El mundo de las finanzas descentralizadas (Desafío) se hizo popular durante este último año. Desde que el precio del bitcoin desaparece en 2021, muchos usuarios que no sabían lo que eran las criptomonedas commenzar a invertir. Pero como todo en el mundo digital, hay una serie de estafas de las cuales hay que tener cuidado para no caer en la trampa: los «préstamos flash» o préstamos rápidos pueden ser muy peligrosos.
Este tipo de créditos relámpago fondos se ofrecen a los usuarios sin que necesiten aportar una garantía. Sin embargo, un estudio publicado por ESET advirtió que, debido a que opera subre la red blockchain, se puede prestar para estafas.
El blockchain es una estructura de datos inalterables que puede pensarse como un libro de cuentas público, accesible para todos, para que puedas registrar todas las transacciones en criptomonedas: no solo las monedas digitales operan de forma descentralizada, sin una autoridad como a Banco Central que las regula o legitima.
Pero es precisamente por este sistema por el cual «es posible programar una transacción para que un usuario tome los fondos prestados, los movilice por distintos contratos inteligentes de otros protocolos, se realicen las operaciones de intercambio pertinentes y al final de esa misma transacción el dinero del préstamo y sus comisiones sean reintegrados al initial mientras el usuario se retire con sus ganancias”, advirtión desde la empresa de ciberseguridad.
De 2020 a la actualidad, para darse cuenta de una idea, se detectaron unas 125 vulnerabilidades utilizado para abusar del ecosistema de las finanzas descentralizadas, que provocaron pérdidas por una aproximación 3.900 millones de dólares.
Acá, el detalle de cómo funciona el sistema y qué cuidados tener para no ser estafados.
Qué es un préstamo flash y cómo funcionan los ataques
«Cuando hablamos de ‘préstamos flash’, solemos referirnos a algo vinculado netamente al mundo cripto, ya que en las finanzas tradicionales no sería ‘flash’: la idea es que todo esto esté automatizado a través de contratos inteligentes en DeFi [Finanzas Descentralizadas] y es por eso que sería exclusivo del ambiente cripto”, explica un Clarín Ignacio Carballo, economista, director del Centro de Finanzas Alternativas de la UCA.
Un préstamo relámpago es, principalmente, un tipo de crédito instantáneo que forma parte de una transacción única y que no pide una garantía a cambio, como sí suelen pedir los préstamos tradicionales.
«Lo importante es que tanto el préstamo como su devolución ocurren en un solo ciclo de transacciones en la cadena de bloques, es decir, dentro del mismo bloque. Si el préstamo no se devuelve en su totalidad, revierte la transacción completa y no se le cobran tarifas al usuario”, explica Alfonso Martel Seward, Director de Cumplimiento de Lemon, billetera virtual nacida en Argentina.
“La esencia de los Flash Loans se encuentra en la atomicidad de las transacciones en el candado. En este contexto, atomicidad significa que todas las operaciones ocurren simultáneamente o no ocurren de manera absoluta. Si no se puede devolver el préstamo al final del bloque, se revertirán todas las operaciones. y la transacción se considera fallida”, sigue.
Un préstamo flash funciona de la siguiente manera:
- Pedís un préstamo del token A
- intercambio [cambiás ]ficha A por ficha B
- Vendió el token B a un precio más alto
- Comprás nuevamente el token A con las ganancias de la última operación
- Devolved el token A y te quedas con las ganancias
Ahora bien, «es crucial destacar que los préstamos flash no están exentos de riesgos. Por ejemplo, el riesgo de precio (si el valor de los activos experimenta una variación drástica dentro de un bloque) y el riesgo de ejecución (si la red está demasiado congestionada y las transacciones no se incluyen en el bloque deseado)”, destaca Seward. .
Pero esta estructura conlleva también un posible problema de seguridades decir, que la modalidad sea explotada: según ESET, el principal punto está en el abuso de seguridad de los contratos inteligentes de una plataforma.
