El mundo de las finanzas descentralizadas (DeFi) se hizo popular en los últimos años. Desde que el precio de bitcoin se disparó en 2021, muchos usuarios que no sabían qué eran las criptomonedas comenzaron a invertir. Pero como todo en el mundo digital, existen una serie de estafas con las que hay que tener cuidado para no caer en la trampa: los «flash préstamos» o préstamos rápidos Pueden ser muy peligrosos.
Este tipo de créditos lightning ofrecen fondos a los usuarios sin necesidad de aportar garantía. Sin embargo, un estudio publicado por ESET advirtió que dado que operan en la red blockchain, pueden prestarse a estafas.
La cadena de bloques es una estructura de datos inalterable que puede pensarse como un libro público, accesible para todos, donde se registran todas las transacciones de criptomonedas: es por eso que las monedas digitales operan de manera descentralizada, sin una autoridad como un Banco Central que regule o regule. los legitima.
Pero es precisamente por este sistema por el que “es posible programar una transacción para que un usuario tome prestados los fondos, los movilice a través de diferentes contratos inteligentes de otros protocolos, se realicen las operaciones de cambio pertinentes y al final de ese mismo transacción el dinero del préstamo y sus comisiones se reintegran al protocolo inicial mientras el usuario se retira con sus ganancias”, advierten desde la empresa de ciberseguridad.
Desde 2020 hasta la actualidad, para que os hagáis una idea, algunos 125 vulnerabilidades solía abusar del ecosistema de finanzas descentralizadas, lo que provocó pérdidas de aproximadamente 3.9 billones de dólares.
Aquí, el detalle de cómo funciona el sistema y qué cuidados tomar para evitar ser estafado.
¿Qué es un préstamo flash y cómo funcionan los ataques?
“Cuando hablamos de ‘préstamos flash’, solemos referirnos a algo claramente ligado al mundo criptográfico, ya que en las finanzas tradicionales no sería ‘flash’: la idea es que todo esté automatizado a través de smart-contrats en DeFi [Finanzas Descentralizadas] y por eso sería exclusivo del entorno criptográfico”, explica a Clarín Ignacio Carballo, economista, Director del Centro de Finanzas Alternativas de la UCA.
Un préstamo flash es principalmente un tipo de crédito instantáneo que es parte de una sola transacción y que no pide garantía a cambio, como suelen hacer los préstamos tradicionales.
“Lo importante es que tanto el préstamo como su devolución se dan en un solo ciclo transaccional en la cadena de bloques, es decir, dentro de un mismo bloque. Si el préstamo no se paga en su totalidad, toda la transacción se revierte y al usuario no se le cobran tarifas”, explica Alfonso Martel Seward, director de Cumplimiento de Lemon, una billetera virtual nacida en Argentina.
“La esencia de Flash Loans se encuentra en la atomicidad de las transacciones en la cadena. En este contexto, la atomicidad significa que todas las operaciones ocurren simultáneamente o no ocurren en absoluto. Si no puede pagar el préstamo al final del bloque, todas las operaciones se revierten y la transacción se da por fallida”, continúa.
Un préstamo flash funciona de la siguiente manera, revisión:
- Solicitas un préstamo del token A
- intercambio [cambiás ]ficha A por ficha B
- Vendes el token B a un precio más alto
- Vuelves a comprar el token A con las ganancias de la última operación
- Devuelves el token A y te quedas con las ganancias
Sin embargo, «es crucial resaltar que los préstamos flash no están exentos de riesgo. Por ejemplo, el riesgo de precio (si el valor de los activos experimenta una variación drástica dentro de un bloque) y el riesgo de ejecución (si la red está demasiado congestionada y la transacción no está incluida en el bloque deseado)”, destaca Seward.
Pero esta estructura también implica un posible problema de seguridades decir, que se explote la modalidad: según ESET, el punto principal está en la abuso de seguridad de los contratos inteligentes de una plataforma.
En este sentido, un atacante puedes solicitar fondos que no requieren aval y luego manipular el precio de un criptoactivo en una plataforma de intercambio y revenderlo rápidamente en otra”, explican.
