Hechos clave:
-
Del total robado se pudieron recuperar USD 721 millones.
-
Las DeFi de préstamos fueron las más vulnerables significando un 34% del total robado.
Las finanzas descentralizadas (DeFi) han experimentado un crecimiento exponencial este último año. Dicho crecimiento se ha convertido en un nicho para criminales y estafadores. Un reciente estudio determinó en lo que va de 2021 los robos y estafas en plataformas DeFi se han producido daños por encima de los USD 12 mil millones.
El estudio presentado en días recientes, fue realizado por la firma de análisis de blockchains y criptomonedas Elliptic. Esta analizó el crecimiento de todo el ecosistema DeFi y el registro de los casos y modalidades de robos y estafas que han afectado a la industria.
El crecimiento de las DeFi ha ido de la mano con el aumento del precio de bitcoin (BTC) y ether (ETH). Si se observa en la gráfica siguiente, para mediados de abril, fecha que coincide con el aumento del precio de bitcoin (sobre los USD 64.000), el valor total de bloqueado (TVL) alcanzó su pico máximo, viviendo el mismo retroceso que viviría el precio de bitcoin entre mayo y julio del 2020.
Claro está, en este caso el valor del TVL se mide en relación con el dólar, con el aumento de los precios de las criptomonedas, este valor se incrementa. Sin embargo, con precios similares a abril del 2021, octubre marcó un nuevo máximo histórico en cuanto a TLV bloqueado.
Este crecimiento se tradujo en lo que se conoce como honeypot (pote de miel) cuyo significado define como algo «apetitoso», en este caso para criminales y estafadores de la industria DeFi.
Las pérdidas, como refleja la gráfica siguiente, han crecido de menos de USD 500 millones por trimestre en el año 2020, hasta su pico por encima de los USD 3 mil millones en tercer trimestre del 2021. No obstante, según revela el propio estudio, del total de los USD 12 mil millones robados, se han recuperado alrededor USD 700 millones, poco menos del 10%.
Vulnerabilidades en las DeFi
Según describe la Criptopedia de CriptoNoticias, las DeFi presentan una alternativa de productos financieros, los cuales anteriormente solo eran ofrecidos por la banca tradicional. Estas ofrecen eliminar el intermediario centralizado, en este caso el banco, rigiéndose solo por las directrices que marca el contrato inteligente sobre el que está construida la plataforma.
Sin embargo, detalla Elliptic, eliminar el intermediario solo traslada la problemática a otro campo. En este caso la confianza, que originalmente se tenía sobre un ente centralizado, ahora se encuentra sobre la fiabilidad del contrato inteligente.
Los criminales han logrado dar con una serie de exploits o vulnerabilidades en algunos contratos inteligentes que han terminado en la perdida de USD 12 mil millones de dólares.
Un exploit, según define Wikipedia, es una palabra inglesa que significa en aprovechar o explotar una vulnerabilidad. En el ámbito informático, un exploit puede ser un trozo de código utilizado para vulnerar la seguridad de un sistema. El concepto exploit también puede ser utilizado en otros ámbitos de los cuales se «exploten» vulnerabilidades propias del sistema (no informático).
Tipos de vulnerabilidades
Elliptic categoriza estos exploits en 4 categorías: exploit de código, económico, de clave de administrador y por último de estafas de salida (exit scam).
En el caso de los exploit de código se refiere a fallas directas en la programación del contrato. Un error en su programación puede determinar la pérdida total de los fondos. El estudio cita el caso de vSwap, un DEX, del cual, debido a un fallo en una sola línea de código, le fueron robados más de USD 11 millones.
Los exploits económicos son quizás un poco más complejos, ya que aprovechan la vulnerabilidad misma de la DeFi según su estructura. Plataformas de préstamos son las más afectadas, ya que este tipo de exploit manipulan los precios de las criptomonedas, haciendo que las garantías sean mucho menores al préstamo dado, resultando en pérdidas que pueden ser cuantiosas.
Un caso de estos, citado por la propia investigación, fue el ocurrido con la plataforma de préstamos bZx. En este caso el atacante solicitó un préstamo flash, los cuales son una novedad en las plataformas DeFi, son prestamos sin garantía, pero de los cuales la condición es que el pago del préstamo debe ser cancelado en el mismo bloque donde es otorgado.
Con el préstamo obtenido, el atacante depositó parte de los ETH prestado en un DEX sin buena liquidez, ofertando sUSD, una moneda estable con relación 1:1 con el dólar, a USD 2 por moneda. Esto terminó en una manipulación del precio original del préstamo, la plataforma detectó el pago como cancelado, debido al valor temporal que poseía el sUSD, pero en realidad el atacante había logrado quedarse con 2.378 ETH (USD 630 mil).
Por su parte los exploit de claves de administrador son aquellos en que afectan directamente al desarrollador o mantenedor del contrato. Ya que este posee las llaves de acceso que permiten modificar detalles propios del contrato inteligente. Esta no se considera un ataque de tipo de código, dado que la falla es directamente sobre una persona.
Lo poco común de este tipo de ataques se debe a que la mayoría de plataformas DeFi se basan en plataformas con gobernanza descentralizada. Donde un solo programador, antes de realizar un cambio, debe solicitar la aprobación de más del 51% de la comunidad.
Por último, se encuentran las estafas de salida o exit scam, como comúnmente se les conocen. Este tipo de estafas se aprovechan de la popularidad propia que vive el ecosistema de las criptomonedas, para atraer victimas a invertir en un supuesto token o plataforma. Una vez el precio del token alcance un precio alto, los estafadores huyen con todo el dinero.
