Hechos clave:
- El analista Chris Blec muestra cómo evaluar las características de seguridad de los proyectos DeFi.
- Un esquema de código abierto analiza el riesgo de centralización y financiero de los protocolos.
El ecosistema de las finanzas descentralizadas (DeFi), ahora mucho más que nunca, ha sido objeto de estudio y profundo análisis tras conocerse el ataque que sufrió la plataforma bZx y que puso de relieve qué tan descentralizado pueden ser estos sistemas, o cuánta centralización aún tienen muchos de estos proyectos.
En medio de toda esta discusión, también ha surgido quien se ha preocupado por informar a los usuarios sobre cuánto riesgo corren al utilizar plataformas descentralizadas, y qué es lo que se debe saber o en cuál de ellas deben depositar su confianza. Es por ello, que en este artículo presentaremos dos modelos que permiten determinar cuánto riesgo corres cuando operas en el sector de las DeFi.
El reconocido analista Chris Blec, en febrero pasado publicó un documento en el que presentó una visión general de la seguridad operativa que existe en torno a las carteras utilizadas para diversas aplicaciones descentralizadas (dApps).
La seguridad de operaciones (OPSEC) es un proceso que identifica las acciones amigables que podrían ser útiles para un atacante potencial, si se analizan y se agrupan adecuadamente con otros datos para revelar información crítica o datos confidenciales. La OPSEC utiliza contramedidas para reducir o eliminar la explotación adversaria.
Basado en ese criterio, Blec investigó los métodos desplegados por trece proyectos DeFi para mantener los fondos a salvo de los hackers. Evaluó ocho características, entre ellas, el bloqueo de tiempo, la seguridad multifirma y otros detalles sobre las claves de administrador.
Uno de las debilidades que Blec halló en varios protocolos de los proyectos DeFi que evaluó, es que casi todos poseen llaves privadas que conceden derechos administrativos que permiten realizar cambios y mejoras al contrato inteligente, lo cual pone en riesgo los fondos de los usuarios, en caso de que ese poder cayera en manos malintencionadas.
Este descubrimiento condujo al analista a consultarle a los proyectos, ¿qué es lo que están haciendo para proteger las llaves que otorgan privilegios administrativos?
Partiendo de ello, lo que encontró no es muy esperanzador: «lo que he descubierto es que tienes que confiar en el protocolo o el proyecto. Tienes que confiar en lo que dicen. Debes poder confiar plenamente en el equipo central que dice que tus fondos están seguros. La razón de ello, es que no hay manera de que ninguno de estos protocolos te pueda probar que su clave de administración está 100% segura».
Blec señaló, en un video que acompaña al documento, que juntó cuanta información pudo de conversaciones, entradas de blog, repositorios GitHub y demás, para hallar información sobre la OPSEC en torno a los proyectos que evaluó.
Encontró que varios de ellos han protegido su clave de administración añadiendo un retraso temporal. Esto significa que cuando alguien hace uso de los privilegios administrativos para realizar una actualización del contrato inteligente, que es enviada como una transacción en Ethereum, entonces esta operación se queda en tiempo de espera, según el retraso de tiempo que determina cada protocolo.
Es así como dYdX tiene tres días de retraso; Dharma, en cambio, tiene siete días. Luego están otros que no tienen bloqueo de tiempo, lo que significa que no hay retraso, como es el caso de TokenSets y Aave. Sobre ello Chris Blec explicó:
Esto significa que si en Compound, por ejemplo, sucede algo que a la comunidad no le gusta, entonces tendrán un lapso de dos días para evaluar si las claves privadas han sido comprometidas y determinar si alguien desea ejecutar transacciones maliciosas. Durante estos dos días podrán invalidar o tomar alguna acción que les permita salvar lo que está comprometido, que esa es la idea detrás del tiempo de bloqueo.
Otro elemento a estudiar son las llaves multifirmas, que otorgan algunos privilegios administrativos en las plataformas DeFi.
Con estas llaves es posible firmar cualquier transacción que se utilice para actualizar el ecosistema. TokenSets, por ejemplo, tiene 2 de 3 de estas multifirmas. Quiere decir que su sistema requiere tres llaves privadas, pero solo dos de ellas deben estar de acuerdo para autorizar cualquier transacción que se envíe para actualizar los contratos inteligentes. Adicional a ello, no posee bloqueo de tiempo, por lo que la actualización se procesa de manera instantánea.
Sobre este punto Blec añade que no existe manera de que un proyecto pueda probar que todas las claves multifirma estén en manos de individuos únicos.
«Tomo como ejemplo a dYdX, sin que ello signifique que los estoy acusando. Ellos tienen dos de tres claves, pero no hay manera de probar que estas tres claves siempre han sido y siempre estarán en posesión de tres individuos diferentes.
Es posible que un individuo haya creado las tres claves y las distribuyó, pero antes guardó una copia, lo que dejaría las tres llaves en poder de una sola persona. Partiendo de allí un montón de cosas diferentes podrían salir mal, así que esto no puede ser visto como una evidencia de buen OPSEC», explicó.
Blec además, consideró la clave de administración reclamada OPSEC, como una característica determinante para evaluar los sistemas de seguridad de los protocolos del ecosistema DeFi.
