Hechos clave:
-
Del total robado se pudieron recuperar USD 721 millones.
-
Las DeFi de préstamos fueron las más vulnerables significando un 34% del total robado.
Las finanzas descentralizadas (DeFi) han experimentado un crecimiento exponencial este último año. Dicho crecimiento se ha convertido en un nicho para criminales y estafadores. Un reciente estudio determinó en lo que va de 2021 los robos y estafas en plataformas DeFi se han producido daños por encima de los USD 12 mil millones.
El estudio presentado en dĂas recientes, fue realizado por la firma de análisis de blockchains y criptomonedas Elliptic. Esta analizĂł el crecimiento de todo el ecosistema DeFi y el registro de los casos y modalidades de robos y estafas que han afectado a la industria.
El crecimiento de las DeFi ha ido de la mano con el aumento del precio de bitcoin (BTC) y ether (ETH). Si se observa en la gráfica siguiente, para mediados de abril, fecha que coincide con el aumento del precio de bitcoin (sobre los USD 64.000), el valor total de bloqueado (TVL) alcanzĂł su pico máximo, viviendo el mismo retroceso que vivirĂa el precio de bitcoin entre mayo y julio del 2020.
Claro está, en este caso el valor del TVL se mide en relación con el dólar, con el aumento de los precios de las criptomonedas, este valor se incrementa. Sin embargo, con precios similares a abril del 2021, octubre marcó un nuevo máximo histórico en cuanto a TLV bloqueado.
Este crecimiento se tradujo en lo que se conoce como honeypot (pote de miel) cuyo significado define como algo «apetitoso», en este caso para criminales y estafadores de la industria DeFi.
Las pérdidas, como refleja la gráfica siguiente, han crecido de menos de USD 500 millones por trimestre en el año 2020, hasta su pico por encima de los USD 3 mil millones en tercer trimestre del 2021. No obstante, según revela el propio estudio, del total de los USD 12 mil millones robados, se han recuperado alrededor USD 700 millones, poco menos del 10%.
Vulnerabilidades en las DeFi
Según describe la Criptopedia de CriptoNoticias, las DeFi presentan una alternativa de productos financieros, los cuales anteriormente solo eran ofrecidos por la banca tradicional. Estas ofrecen eliminar el intermediario centralizado, en este caso el banco, rigiéndose solo por las directrices que marca el contrato inteligente sobre el que está construida la plataforma.
Sin embargo, detalla Elliptic, eliminar el intermediario solo traslada la problemática a otro campo. En este caso la confianza, que originalmente se tenĂa sobre un ente centralizado, ahora se encuentra sobre la fiabilidad del contrato inteligente.
Los criminales han logrado dar con una serie de exploits o vulnerabilidades en algunos contratos inteligentes que han terminado en la perdida de USD 12 mil millones de dĂłlares.
Un exploit, según define Wikipedia, es una palabra inglesa que significa en aprovechar o explotar una vulnerabilidad. En el ámbito informático, un exploit puede ser un trozo de código utilizado para vulnerar la seguridad de un sistema. El concepto exploit también puede ser utilizado en otros ámbitos de los cuales se «exploten» vulnerabilidades propias del sistema (no informático).
Tipos de vulnerabilidades
Elliptic categoriza estos exploits en 4 categorĂas: exploit de cĂłdigo, econĂłmico, de clave de administrador y por Ăşltimo de estafas de salida (exit scam).
En el caso de los exploit de cĂłdigo se refiere a fallas directas en la programaciĂłn del contrato. Un error en su programaciĂłn puede determinar la pĂ©rdida total de los fondos. El estudio cita el caso de vSwap, un DEX, del cual, debido a un fallo en una sola lĂnea de cĂłdigo, le fueron robados más de USD 11 millones.
Los exploits econĂłmicos son quizás un poco más complejos, ya que aprovechan la vulnerabilidad misma de la DeFi segĂşn su estructura. Plataformas de prĂ©stamos son las más afectadas, ya que este tipo de exploit manipulan los precios de las criptomonedas, haciendo que las garantĂas sean mucho menores al prĂ©stamo dado, resultando en pĂ©rdidas que pueden ser cuantiosas.
