch, y que desarrolló uno de estos 'Smart Contract'. Después lo desplegaron en la red para que cualquiera pudiera vincular Ethers a él, algo que hicieron hasta 11.000 personas anónimas de todo el mundo con la intención de utilizarlo como un ahorro o una inversión a largo plazo.
En este punto Pablo nos explica que 'The DAO' se regía por su código. El código es la ley, y el de este programa es el que marcaba las normas de todo lo que se puede hacer o dejar de hacer. Las 11.000 personas que metieron su dinero en 'The DAO' aceptaban el código fuente abierto del programa como las normas a cumplir, sin que ninguno de ellos se diera cuenta de que había un error en él.
Sin embargo hubo alguien que sí se dio cuenta de ese error, el cual permitía extraer Ethers sin el permiso de los demás. No era una letra pequeña en la que nadie reparase, sino un error de programación del que nadie se había dado cuenta, ni siquiera sus creadores.
Explotándolo, esta moneda fue retirando cantidades crecientes de criptomonedas hasta hacerse con el equivalente a 50 millones de dólares. Después, esta persona anónima publicó después una nota abierta en Internet diciendo que todo lo que había hecho estaba en el código, y que si le retiraban sus Ethers les llevaría a los tribunales.
El código no siempre es la ley
Y es aquí donde entró en juego Pablo, especialista en blockchain además de jurista especializado en ciberseguridad y derecho del entretenimiento, así como conferenciante y asesor habitual de instituciones. Fue él a quien recurrió la Comisión Europea para pedir asesoramiento, tanto para que les explicase qué estaba pasando exactamente como para que les dijese si había alguna ley aplicable en este caso.
Su respuesta fue que en este tipo de programas el código no siempre es la ley, y que si 11.000 personas han metido dinero en un fondo común tienen derecho a recuperar lo que es suyo. Por lo tanto, podrían ir a cualquier tribunal y se les daría la razón.
Pero el caso todavía no se ha resuelto, básicamente porque todavía no se sabe quién se llevó el dinero. Por lo tanto, "sin saber a quién hay que denunciar no se puede tener éxito en ningún proceso judicial", y de ahí la complejidad de todo este caso. No tienes a quién culpar.
Tal y como está montado el sistema del Ethereum y su cadena de bloques, Burgueño nos dice que a día de hoy es muy improbable que se pueda llegar a saber quién se llevó todo ese dinero, algo que va a hacer muy difícil que se pueda llevar todo a los tribunales y que quienes invirtieron en 'The DAO' consigan recuperar su dinero. Incluso se ha intentado sin éxito invalidar las monedas que esa persona se llevó.
Ver 3 comentarios