En torno ello encontró que la mayoría de los proyectos evaluados, no solicitan ninguna información en contrapartida para suministrar datos sobre cómo aseguran sus claves privadas. Compound, por ejemplo, utiliza un procedimiento multipartito fuera de línea, implementado por un miembro del equipo central. Por otro lado, Aave, utiliza llaves y un sistema de votación que se mantienen en almacenamiento frío.
«No pretendo acusar a nadie de mentir, pero estoy diciendo que tenemos que confiar cada palabra de lo que dicen, en lugar de confiar en un código para estas situaciones. Así que, este renglón también nos obliga a confiar en lo que dicen, y esto no puede ser una prueba de su OPSEC», añadió.
En la siguiente columna del cuadro elaborado por Blec, compara la clave verificada de administración OPSEC de los 13 protocolos considerados, pero en lo sucesivo llega a la misma conclusión: nada es verificable.
Es por ello que el analista aconseja que cada usuario adelante su propia investigación. Puede utilizar los criterios considerados por Blec para determinar cuáles son sus protocolos favoritos y en cuáles depositará su confianza para depositar sus fondos e invertir.
En este sentido, el analista considera determinante que se evalúe cuál es el riesgo que se corre y cuáles son las medidas que cada protocolo está considerando, para evitar los ataques o la explotación de vulnerabilidades. Un dato relevante que aporta, es que los protocolos que ofrecen menos información, son los que representan mayor riesgo para los usuarios.
Cuando decidas confiar en un proyecto DeFi, pregúntate si realmente confías en estas personas, pregúntate si crees que la frase clave semilla no estará colocada sobre su mesa de café, o pregúntate si estás completamente seguro que el primo de los fundadores no sabe la combinación de la caja fuerte de su casa dónde se almacena la frase semilla.
Para observar con mayor detenimiento este cuadro puedes acceder aquí.
Mide tu exposición al riesgo
Tomando en cuenta que los riesgos no siempre están claramente visibles y, a menudo, son difíciles de interpretar para el usuario promedio, existe una manera de medirlo, utilizando DeFi Score. Se trata de un estándar impulsado por la comunidad para evaluar el riesgo de operar en plataformas de préstamo descentralizadas.
El modelo se basa en un puntaje que permite medir el riesgo de operar en cada proyecto, basado en varios factores que influyen, como por ejemplo, riesgo de contrato inteligente, de centralización y riesgo financiero.
El modelo califica cada una de estas características utilizando una puntuación que va de 0 a 10. El esquema, representa una alternativa útil para evaluar los riesgos, de un vistazo, y sin la necesidad de conocimientos técnicos. Aunque inicialmente fue lanzado por ConsenSys, DeFi Score ahora es de código abierto.
Para obtener más información sobre el proyecto, consulta el GitHub oficial que también contiene un enlace al documento técnico completo.
Los tipos de activos más populares (DAI, USDC, WBTC y otros) se clasifican en relación a las plataformas en las que se utilizan. Un puntaje de 10 es lo mejor, es equivalente a indicar que un activo no tiene riesgo. Por otro lado, una puntuación de 0 indica un grado significativo de riesgo y, en consecuencia, que el activo (o plataforma) debe evitarse a toda costa.
En lo que concierne al riesgo de contrato inteligente, el análisis está basado en determinar la seguridad del código subyacente de una plataforma de préstamos. Este puntaje permite precisar cuán probado es un protocolo, así como qué tipo de sistemas existen para eliminar continuamente fallas en el código de contrato inteligente. En términos más concretos, esto tiene en cuenta la auditoría de contratos inteligentes, los programas de recompensas de errores y la verificación formal.
La otra característica que evalúa este esquema es el riesgo financiero. Aquí se trata de cómo funcionan los mecanismos detrás de los instrumentos financieros de una plataforma. Esto tiene en cuenta las variaciones en áreas como la liquidez, la volatilidad de los instrumentos y los requisitos de garantía.
El riesgo colateral, por ejemplo, se evalúa examinando dos datos, ambos derivados de los datos de la cadena. El primer punto es la media móvil exponencial (EMA) de 30 días de la relación de colateralización. El segundo punto es un análisis de la cartera de garantías mediante el modelo CVaR (Valor Condicional en Riesgo), también conocido como modelo de déficit esperado, según se especifica en su página web.
En lo que respecta a la centralización, el modelo evalúa el riesgo basándose en el uso de las claves de administración y los oráculos, enfocándose en determinar en qué medida una sola entidad puede manipularlos con facilidad.
Tal como está a la fecha, DeFi Score incorpora siete plataformas de préstamos diferentes: Compound Finance, dYdX, Fulcrum (bZx), Nuo (Nuo Network), DDEX, Aave y Oasis. Estas figuran junto a dieciséis criptomonedas populares usadas en DeFi: DAI, USDC, ETH, WBTC, REP, ZRX, BAT y otros. En este momento, Compound tiene la calificación más alta, mientras que Oasis figura como la de mayor riesgo.
Una de las razones por las cuales Compound aparece con la puntuación en primer lugar, es por la auditoría formal realizada por Open Zeppelin, que sirve como representación de esfuerzo en la mitigación del riesgo del contrato inteligente (la mayor influencia en el puntaje).
A pesar de ello, esta auditoría encontró, en agosto pasado, que aunque se maneja un sistema de seguridad adecuado, el plan de incentivos y los roles privilegiados que se utilizan podría resultar contraproducentes. Asimismo, hay personas que advierten que los usuarios desconocen los posibles riesgos financieros que implica ser prestamista en esta plataforma.
