Los líderes de la industria afirman que los exploits de DeFi no se pueden atribuir a los préstamos flash

Hace nueve meses, en un centro de convenciones de Denver, había un stand vacío.

Repleta de pegatinas de tokens, la mesa debía albergar a los representantes físicos del protocolo de Finanzas descentralizadas (DeFi) bZx. Sin embargo, permaneció vacía mientras el equipo intentaba comprender las fuerzas digitales que distorsionaban su joven proyecto.

bZx, como luego descubrirían, eraEl "paciente cero" de los préstamos relámpago de 2020.

Los nuevos casos no han parado en los meses transcurridos desde entonces. Tomemos como ejemplo noviembre: 2 millones de dólares de Akropolis, entonces 3,3 millones de dólares del Cheese Bank, seguido de6 millones de dólares de Value Finanzasy por último7 millones de dólares del Origin Protocol.

Los préstamos flash siguen siendo el hilo conductor de todos esos ataques recientes. Estas herramientas nativas de DeFi permiten a un inversor astuto obtener préstamos sin respaldo y acumular apalancamiento tras una posición. Por ejemplo, el lunes...Atacante del Origin Protocolsacó un 70.000ETH Préstamo de la plataforma de derivados descentralizados DYDX. Esto permitió al atacante aumentar la cantidad de botín extraído del proyecto.

Sin embargo, si bien pueden ser el hilo conductor de estas hazañas, los préstamos flash no son la causa en sí mismos, dijeron los líderes de la industria a CoinDesk.

Manipulación de oráculos y préstamos relámpago

Tal vez ni siquiera sea justo caracterizar las recientes vulnerabilidades de DeFi como “ataques de préstamos flash”, dijo el cofundador de Chainlink, Sergery Nazarov, a CoinDesk en un correo electrónico.

Nazarov afirmó que los préstamos flash, en CORE , son meros montos de capital que se invierten en posiciones comerciales exitosas. El verdadero problema radica en los proyectos DeFi mal construidos.

Aunque muchos intentan enmarcar esta tendencia como resultado de préstamos relámpago, la mayoría de estas vulnerabilidades podrían haber sido cometidas por cualquier actor con un buen capital. Un préstamo relámpago lo único que hace es convertir temporalmente a cualquiera en un actor con un buen capital, afirmó Nazarov.

Sigue leyendo: Todo lo que siempre quiso saber sobre el ataque de los préstamos flash a DeFi

Los proyectos DeFi son contratos inteligentes implementados en la blockchain de Ethereum . Requieren información externa, concretamente datos de precios, para ejecutar las acciones integradas en cada contrato.

Esa información de precios es susceptible a distorsiones simplemente por la forma en que la blockchain de Ethereum empaqueta las transacciones, es decir, cada 15 segundos. Los precios pueden fluctuar en cualquier dirección en 15 segundos, lo que obliga a los contratos inteligentes a actuar sobre datos obsoletos.

Además, muchas aplicaciones DeFi dependen de oráculos de precios internos creados por reservas de tokens, fuentes de precios no descentralizadas u otras soluciones ad hoc. Por ejemplo, Harvest Finance se apoyó en otro proyecto DeFi, Curve Finanzas, para fijar el precio de sus pools de tokens.

En casos como el de Harvest Finance, la interoperabilidad se convirtió en una dependencia negativa. préstamo flash por valor de 50 millones de dólares Los precios de los activos se desviaron temporalmente del valor de mercado, creando una oportunidad de arbitraje. Un proyecto con un sistema de precios más sólido no habría sido víctima de esta vulnerabilidad, según la teoría.

¿Son suficientes las auditorías?

Otro punto que los desarrolladores están abordando es que las auditorías de código por sí solas no hacen que un proyecto DeFi sea seguro.

En una entrevista con CoinDesk por WhatsApp, el CEO de Quantstamp , Richard Ma, afirmó que los desarrolladores necesitan comprender los Mercados en sí mismos, quizás más que el código que implementan en la blockchain de Ethereum . Quantstamp ha auditado o asesorado varios proyectos DeFi importantes, como Curve Finanzas, MakerDAO y Sushiswap, entre otros.

“Comprender los productos y la lógica de negocios requiere mucho más tiempo y es más importante que una simple revisión del código”, afirmó Ma.

De hecho, Akropolis fue auditada dos veces por dos empresas distintas, pero aún así sufrió un ataque de reingreso.

Este tipo de ataque ocurre cuando la puerta trasera de un contrato inteligente queda entreabierta. El estado del contrato —que registra, entre otras cosas, cuántos tokens tiene— no se actualiza con la suficiente rapidez al retirar tokens, lo que permite al atacante transferir más monedas de lo previsto. Es similar a un cajero de banco descuidado que sigue desembolsando fondos de una cuenta en descubierto.

Sigue leyendo: Harvest Finance: Un ataque de 24 millones de dólares desencadena una corrida bancaria de 570 millones de dólares en el último exploit de DeFi.

Combinar las redundancias de auditoría con los seguros es una medida que al menos una importante firma de inversión en Criptomonedas está impulsando ahora.

“Recomendamos a las empresas de nuestra cartera que realicen múltiples auditorías de más de un proveedor”, declaró Paul Veradittakit, socio de la firma de capital riesgo Pantera, en un correo electrónico. “También creemos que los proyectos y los inversores podrían querer contratar un seguro para protegerse”.

También cabe destacar que ninguno de los principales proyectos DeFi ha sufrido ataques de oráculos impulsados ​​por préstamos flash, según declaró a CoinDesk el fundador de DYDX , Antonio Juliano. Muchos de los préstamos flash utilizados en los ataques se originaron en su plataforma, que ofrece el producto sin comisiones.

Dijo que “hay una gran brecha entre los proyectos bien diseñados y otros”; una brecha que se está concretando en tiempo real mediante préstamos flash.

“De la misma manera que no culparías a Ethereum por un detalle de implementación de la cadena que se usa para un ataque, la forma en que se usan los préstamos flash en los exploits es culpa de los desarrolladores que crean aplicaciones inseguras, no de los préstamos flash en sí”, dijo Juliano.