“Esos activos pueden usarse para manipular el mercado con una gran operación: al usar protocolos de intercambio descentralizado (DEX) que funcionan como el único oráculo de precios del protocolo, los riesgos aumentan, ya que los atacantes solo tienen que obtener un préstamo rápido en un token y cambiarlo por otro en el DEX alterando así ambos precios: uno sube y el otro baja”, desarrolla ESET.
«Luego, van a su protocolo de destino y usan el segundo token para pedir prestada una cantidad aún mayor del primer token, pudiendo pagar su préstamo y embolsarse la diferencia para esperar a que el mercado corrija el precio manipulado». concluir.
“Con respecto a las vulnerabilidades en los Préstamos Flash, podemos suponer que estos no mienten en el Préstamo Flash en sí, sino en su implementación inmadura: todas las vulnerabilidades explotadas hasta ahora estaban en varios protocolos y los Flash Loans solo financiaron los ataques”, explica Mario Micucci, Investigador de Seguridad Informática de ESET Latinoamérica.
“Tomemos un caso en el que se utiliza un préstamo flash para el arbitraje y se genera un gran movimiento de precios. Usuarios que han ejecutado órdenes de compra o venta con alto ‘slippage’ [la diferencia entre el precio previsto de una operación y el precio al que se ejecuta] pueden verse afectados por esa manipulación”, advierte Seward.
El experto detalla una estafa con un caso concreto:
- Tomo la ficha A
- Cambio el Token A por el Token B haciendo que el precio del primero baje y el precio del segundo suba
- Uso el Token B como garantía para tomar prestado el Token A, y recibo más Token A del que saqué originalmente
- Devuelvo el Token A manteniendo las ganancias
- Mientras tanto, la disparidad de precios y su movimiento significa que el protocolo ha perdido liquidez, perdiendo integridad. Esto pone en peligro todo el protocolo y, por lo tanto, los depósitos de los usuarios.
“Ese es el principal inconveniente de estos sistemas: sacar créditos para manipular el precio de una moneda en un intercambio, y luego revenderlo en otro para marcar la diferencia. El principal perdedor en estos casos acaba siendo el protocolo y todos sus participantes”, complementa Carballo.
Cómo evitar caer en la trampa
“Es clave prestar atención al diseño del protocolo. Trate con aquellos que han sido probados y que no solo tienen un flujo de liquidez, sino también un tiempo en el mercado y un número de participantes que brindan alguna evidencia de que son resistentes a los intentos de piratería”, advierte Carballo.
En este sentido, no es menos importante utilizar protocolos de código abierto: “Cuando se habla de protocolos de código abierto, los auditores suelen estar representados por sus participantes. Aunque no es lineal, la idea general es que cuantos más participantes, más ‘auditores’, entonces mas seguridad”, cierra el experto en finanzas digitales y también docente.
“Si bien el ecosistema de finanzas descentralizadas utiliza tecnologías de punta que están cambiando las perspectivas de los sistemas financieros internacionales, también imponen una pesada carga a todo el sistema. Hoy existen plataformas específicas que abordan los desafíos de seguridad actuales, como OpenZeppelin, donde su función es proteger todo el ecosistema de contratos inteligentes y las plataformas DeFi en su conjunto”, agrega Micucci.
“Sin duda, este tipo de préstamo llegó para quedarse y sentó las bases para nuevas aplicaciones innovadoras en finanzas descentralizadas”, agrega el investigador de ESET.
En este sentido, es fundamental entender la naturaleza de los contratos inteligentesInfórmate de la liquidez de un protocolo y sobre todo de su seguridad: si ese protocolo sufrió ataques o tuvo problemas.
“Finalmente, una pequeña aclaración que podría ser útil para el público en general: DYOR (‘Haz tu propia investigación’, haz tu propia investigación) es un consejo popular en la comunidad de criptomonedas, que enfatiza la importancia de investigar y comprender completamente los protocolos y proyectos antes de invertir en ellos”, concluye el gerente de Lemon.