-
El hecho despertรณ crรญticas en el entorno de Ethereum y el resto de los proyectos de criptomonedas.
-
La mayorรญa cree que no se tratรณ de un ataque, pues todo ocurriรณ dentro de las reglas de la platafoma
En una de las tramas mรกs sonadas de los tiempos recientes dentro del ecosistema de criptomonedas y blockchains, la plataforma de finanzas descentralizadas (DeFi) bZx, que corre sobre la blockchain de Ethereum, perdiรณ cerca de USD 1.000.000. En total, sufriรณ dos ataques en un lapso de apenas 4 dรญas. Las pรฉrdidas ascienden a mรกs de 3.500 ethers (ETH).
Aunque el hecho ocurriรณ a raรญz de acciones premeditadas y evidentemente planificadas por parte de un usuario, la comunidad se ha volcado a criticar la posibilidad de que este tipo de ataques ocurran, mรกs que el ataque mismo. Particularmente, la consideraciรณn general es que, mรกs allรก de la premeditaciรณn del atacante, todo fue hecho dentro de las reglas establecidas en las diversas plataformas en las cuales operรณ.
Pero antes de entrar en debate, revisemos brevemente quรฉ ocurriรณ. El pasado 14 de febrero, un usuario pidiรณ un prรฉstamo flash o instantรกneo, a travรฉs de la plataforma DeFi dYdX por un total de 10.000 ETH. Con mรกs de la mitad de esos fondos, pidiรณ un prรฉstamo de 112 wBTC con colateral en ETH a travรฉs de Compund. Despuรฉs, abriรณ una posiciรณn de unos 1.300 ETH en Fulcrum para luego convertir mรกs de 5.600 ETH en wBTC a travรฉs de Uniswap.
Segรบn el informe de bZx, ese รบltimo movimiento generรณ un incremento importante en el valor de wBTC. Eso fue lo que aprovechรณ el atacante, cambiando los 112 wBTC obtenidos en Compound por mรกs de 6.870 ETH, con un total de 1.193 ETH de ganancias (unos USD 300.000), luego de pagar los respectivos prรฉstamos.
El segundo ataque, aunque no fue ejecutado exactamente de la misma manera, constรณ de un mecanismo bastante parecido y dejรณ al atacante un saldo favorable equivalente a alrededor de USD 640.000 en ethers.
ยฟHackeo o error en el sistema?
Entre las posturas mรกs repetidas estรก la consideraciรณn de que el atacante solo aprovechรณ un mecanismo que presentaba una falla, manipulando su funcionamiento sin salirse de sus propias reglas. Algunos, incluso, han llegado a bromear sobre la oportunidad de ejecutar robos sofisticados como este, aprovechando los sistemas de las plataformas DeFi.
El desarrollador Santiago Palladino, que forma parte del equipo de OpenZeppelin, explicรณ en un hilo publicado en Twitter por quรฉ lo ocurrido no solo no rompiรณ el mecanismo de los prรฉstamos instantรกneos que ofrece bZx, sino que este producto precisamente sirve para ese tipo de operaciones.
De hecho, resume la posibilidad de recibir prรฉstamos sin colateral como una oportunidad nunca vista. ยซPor primera vez no necesita dinero para ganar mรกs dineroยป, explica Palladino. En sรญntesis, este tipo de prรฉstamos permiten a los usuarios realizar operaciones financieras como arbitraje, sin una inversiรณn inicial.
A su juicio, esto genera para cualquier persona interesada ยซuna gran cantidad de oportunidades que anteriormente estaban reservadas para los grandes propietarios de capitalยป. Bueno, no es exactamente para cualquiera, pues la persona debe saber lo que estรก haciendo para poder pagar el prรฉstamo flash sacando algรบn tipo de ganancia en la operaciรณn.
Pero si lo logra, a travรฉs de los prรฉstamos instantรกneos ยซahora cualquiera puede convertirse en una ballena, romper la red y cobrar, en una sola transacciรณnยป, completa el desarrollador de herramientas en Ethereum.
