Hechos clave:
-
Google Analytics permite vincular identidades con las direcciones de Ethereum que utilizan.
-
Hay formas de proteger la privacidad y la seguridad al utilizar plataformas DeFi.
Las plataformas de finanzas descentralizadas, también conocidas como «DeFi», por sus siglas en inglés, fueron protagonistas del ecosistema de las criptomonedas durante 2020. Un año después, aunque otras modas captan la atención, las DeFi siguen en vigencia.
De hecho, si se las evalúa según el dinero depositado en sus contratos inteligentes, 2020 es insignificante en comparación a los casi USD 100 mil millones de dólares que llegaron a acaparar las finanzas descentralizadas a principios de este mes. Esto es 4 veces más que el máximo del año anterior.
Una de las motivaciones de muchos usuarios de las DeFi, que lleva a preferirlas en vez de servicios centralizados es la sensación de seguridad y privacidad que estas brindan. En el exchange descentralizado Uniswap, por ejemplo, es posible intercambiar tokens ERC-20 sin ceder la custodia de los fondos ni brindar datos personales. Se diferencia así de exchanges centralizados como Binance o Coinbase.
Para aquellos que desean generar intereses con los criptoactivos que poseen, en el ámbito de las DeFi existen protocolos como Yearn Finance. Estos permiten obtener una ganancia superior a las que ofrecen plataformas centralizadas como Blockfi. Todo esto sin necesidad de completar verificaciones KYC (sigla en inglés de «conozca a su cliente»).
Seguridad y privacidad en las DeFi: ¿realidad o apariencia?
Una investigación realizada por especialistas de la compañía Brave Software y la institución educativa Imperial College de Londres evalúa si las DeFi son realmente seguras y privadas. Se llega a la conclusión de que muchas de estas plataformas tienen elementos en su código que permiten vulnerar fácilmente estas áreas.
Los investigadores explican que varias plataformas de finanzas descentralizadas implementan scripts de terceras partes. Se trata de secuencias de código o programas relativamente simples, elaborados por alguien ajeno a los desarrolladores de la DeFi.
«Si un sitio de DeFi incorpora scripts, esos scripts pueden interactuar con la API del monedero del usuario, lo que puede facilitar los ataques de phishing», indican los especialistas. Añaden que un 66% de los protocolos de finanzas descentralizadas incorporan al menos un script.
Un ataque de phishing se define como aquel que busca engañar a una persona para que realice acciones que no debería realizar, como enviar dinero a la dirección de un atacante.
A modo de ejemplo, se menciona el caso del exchange descentralizado 1inch, que añade un script para facilitar la comunicación entre el usuario y el personal de soporte. Según indican los autores del estudio, el servicio lo proporciona un tercero y está incrustado en una posición tal que «le otorga control total sobre el dominio de 1inch».
Por lo tanto, si esa implementación de chat se viera comprometida, podría lograr robar fondos del monedero de los usuarios, o realizar transacciones directamente desde allí. Aclaran los profesionales que analizaron las plataformas, que estas transacciones deberían ser aprobadas por los usuarios. De todos modos, indican «una transacción bien elaborada en el momento adecuado engañaría a muchos».
Por otro lado, también con relación a los scripts, Brave Software e Imperial College indican que el 56% de las 78 plataformas DeFi analizadas incorporan al menos un script de Google. Esto tiene un impacto importante en la privacidad, según explican, a tal punto que sería posible para Google asociar direcciones de Ethereum con determinadas identidades.
Una vez más ponen como ejemplo a 1inch que incorpora scripts de Google Analytics, para medir el tráfico hacia su sitio web. Cuando un usuario quiere intercambiar determinados tokens, el exchange abre una página específica para esa operación. «Así, el uso de Google Analytics también filtra la dirección de Ethereum del usuario porque 1inch coloca su dirección», se indica.
Entonces, de acuerdo con el informe, Google puede vincular la dirección de Ethereum con la información que posiblemente ya tenga sobre el usuario, lo que incluye su identidad. En caso de que el usuario empleara varios servicios de finanzas descentralizadas, sería posible rastrear sus movimientos en todas las plataformas.
3 consejos para utilizar de forma segura y privada las plataformas DeFi
Los autores del estudio, además de compartir las posibles vulnerabilidades de los protocolos de finanzas descentralizadas, presentan formas de mitigar los riesgos.
Sugieren bloquear scripts analíticos, lo cual puede hacerse mediante extensiones de navegador como Privacy Badger. También existen navegadores que, de forma nativa, llevan a cabo el bloqueo, entre ellos Brave Browser y Tor Browser. Así se evita que los proveedores de análisis puedan vincular las direcciones de Ethereum (u otras blockchains) con identidades del mundo real.
También, los especialistas recomiendan no conectar el monedero a una plataforma a menos que realmente haya necesidad de hacerlo.
«Recomendamos tratar la dirección de Ethereum como información de la tarjeta de crédito o cuenta bancaria. Es decir, revelarla solo de forma selectiva y cuando sea necesaria».
Investigadores de Brave Software e Imperial College
Como tercer y último consejo, aunque no se lo nombra en el estudio aquí reportado, puede mencionarse el entrar solo a sitios web de confianza y con buena reputación. CriptoNoticias recientemente mostró una modalidad de estafa que consiste en el envío de airdrops de tokens con nombres poco conocidos a diferentes direcciones.
Cuando el usuario busca dónde intercambiar ese token llega a exchanges descentralizados prácticamente desconocidos. Allí, mediante una técnica de phishing, se logra que, en vez de intercambiar el token, envíe todos sus fondos a la dirección del atacante.