Un caso de estos, citado por la propia investigaciĂłn, fue el ocurrido con la plataforma de prĂ©stamos bZx. En este caso el atacante solicitĂł un prĂ©stamo flash, los cuales son una novedad en las plataformas DeFi, son prestamos sin garantĂa, pero de los cuales la condiciĂłn es que el pago del prĂ©stamo debe ser cancelado en el mismo bloque donde es otorgado.
Con el prĂ©stamo obtenido, el atacante depositĂł parte de los ETH prestado en un DEX sin buena liquidez, ofertando sUSD, una moneda estable con relaciĂłn 1:1 con el dĂłlar, a USD 2 por moneda. Esto terminĂł en una manipulaciĂłn del precio original del prĂ©stamo, la plataforma detectĂł el pago como cancelado, debido al valor temporal que poseĂa el sUSD, pero en realidad el atacante habĂa logrado quedarse con 2.378 ETH (USD 630 mil).
Por su parte los exploit de claves de administrador son aquellos en que afectan directamente al desarrollador o mantenedor del contrato. Ya que este posee las llaves de acceso que permiten modificar detalles propios del contrato inteligente. Esta no se considera un ataque de tipo de cĂłdigo, dado que la falla es directamente sobre una persona.
Lo poco comĂşn de este tipo de ataques se debe a que la mayorĂa de plataformas DeFi se basan en plataformas con gobernanza descentralizada. Donde un solo programador, antes de realizar un cambio, debe solicitar la aprobaciĂłn de más del 51% de la comunidad.
Por Ăşltimo, se encuentran las estafas de salida o exit scam, como comĂşnmente se les conocen. Este tipo de estafas se aprovechan de la popularidad propia que vive el ecosistema de las criptomonedas, para atraer victimas a invertir en un supuesto token o plataforma. Una vez el precio del token alcance un precio alto, los estafadores huyen con todo el dinero.
Un caso reciente de esto fue el caso del token SQUID, basado en la exitosa serie de Netflix El juego del calamar. Luego de la puesta en venta en el DEX Pancake Swap, el precio de SQUID pasĂł de valer USD 0,2 a más de USD 2.000 en apenas 5 dĂas. No obstante, algunos usuarios denunciaban que, al comprar el token no podĂa ser vendido, debido al protocolo mismo del contrato inteligente, que no permitĂa su venta hasta pasado 3 años.
Alcanzando el precio máximo de USD 2.800, los estafadores cambiaron todos los tokens que tenĂan en su poder llevándose consigo toda la liquidez del mercado. Al no haber liquidez, el precio de SQUID se fue a 0, y los estafadores huyeron con poco más de USD 2 millones en BInance Coin (BNB).
Sobre estos exploit también hay algo a tomar en cuenta: dado el hecho que muchos contratos inteligentes se derivan de otros, al hallar una vulnerabilidad en uno de estos, puede desatar una reacción en cadena. Si un desarrollador de un contrato inteligente se percata de una posible vulnerabilidad, todos los contratos derivados de este, y de los que este esté derivado, deberán responder para solventar y dar con una posible solución.
Vulnerabilidades más rentables para las estafadoras
Los exploits de cĂłdigo y econĂłmicos fueron las vulnerabilidades más rentables explotadas por los atacantes. El primero de estos contabilizĂł perdidas por USD 5,5 mil millones, mientras que los segundos alcanzaron los USD 5,3 mil millones en el perĂodo evaluado. Los ataques a claves de administrador estuvieron sobre los USD 1 mil millones y los exit scam sobre los 18 millones.
Algo interesante sobre estos datos se haya en que, tanto los exploits de cĂłdigo como los econĂłmicos, son vulnerabilidades directas sobre la construcciĂłn del contrato inteligente. Ya sea en su programaciĂłn o funcionamiento. Esto puede denotar el argumento inicial del estudio Elliptic sobre la transferencia de la confianza de un ente centralizado (banco) a los programadores, ya que, si bien el contrato puede considerarse seguro, su construcciĂłn puede no serlo.
