fbpx
viernes, 22 de noviembre de 2024

columnas

Axie, Ronin y la gestión del riesgo tecnológico

«El pasado 23 de marzo, la red de Ronin tuvo una vulnerabilidad, originada en que un agente malicioso se hizo con 5 de las 9 claves, por lo que pudo controlar toda la red y esto provocó grandes pérdidas».

Sandra Garín - 4 abril, 2022

Axie Infinity tiene un modelo de Play-to-Earn (P2E), que es un modelo de juego que permite a los jugadores obtener ganancias en tokens mientras juegan. Estos modelos son muy relevantes actualmente en los ecosistemas de criptoeconomía, ya que conjugan un entretenimiento habitual con la posibilidad de obtener ganancias y transaccionar los ítems del juego. A ellos se suman los usuarios que solamente quieren tener los tokens asociados al juego como inversión y no pretenden jugar.

Sandra Garín

Este tipo de proyectos han reunido el gaming -como entretenimiento- con crypto y son los principales candidatos a convertirse en Metaversos de entretenimiento. Los P2E han jugado un rol protagónico en la adopción crypto del último tiempo, aunque algunos gamers tradicionales se muestran escépticos. El gran desafío para estos juegos es reunir el modelo de tokenomics con juegos de buen nivel tanto en gráficos como en guiones.

Reunir el mundo crypto con el gaming tiene muchos desafíos y uno de ellos es la optimización de las transacciones para que la experiencia de juego no se encuentre obstaculizada por el dinamismo de la infraestructura tecnológica subyacente. Tal como lo ha afirmado Axie, para los usuarios no es relevante el blockchain en sí mismo, en la medida que se proporcione evidencia de un registro distribuido que asegure la escasez de los ítems.

Con esta finalidad, a inicios de 2020 Axie Infinity decidió implementar el Ronin Bridge, Ronin Network y Katana -Ronin Dex-, para facilitar la dinámica del juego. Estas herramientas fueron implementadas por Sky Mavis.

Según la información, Ronin tiene 9 nodos validadores y utiliza PoA -Proof of Authority- como algoritmo de consenso. Este algoritmo es muy eficiente y descansa en la confianza que se tenga a quienes lo ejecutan.

De los 9 nodos validadores, 4 nodos los controlaban los desarrolladores -Sky Mavis-, 1 nodo lo tenía la DAO -Organización autónoma descentralizada- de Axie Infinity y los 4 nodos restantes los controlaban otras entidades, entre ellas: Binance, Ubisoft y Animoca Brands.

El pasado 23 de marzo, la red de Ronin tuvo una vulnerabilidad, originada en que un agente malicioso se hizo con 5 de las 9 claves, por lo que pudo controlar toda la red y esto provocó grandes pérdidas. La vulnerabilidad fue advertida 6 días después, el 29 de marzo y, desde ese momento, se han tomado varias medidas para poder recomponer la situación. Las pérdidas se estiman en aproximadamente US$ 625M.

Los proyectos tecnológicos se despliegan sobre determinadas infraestructuras, elegidas por los desarrolladores, pero también, en determinados casos, por los usuarios.

Un claro ejemplo de aspectos jurídicos que deben tener los desarrolladores cuando eligen una infraestructura, es el caso de cumplimiento para la protección de datos personales. En este punto, tendrán que ver en qué servidores despliegan el software y las bases de datos que trata este tipo de información; pero también deben considerar aquellos productos y prestadores que más se adecuen a sus necesidades de negocio. Por ejemplo, si se elige un servidor solamente por su ubicación -a fin de cumplir con las transferencias de datos-, puede suceder que esos servidores no cuenten con las características técnicas de velocidad, capacidad, mantenimiento, etc., que necesita el proyecto.

Sin embargo, hay casos en donde los propios usuarios pueden elegir la infraestructura, por ejemplo, cuando en una compraventa el pago se hace mediante la entrega de Bitcoin (BTC), y quienes intervienen son partes en igualdad de condiciones para negociar. Así, ambos pueden acordar usar BTC para esa transacción, y prever los aspectos que les interesan que queden plasmados para dicho caso, por ejemplo, la asunción de riesgos en caso de volatilidad, la conservación o no de la crypto, la libertad para elegir la wallet, evaluación del estado de la red, etc.