Por su parte, Alex Svanevik, fundador de The Data Science DAO, evaluรณ que el riesgo no existe รบnicamente en bZx, sino en que es un problema general de las plataformas DeFi. Especialmente, por la posibilidad de que en una sola direcciรณn estรฉ acumulada hasta la mitad de la liquidez de una de esas plataformas.
En efecto, la falta de liquidez que permite la manipulaciรณn del precio por parte de un usuario es una de las circunstancias mรกs comentadas en torno a este caso. Particularmente, se cuestiona que una plataforma utilice una sola referencia para determinar el precio de un activo, como sucediรณ en bZx.
El desarrollador Julien Bouteloup, de la firma Stake Capital, fue un poco mรกs allรก al asegurar que era imposible considerar lo ocurrido como un ataque. Especialmente, luego de que รฉl mismo advirtiera ยซreiteradamenteยป que los fondos de la plataforma no estaban seguros. Sin embargo, ยซbZx dijo que no era ciertoยป, segรบn escribiรณ Bouteloup en su cuenta en Twiter.
Bouteloup acompaรฑรณ su mensaje con una captura de pantalla de su advertencia previa. En la misma captura se puede ver la reacciรณn de Tom Bean, fundador y CEO de bZx y Fulcrum (plataforma que perdiรณ los referidos fondos), rechazando el argumento.
I wouldn't call it an attack since I've repeatedly told them that funds were not SAFE but bZx said it was not true. $645k is not lost, it's a bounty. ๐คทโโ๏ธ https://t.co/W5vL71a2tv pic.twitter.com/7sHNoi9mBT
— Julien Bouteloup (@bneiluj) February 19, 2020
A raรญz del incidente, el mismo desarrollador compartiรณ un tuit de la plataforma Uniswap, que funge como orรกculo para el precio de los tokens, reconociendo la posibilidad de movimientos como los que ocurrieron en dรญas recientes. Ese mensaje data de febrero de 2019, es decir, posiblemente desde hace al menos un aรฑo algunas de las partes involucradas sabรญan de la vulnerabilidad del sistema.
๐คทโโ๏ธ https://t.co/48SMPwQ335
— Julien Bouteloup (@bneiluj) February 19, 2020
Otras reacciones en el ecosistema de criptomonedas
Ademรกs del entorno de Ethereum y de desarrolladores ligados al proyecto, el evento ocurrido con bZx despertรณ las crรญticas por parte de otros proyectos que funcionan dentro del ecosistema de criptomonedas.
Charlie Lee, fundador de Litecoin, a travรฉs de su cuenta en Twitter culpรณ al mismo concepto de las DeFi por lo ocurrido. En su comentario, Lee seรฑala que este tipo de plataformas son ยซun teatro de descentralizaciรณnยป porque, en realidad, deben recurrir a la centralizaciรณn para detener un protocolo que fue expuesto o vulnerado. De hecho, bZx puso ยซen pausaยป el sistema luego de cada ataque, mientras efectuaban las investigaciones pertinentes.
De esta forma, ยซnadie puede deshacer un hackeo o la explotaciรณn de una vulnerabilidad a menos que se aรฑada mรกs centralizaciรณnยป, comentรณ, refiriรฉndose a la detenciรณn del protocolo por parte de la propia plataforma bZx. ยซยฟCรณmo es esto mejor que lo que ya tenemos?ยป, se preguntรณ finalmente.
This is why I don't believe in DeFi. It's the worst of both worlds. Most DeFi can be shut down by a centralized party, so it's just decentralization theatre. And yet no one can undo a hack or exploit unless we add more centralization.
So how is this better than what we have now? https://t.co/F1HMSeqb6q
— Charlie Lee โ๏ธ๐ธ๏ธ (@SatoshiLite) February 16, 2020
Otro de los que se pronunciรณ sobre el tema fue Udi Wertheimer, desarrollador del proyecto Ethereum, reconocido por ser bastante crรญtico. Entre sus apreciaciones, manifestรณ no comprender cรณmo quienes tienen fondos en plataformas DeFi no los han retirado todavรญa.
Por su parte, Jameson Lopp dijo no estar seguro de que sea posible reducir los riesgos de las DeFi. Esto, especialmente, pensando que ยซlas complejidades y la superficie de ataque a este sistema siguen en aumentoยป.