Un caso reciente de esto fue el caso del token SQUID, basado en la exitosa serie de Netflix El juego del calamar. Luego de la puesta en venta en el DEX Pancake Swap, el precio de SQUID pasó de valer USD 0,2 a más de USD 2.000 en apenas 5 días. No obstante, algunos usuarios denunciaban que, al comprar el token no podía ser vendido, debido al protocolo mismo del contrato inteligente, que no permitía su venta hasta pasado 3 años.
Alcanzando el precio máximo de USD 2.800, los estafadores cambiaron todos los tokens que tenían en su poder llevándose consigo toda la liquidez del mercado. Al no haber liquidez, el precio de SQUID se fue a 0, y los estafadores huyeron con poco más de USD 2 millones en BInance Coin (BNB).
Sobre estos exploit también hay algo a tomar en cuenta: dado el hecho que muchos contratos inteligentes se derivan de otros, al hallar una vulnerabilidad en uno de estos, puede desatar una reacción en cadena. Si un desarrollador de un contrato inteligente se percata de una posible vulnerabilidad, todos los contratos derivados de este, y de los que este esté derivado, deberán responder para solventar y dar con una posible solución.
Vulnerabilidades más rentables para las estafadoras
Los exploits de código y económicos fueron las vulnerabilidades más rentables explotadas por los atacantes. El primero de estos contabilizó perdidas por USD 5,5 mil millones, mientras que los segundos alcanzaron los USD 5,3 mil millones en el período evaluado. Los ataques a claves de administrador estuvieron sobre los USD 1 mil millones y los exit scam sobre los 18 millones.
Algo interesante sobre estos datos se haya en que, tanto los exploits de código como los económicos, son vulnerabilidades directas sobre la construcción del contrato inteligente. Ya sea en su programación o funcionamiento. Esto puede denotar el argumento inicial del estudio Elliptic sobre la transferencia de la confianza de un ente centralizado (banco) a los programadores, ya que, si bien el contrato puede considerarse seguro, su construcción puede no serlo.
Las plataformas DeFi más afectadas
Las DeFi actualmente habitan en un puñado de redes de criptomonedas, siendo Ethereum la principal de estas, seguida, bastante lejos, por Binance Smart Chain (BSC). Dichos niveles de uso se traducen, según lo determinó el estudio, en cuál red es la más afectada.
Ethereum acumuló cerca de USD 8,5 mil millones en pérdidas, mientras que Binance Smart Chain, siendo su principal competidora, cerca de USD 2,5 mil millones.
Si bien la red lanzada por Vitalik Buterin fue la más afectada, esto no se traduce que es más vulnerable si no que, debido a que la mayoría de Dapps corren en esta red, pues esto resulta en un honeypot más atractivo.
Sobre dicho argumento de la supuesta vulnerabilidad, también se debe tomar en cuenta que Binance Smart Chain es un fork de Ethereum. Si un contrato de esta sufre una vulnerabilidad, BSC probablemente también lo sufrirá. Ambas cadenas trabajan con el lenguaje de programación Solidity, originalmente lanzado para Ethereum, esto quiere decir que existe compatibilidad entre contratos, lo que posiblemente puede transferir problemas de vulnerabilidad entre cadenas.
Por otro parte, con respecto a las plataformas más afectadas por robos, las Dapps de préstamos (34%) fueron las más afectadas, seguidas por los exchange descentralizados (17,1%).
Dentro de los datos arrojados por el estudio, más allá de cuáles fueron las plataformas afectadas, hay un tipo de plataforma que llama bastante la atención. Las conocidas como puentes o bridges ocuparon el 13% del total de dinero robado. El funcionamiento de estas es la transferencia entre cadenas, ya que permite enviar valor de una cadena a otra. Esto no se debe confundir con las plataformas multicadenas que operan en diferentes redes de forma paralela.
Lo llamativo se haya en que este tipo de plataforma puede ser vulnerable en cuanto al valor que almacena, dado que básicamente bloquea, por ejemplo, los BTC en su cadena principal, para liberar WBTC en la cadena de Ethereum en relación 1:1. Que se comprometa el valor bloqueado, puede comprometer completamente la contabilidad de otra red.
Confianza en las plataformas centralizadas o descentralizadas
La confianza es el motor principal de la economía. El dólar, por ejemplo, adquiere su valor de la confianza de su uso, no del respaldo que posea. Bitcoin toma valor de la confianza que las personas tengan en su tecnología. Se podría definir entonces que: sin confianza no hay economía.
El estudio de Elliptic menciona que el paso de los productos financieros de la banca tradicional a los de la plataformas DeFi, solo ha sido una transferencia de confianza. Se pasó de confiar en un ente central, que puede hacer lo que sea con el dinero de los ahorristas sin que nadie se entere, a confiar en un libro contable público como lo es blockchain, que no ha estado exento de los robos y estafas.
Si bien la confianza ahora recae sobre la fiabilidad de un contrato inteligente, este puede ser auditado y verificado por toda la comunidad interesada, gracias a su naturaleza de código abierto. Aunque, a pesar de ello, siguen existiendo errores que terminan en la pérdida de fondos.
Las DeFi aún se consideran una tecnología joven, en etapa de madurez. Si bien ya está manejando volúmenes muy elevados de dinero, superando los 168 mil millones de dólares de valor total bloqueado según datos de DappRadar, aún queda mucho por ver sobre la evolución de esta tecnología.
En este caso, lo recomendable para los interesados es operar sobre plataformas ampliamente conocidas y con contratos auditables. También está el tomar en cuenta el riesgo de pérdida de fondos. Esto debido a los diferentes exploits expuestos en el texto, pues un mínimo error puede terminar en la pérdida total de los fondos. Del mismo modo, también se encuentra el no operar en plataformas nuevas y que, además, ofrezcan rendimientos irreales sobre las inversiones.