Puede afirmarse razonablemente que: en el primer caso, la responsabilidad por la elección de la infraestructura, así como sus riesgos asociados, estén completamente a cargo de los desarrolladores tecnológicos y comerciales del proyecto; y, en el extremo opuesto, en la segunda situación, que todo el riesgo se encuentre a cargo de los usuarios.

En el medio de estos dos casos, surge una amplia gama de grises y no está claro cómo se distribuyen los riesgos.

El diseño de las redes de Bitcoin y Ehtereum contemplan un diseño fuerte desde la teoría de juegos, en el sentido, de que establecen incentivos y desincentivos equilibrados para que los actores no actúen de forma desleal, así como también, previniendo que la vulneración tecnológica de uno o varios de ellos no comprometa la red. De todas maneras, no están exentas de ser víctimas de la centralización.

Los diseños de este tipo son familiares para los abogados, todos cuando redactamos contratos consideramos este tipo de factores, por ejemplo, si se quiere hacer demasiado gravoso el incumplimiento, se pueden establecer multas altas; o si se otorga la potestad de ejercicio de un derecho unilateral a una parte, se establecen mecanismos más o menos burocráticos para asegurar que su titular lo ejerce de forma adecuada, etc.

La descentralización trae una nueva manera de distribuir riesgos, puesto que los reparte entre los posibles actores y focos de vulnerabilidades: wallet, nodos, bridges, sidechains, exchanges, etc.

Sin embargo, para mejorar la escalabilidad y eficiencia en cuanto a número y costo de transacciones, han surgido soluciones como las sidechains y bridges que aumentan la eficiencia en detrimento, en mayor o menor medida, de la descentralización, inmutabilidad y seguridad.

En el ecosistema de proyectos crypto se puede observar, con carácter general y sin hacer afirmaciones sobre proyectos concretos, que muchas veces los proyectos toman decisiones de infraestructura tecnológica que modifican la distribución de riesgos inherente a esta, sin equilibrar la balanza adoptando mecanismos adicionales y/o complementarios.

En el caso que comentamos se cambió de una red como Ethereum a una red sumamente centralizada, dejando constancia sí que esa red se iría a descentralizar más adelante. Lo sucedido hizo adelantar dicha gestión y tal como surge de los reportes, se está encaminando.

En general, cuando hablamos de blockchain, se dice que el usuario es soberano de sus activos, tokens, ítems, incluso de sus datos personales y de tráfico en internet.

Especialmente en crypto, se hace énfasis en que el usuario es el único responsable de decidir acceder a este mundo y, por lo tanto, responsable exclusivo de la pérdida de valor del activo en cuestión, así como de todas las vulnerabilidades, errores, etc. Con estos parámetros se redactan todos los términos y condiciones de los proyectos.

Ahora bien, cabe preguntarse, qué tanto debe impactar en la documentación legal el hecho de que la empresa desarrolle el proyecto sobre una infraestructura centralizada de su elección, donde ella misma tiene el control, o la tiene un proveedor tecnológico y el usuario no puede negociar este punto. Incluso en hipótesis de DAOs esta puede ser una decisión restringida para la comunidad.

Por otra parte, esperar a que haya regulación que establezca algo al respecto de forma expresa y con carácter general -no solamente para el mundo financiero- es inverosímil, pero, los proyectos pueden diferenciarse entre sí, agregando valor, mediante una asignación de riesgos de manera equilibrada.

Cuando se sacrifica seguridad para potenciar la eficiencia podría considerarse de orden tomar medidas adicionales y complementarias que compensen la pérdida -tales como instrumentos tradicionales: Contrato de Desarrollo, Service Level Agreement con el proveedor tecnológico y con los nodos que corren PoA, y cualquier formato comercial que corresponda a la naturaleza de la relación-.

De esta manera, este caso podría ayudar a mejorar la resiliencia a nivel técnico, pero también a nivel jurídico.

 
*Sandra Garín es abogada de la Universidad de la República de Uruguay, asesora legal de PowerLedgers en proyectos con base en blockchain, especialista en derecho procesal y profesora universitaria.

 

También te puede interesar:
Sandra Garín, blockchain y el internet de los 90
Novedades Crypto en Uruguay

 

artículos relacionados


podcast Idealex.press