«En este sentido, un atacante puede solicitar fondos que no requieren garantía y más tarde manipular el precio de un cryptoactivo en una plataforma de intercambio y reselllo rápidamente en otra”, explican.
«Esos activos pueden utilizarse para manipular el mercado con una gran operación: al utilizar protocolos de exchanges decentralized (DEX) que funcionan como el único oráculo de precios del protocolo, los riesgos aumentan, ya que los atacantes solo tienen que conseguir un préstamo flash en un token y canjearlo por otro en el DEX alterando así ambos precios: uno sube y el otro bajo”, desarrolla ESET.
«Luego, van a su protocolo de destino y usan el segundo token para pedir prestada una cantidad aún mayor del primer token, pudiendo pagar su préstamo y embolsando la diferencia a fin de esperar que el mercado corrija el precio manipulado», rematan.
“En cuanto a las vulnerabilidades en los Flash Loan podemos asumir que estas no radican en los Flash Loan en sí, sino en torno a su implementación inmadura: todas las vulnerabilidades explotadas hasta el momento fueron en diversos protocolos y los Flash Loan solo financian los ataques”, explica Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.
«Pongamos un caso en que se utiliza un préstamo flash para arbitrario y se genera un gran movimiento de precios. Los usuarios que han ejecutado órdenes de compra o venta con un alto ‘slippage’ [la diferencia entre el precio previsto de una operación y el precio al que se ejecuta] pueden verse afectados por esa manipulación”, advirtió Seward.
El experto detalla un sello con un caso concreto:
- Me llevo el token A
- Swapeo el Token A por el Token B haciendo que el precio del primero caiga y suba el del segundo
- Uso el Token B como colateral para sacar un préstamo del Token A, recibiendo más Token A del que originalmente saqué
- Devuelvo el Token A quedándome con ganancia
- En el interín, la disparidad de precios y su movimiento hace que el protocolo haya perdido liquida perdiendo integridad. Esto pone en riesgo el protocolo en su totalidad y, por fin, los depósitos de los usuarios.
«Ese es el principal inconveniente de estos sistemas: sacar creditos para manipular el precio de una moneda en un exchange, y luego venderlo en otra para sacar la diferencia. El principal perjudicado en estos casos termina siendo el protocolo y todos sus participantes», complementa Carballo.
Como evitar caer en la trampa
“Es clave prestar atención al diseño del protocolo. Manejarse con los que están probados y que no tendrán solo un caudal de liquidación, sino también tiempo en el mercado y una cantidad de participantes que den cierta evidencia de que su resistencia a intentos de hackeos”, advierte Carballo.
En este sentido no es menor usar protocolos de código abierto: «Cuando se habla de protocolos de código abierto los auditores muchas veces están representados por sus participantes. , entonces mas seguridad”, cierra el experto en finanzas digitales y también educativas.
«Si bien el ecosistema de las finanzas descentralizadas utiliza tecnologías de vanguardia que están cambiando las perspectivas de los sistemas financieros internacionales, también suponen una gran carga para todo el sistema. Al igual que OpenZeppelin, su funcionalidad está protegida en todo el ecosistema de contratos inteligentes y plataformas DeFi en su totalidad”, agregó Micucci.
«Sin dudas este tipo de préstamos vino para quedarse y sentarse en las bases para nuevas aplicaciones innovadoras en las finanzas descentralizadas», agrega el investigador de ESET.
En este sentido es clave la naturaleza de los contratos inteligentesinforme sobre la liquidez de un protocolo y sobre todo de su seguridad: si ese protocolo sufrió ataques o tuvo problemas.
«Por último, una pequeña aclaración que podría ser útil para el público en general: DYOR (‘Haz tu propia investigación’, hacé tu propia investigación) es un consejo popular en la comunidad de criptomonedas, que enfatiza la importancia de investigar y sondear a fondo los protocolos y proyectos antes de invertir en ellos”, cierra el directivo de Lemon.
