Esta semana han ocurrido una serie de noticias que hacen levantar una ceja a más de uno. Se han realizado ataques rápidísimos que han convertido en casi-millonarios a varios hackers. Es indudable que estos ataques no están al alcance de todos, no sólo hay que saber programar, también se tiene que ocurrir la idea, o exploit en términos técnicos, e implementarla antes que nadie.
¿Qué pasa con la seguridad de blockchain? ¿Salimos corriendo?
La verdad es que lo que está ocurriendo es lógico, hasta cierto punto. En un sistema dónde todo es transparente, donde no hay jerarquías y cualquiera puede hacer (o intentar) casi cualquier cosa, los ataques son lo más normal del mundo. Bitcoin no está aquí porque no haya sido atacado; está aquí precisamente porque ha sido atacado de todas las formas imaginables. Miles de hackers a lo largo de los 10 años que lleva con vida han intentado multitud de ataques de todo tipo (DDoS, Spam transactions, spoof transactions…) La comunidad de desarrollo que cree en el proyecto ha puesto parches a cada uno de ellos, paciente y angustiosamente, de forma que no ha sido posible repetir cada ataque, hay que inventar uno nuevo. Esto es lo que convierte a Bitcoin en antifrágil. Por eso es hoy increíblemente seguro.
DeFi es el sitio ahora. Es un lugar donde la creación del dinero, los préstamos, los créditos, letras, derivados… todos los productos financieros están siendo evolucionados. Y es algo nuevo. Por ejemplo, la moneda estable multi-collateral DAI lleva en funcionamiento 3 meses. El ecosistema DeFi ha tenido una subida espectacular desde enero. Parece casi esperable que algo tan nuevo que guarda 1Bn de dólares de forma descentralizada sea atacado. No es que el sistema este roto; es que está pasando por su adolescencia.
Para estos ataques se está utilizando un producto financiero muy nuevo que se denomina flash loan, que básicamente se traduce en que cualquiera puede pedir cualquier cantidad prestada y devolverla si es durante un muy breve espacio de tiempo (unos 15s). Es decir, para intentar manipular un mercado ya no hace falta ser multimillonario o estar detrás de un gran fondo; cualquiera puede intentar mover el mercado.
Pero vayamos por partes.
Estos préstamos no se han creado para que hackers se hagan millonarios en segundos, no. Su razón de ser es triple:
– Arbitraje: permite realizar ajustes entre diferentes casas de cambio, a un coste mínimo, mejorando el sistema.
– Permuta de colateral: si he creado moneda emitiendo deuda con un colateral, me permite cambiarlo de forma instantánea.
– Liquidaciones: para liquidar posiciones que se hayan quedado por debajo de la tasa de liquidación de colateral.
¿Cómo se han realizado los ataques?
El primero Básicamente, alguien creó un préstamo flash (flash loan) gigante, lo usó para tomar una posición en corto y luego uso Uniswap para bajar el precio. Todo en una sola transacción utilizando múltiples productos DeFi. En 15 segundos.
Primero, el atacante tomó prestados 10.000 ETH de dYdX, un protocolo de préstamo descentralizado. Luego utilizó 5.500 ETH para garantizar un préstamo de 112 wBTC en Compound, otro protocolo de préstamo. Después de eso, gastó 1.300 ETH para abrir una posición corta ETH / BTC apalancada 5x en la plataforma de negociación Fulcrum de bZx, mientras que también tomó prestados 5.637 ETH a través de Kyber. Esta cantidad la cambió por 51 wBTC, causando un grave deslizamiento de precios.
Esto permitió que el atacante se beneficiara al cambiar los 112 wBTC del Compuesto a 6.671 ETH y generar un ingreso de 1.193 ETH. Eso es aproximadamente alrededor de $ 318,000. Finalmente, el atacante devolvió el préstamo de 10.000 ETH en el protocolo dYdX que había tomado inicialmente.
Lo explica gráficamente Alex Van de Sande:
Todas estas operaciones, diseñadas y programadas para ocurrir en una sóla transacción. En un contrato. En 15 segundos. Espectacular.
¿Qué pasa ahora con DeFi?
Después del último ataque de bZx, hubo una pérdida significativa en activos bloqueados, cayendo aproximadamente $ 140 millones desde un pico de $ 1.2 mil millones el 18 de febrero. Solo semanas antes de los ataques, se presumía del hito de $1Bn. Este deterioro fue especialmente frecuente en Ether bloqueado donde las pérdidas totalizaron alrededor de 200,000 ETH, según datos del sitio de análisis Defipulse.com.
«La NASA no contrató a personas que escribieran código perfecto para lanzar transbordadores espaciales. Lo que tenían eran procesos rigurosos en todo el ciclo de desarrollo del código. Necesitamos tratar el lanzamiento de una DApp DeFi como tratamos el lanzamiento de un transbordador al espacio «.
Mientras que DeFi todavía está en su infancia, el mercado que alguna vez fue un nicho continúa madurando, trepando a la vanguardia de la atención general. Sin embargo, el sector está operando sin una sandbox adecuada, una omisión que seguramente provocará más sustos.
Hasta la fecha, los únicos modelos de negocio rentables en este espacio eran la minería, los exchnages y la provisión de liquidez. Los servicios de DeFi, como los préstamos, podrían ser los siguientes.