Hechos clave:
- El hecho despertó críticas en el entorno de Ethereum y el resto de los proyectos de criptomonedas.
- La mayoría cree que no se trató de un ataque, pues todo ocurrió dentro de las reglas de la platafoma
En una de las tramas más sonadas de los tiempos recientes dentro del ecosistema de criptomonedas y blockchains, la plataforma de finanzas descentralizadas (DeFi) bZx, que corre sobre la blockchain de Ethereum, perdió cerca de USD 1.000.000. En total, sufrió dos ataques en un lapso de apenas 4 días. Las pérdidas ascienden a más de 3.500 ethers (ETH).
Aunque el hecho ocurrió a raíz de acciones premeditadas y evidentemente planificadas por parte de un usuario, la comunidad se ha volcado a criticar la posibilidad de que este tipo de ataques ocurran, más que el ataque mismo. Particularmente, la consideración general es que, más allá de la premeditación del atacante, todo fue hecho dentro de las reglas establecidas en las diversas plataformas en las cuales operó.
Pero antes de entrar en debate, revisemos brevemente qué ocurrió. El pasado 14 de febrero, un usuario pidió un préstamo flash o instantáneo, a través de la plataforma DeFi dYdX por un total de 10.000 ETH. Con más de la mitad de esos fondos, pidió un préstamo de 112 wBTC con colateral en ETH a través de Compund. Después, abrió una posición de unos 1.300 ETH en Fulcrum para luego convertir más de 5.600 ETH en wBTC a través de Uniswap.
Según el informe de bZx, ese último movimiento generó un incremento importante en el valor de wBTC. Eso fue lo que aprovechó el atacante, cambiando los 112 wBTC obtenidos en Compound por más de 6.870 ETH, con un total de 1.193 ETH de ganancias (unos USD 300.000), luego de pagar los respectivos préstamos.
El segundo ataque, aunque no fue ejecutado exactamente de la misma manera, constó de un mecanismo bastante parecido y dejó al atacante un saldo favorable equivalente a alrededor de USD 640.000 en ethers.
¿Hackeo o error en el sistema?
Entre las posturas más repetidas está la consideración de que el atacante solo aprovechó un mecanismo que presentaba una falla, manipulando su funcionamiento sin salirse de sus propias reglas. Algunos, incluso, han llegado a bromear sobre la oportunidad de ejecutar robos sofisticados como este, aprovechando los sistemas de las plataformas DeFi.
El desarrollador Santiago Palladino, que forma parte del equipo de OpenZeppelin, explicó en un hilo publicado en Twitter por qué lo ocurrido no solo no rompió el mecanismo de los préstamos instantáneos que ofrece bZx, sino que este producto precisamente sirve para ese tipo de operaciones.
De hecho, resume la posibilidad de recibir préstamos sin colateral como una oportunidad nunca vista. «Por primera vez no necesita dinero para ganar más dinero», explica Palladino. En síntesis, este tipo de préstamos permiten a los usuarios realizar operaciones financieras como arbitraje, sin una inversión inicial.
A su juicio, esto genera para cualquier persona interesada «una gran cantidad de oportunidades que anteriormente estaban reservadas para los grandes propietarios de capital». Bueno, no es exactamente para cualquiera, pues la persona debe saber lo que está haciendo para poder pagar el préstamo flash sacando algún tipo de ganancia en la operación.
Pero si lo logra, a través de los préstamos instantáneos «ahora cualquiera puede convertirse en una ballena, romper la red y cobrar, en una sola transacción», completa el desarrollador de herramientas en Ethereum.
Por su parte, Alex Svanevik, fundador de The Data Science DAO, evaluó que el riesgo no existe únicamente en bZx, sino en que es un problema general de las plataformas DeFi. Especialmente, por la posibilidad de que en una sola dirección esté acumulada hasta la mitad de la liquidez de una de esas plataformas.
En efecto, la falta de liquidez que permite la manipulación del precio por parte de un usuario es una de las circunstancias más comentadas en torno a este caso. Particularmente, se cuestiona que una plataforma utilice una sola referencia para determinar el precio de un activo, como sucedió en bZx.
El desarrollador Julien Bouteloup, de la firma Stake Capital, fue un poco más allá al asegurar que era imposible considerar lo ocurrido como un ataque. Especialmente, luego de que él mismo advirtiera «reiteradamente» que los fondos de la plataforma no estaban seguros. Sin embargo, «bZx dijo que no era cierto», según escribió Bouteloup en su cuenta en Twiter.
Bouteloup acompañó su mensaje con una captura de pantalla de su advertencia previa. En la misma captura se puede ver la reacción de Tom Bean, fundador y CEO de bZx y Fulcrum (plataforma que perdió los referidos fondos), rechazando el argumento.
I wouldn't call it an attack since I've repeatedly told them that funds were not SAFE but bZx said it was not true. $645k is not lost, it's a bounty. 🤷♂️ https://t.co/W5vL71a2tv pic.twitter.com/7sHNoi9mBT
— Julien Bouteloup | Paris (@bneiluj) February 19, 2020
A raíz del incidente, el mismo desarrollador compartió un tuit de la plataforma Uniswap, que funge como oráculo para el precio de los tokens, reconociendo la posibilidad de movimientos como los que ocurrieron en días recientes. Ese mensaje data de febrero de 2019, es decir, posiblemente desde hace al menos un año algunas de las partes involucradas sabían de la vulnerabilidad del sistema.
— Julien Bouteloup | Paris (@bneiluj) February 19, 2020
Otras reacciones en el ecosistema de criptomonedas
Además del entorno de Ethereum y de desarrolladores ligados al proyecto, el evento ocurrido con bZx despertó las críticas por parte de otros proyectos que funcionan dentro del ecosistema de criptomonedas.
Charlie Lee, fundador de Litecoin, a través de su cuenta en Twitter culpó al mismo concepto de las DeFi por lo ocurrido. En su comentario, Lee señala que este tipo de plataformas son «un teatro de descentralización» porque, en realidad, deben recurrir a la centralización para detener un protocolo que fue expuesto o vulnerado. De hecho, bZx puso «en pausa» el sistema luego de cada ataque, mientras efectuaban las investigaciones pertinentes.
De esta forma, «nadie puede deshacer un hackeo o la explotación de una vulnerabilidad a menos que se añada más centralización», comentó, refiriéndose a la detención del protocolo por parte de la propia plataforma bZx. «¿Cómo es esto mejor que lo que ya tenemos?», se preguntó finalmente.
This is why I don't believe in DeFi. It's the worst of both worlds. Most DeFi can be shut down by a centralized party, so it's just decentralization theatre. And yet no one can undo a hack or exploit unless we add more centralization.
So how is this better than what we have now? https://t.co/F1HMSeqb6q
— Charlie Lee [LTC⚡] (@SatoshiLite) February 16, 2020
Otro de los que se pronunció sobre el tema fue Udi Wertheimer, desarrollador del proyecto Ethereum, reconocido por ser bastante crítico. Entre sus apreciaciones, manifestó no comprender cómo quienes tienen fondos en plataformas DeFi no los han retirado todavía.
Por su parte, Jameson Lopp dijo no estar seguro de que sea posible reducir los riesgos de las DeFi. Esto, especialmente, pensando que «las complejidades y la superficie de ataque a este sistema siguen en aumento».