Las plataformas DeFi más afectadas
Las DeFi actualmente habitan en un puñado de redes de criptomonedas, siendo Ethereum la principal de estas, seguida, bastante lejos, por Binance Smart Chain (BSC). Dichos niveles de uso se traducen, según lo determinó el estudio, en cuál red es la más afectada.
Ethereum acumuló cerca de USD 8,5 mil millones en pérdidas, mientras que Binance Smart Chain, siendo su principal competidora, cerca de USD 2,5 mil millones.
Si bien la red lanzada por Vitalik Buterin fue la más afectada, esto no se traduce que es más vulnerable si no que, debido a que la mayorĂa de Dapps corren en esta red, pues esto resulta en un honeypot más atractivo.
Sobre dicho argumento de la supuesta vulnerabilidad, también se debe tomar en cuenta que Binance Smart Chain es un fork de Ethereum. Si un contrato de esta sufre una vulnerabilidad, BSC probablemente también lo sufrirá. Ambas cadenas trabajan con el lenguaje de programación Solidity, originalmente lanzado para Ethereum, esto quiere decir que existe compatibilidad entre contratos, lo que posiblemente puede transferir problemas de vulnerabilidad entre cadenas.
Por otro parte, con respecto a las plataformas más afectadas por robos, las Dapps de préstamos (34%) fueron las más afectadas, seguidas por los exchange descentralizados (17,1%).
Dentro de los datos arrojados por el estudio, más allá de cuáles fueron las plataformas afectadas, hay un tipo de plataforma que llama bastante la atención. Las conocidas como puentes o bridges ocuparon el 13% del total de dinero robado. El funcionamiento de estas es la transferencia entre cadenas, ya que permite enviar valor de una cadena a otra. Esto no se debe confundir con las plataformas multicadenas que operan en diferentes redes de forma paralela.
Lo llamativo se haya en que este tipo de plataforma puede ser vulnerable en cuanto al valor que almacena, dado que básicamente bloquea, por ejemplo, los BTC en su cadena principal, para liberar WBTC en la cadena de Ethereum en relación 1:1. Que se comprometa el valor bloqueado, puede comprometer completamente la contabilidad de otra red.
Confianza en las plataformas centralizadas o descentralizadas
La confianza es el motor principal de la economĂa. El dĂłlar, por ejemplo, adquiere su valor de la confianza de su uso, no del respaldo que posea. Bitcoin toma valor de la confianza que las personas tengan en su tecnologĂa. Se podrĂa definir entonces que: sin confianza no hay economĂa.
El estudio de Elliptic menciona que el paso de los productos financieros de la banca tradicional a los de la plataformas DeFi, solo ha sido una transferencia de confianza. Se pasĂł de confiar en un ente central, que puede hacer lo que sea con el dinero de los ahorristas sin que nadie se entere, a confiar en un libro contable pĂşblico como lo es blockchain, que no ha estado exento de los robos y estafas.
Si bien la confianza ahora recae sobre la fiabilidad de un contrato inteligente, este puede ser auditado y verificado por toda la comunidad interesada, gracias a su naturaleza de código abierto. Aunque, a pesar de ello, siguen existiendo errores que terminan en la pérdida de fondos.
Las DeFi aĂşn se consideran una tecnologĂa joven, en etapa de madurez. Si bien ya está manejando volĂşmenes muy elevados de dinero, superando los 168 mil millones de dĂłlares de valor total bloqueado segĂşn datos de DappRadar, aĂşn queda mucho por ver sobre la evoluciĂłn de esta tecnologĂa.
En este caso, lo recomendable para los interesados es operar sobre plataformas ampliamente conocidas y con contratos auditables. TambiĂ©n está el tomar en cuenta el riesgo de pĂ©rdida de fondos. Esto debido a los diferentes exploits expuestos en el texto, pues un mĂnimo error puede terminar en la pĂ©rdida total de los fondos. Del mismo modo, tambiĂ©n se encuentra el no operar en plataformas nuevas y que, además, ofrezcan rendimientos irreales sobre las inversiones.