Según un informe reciente, los ataques de préstamos rápidos van en aumento. ¿Qué son y cuáles son los riesgos?
Imagine poder obtener un préstamo de tamaño casi ilimitado sin presentar ninguna garantía. Solo hay una trampa. Tienes que devolverlo casi al instante. ¿Suena extraño? Probablemente lo haga. Pero eso es exactamente lo que es un préstamo flash. Como sugiere el nombre, estos préstamos se realizan casi instantáneamente. (Piense en el superhéroe de DC Comic, The Flash, que puede viajar a la velocidad de la luz).
Un informe reciente de De.Fi sugiere que los préstamos rápidos están en aumento y los malos actores los utilizan en un número cada vez mayor de exploits. En el primer trimestre de este año, se perdieron $200 millones a través de este estilo de explotación.
Pero, ¿por qué alguien querría sacar un préstamo casi instantáneo? Bueno, como muchas cosas en criptografía, todo se reduce a buenos rendimientos.
Préstamos flash y ataques de préstamos flash explicados
La lógica de los préstamos flash se basa en el arbitraje, el proceso de aprovechar pequeñas diferencias de precios. A diferencia de otros tipos de préstamos, los préstamos flash no requieren un largo proceso de aprobación, por lo que pueden ejecutarse rápidamente. “Dadas las bajas tarifas involucradas en el préstamo de una sola transacción, existe un gran potencial para obtener altos rendimientos”, explicó Artem Bondarenko, arquitecto de software de De.Fi, en una entrevista con BeInCrypto. “Para los acreedores de un préstamo flash, no hay riesgos ya que el préstamo se devuelve de inmediato. De lo contrario, la transacción falla”.
En las finanzas tradicionales, no hay nada exactamente como un préstamo flash. Es similar a una opción de compra pero con algunas diferencias significativas. Con un préstamo flash, puede usar el dinero prestado de inmediato, mientras que con una opción de compra, debe esperar. Además, en las finanzas tradicionales, las transacciones generalmente se realizan de una en una, mientras que con los préstamos flash se realizan en bloques. Sin embargo, estos instrumentos a corto plazo no están completamente exentos de inconvenientes, como se describe en el informe de De.Fi.
“Un ataque de préstamo relámpago ocurre cuando alguien puede pedir prestada una gran cantidad en un solo lugar y usarla para manipular los precios comprando o vendiendo en grandes cantidades, lo que influye en el precio de un activo”, dijo Bondarenko. “Luego, usar ese cambio en el precio para explotar la compra o venta opuesta en otro lado, creando arbitraje entre los precios en los dos lugares, luego pagando el préstamo original y embolsando la diferencia”.
“Si el protocolo de liquidez está diseñado correctamente con los oráculos de fijación de precios correctos, esto no debería ser un problema, pero en los casos en que el diseño es deficiente, es una vulnerabilidad que puede explotarse y conducir a un evento de liquidación masiva”, agregó Bondarenko.
¿Quiénes son las víctimas?
Los préstamos flash son atractivos para los atacantes porque permiten pedir prestadas grandes sumas de criptomonedas sin proporcionar garantías. Para prevenir tales ataques, se pueden implementar mejores medidas de seguridad, como auditorías de código y un diseño sólido de contrato inteligente, y se puede aumentar la conciencia de los posibles vectores de ataque dentro del ecosistema DeFi.
El 13 de marzo, Euler Finanzasun conocido protocolo de préstamo basado en Ethereum, fue pirateado y el atacante robó millones de dólares en diferentes criptomonedas, como Dai, USDC, Staked Ethereum y Wrapped Bitcoin, mediante la ejecución de múltiples transacciones.
La cantidad total robada fue de casi $196 millones, con $8,7 millones en Dai, $18,5 millones en WBTC, $135,8 millones en StETH y $33,8 millones en USDC.
El atacante movió los fondos robados de Binance Smart Chain a Ethereum utilizando un puente multicadena y luego llevó a cabo el ataque de préstamo rápido. Depositaron los fondos robados en Tornado Cash, un conocido mezclador de criptomonedas, para complicar los esfuerzos de recuperación y ocultar su identidad.
El mes anterior, el 16 de febrero, Platypus Finance, un creador de mercado automatizado, sufrió un ataque de préstamo flash por separado. El atacante robó $ 8,500,887 en monedas estables, incluidas USDC, USDT, BUSD y DAI.
En este caso, el atacante aprovechó una vulnerabilidad en el mecanismo de verificación de solvencia de la USP. En el proceso, el atacante obtuvo un préstamo rápido de 44 000 000 USDC y luego lo cambió por 44 000 000 Platypus LP-USD. Luego acuñaron 41,700,000 tokens USP sin costo, que se intercambiaron por varias monedas estables.
Platypus Finance ha estado colaborando con servicios de terceros para congelar los activos robados y algunos ya han sido congelados. Se eliminó el contrato malicioso y se implementaron medidas de seguridad adicionales para evitar futuros ataques. Sin embargo, el atacante logró transferir parte de los fondos robados.
¿Cómo reducir los riesgos?
En cierto modo, los préstamos flash son uno de los grandes ecualizadores de las criptomonedas. Permiten a los comerciantes con menos capital participar en operaciones de alta recompensa que normalmente solo estarían abiertas a las llamadas Ballenas. “Pero como hemos visto en numerosas ocasiones, los préstamos rápidos también representan un gran riesgo para los protocolos DeFi que no tienen en cuenta tales cosas”, Adrian Hetman, Tech Lead del equipo de clasificación en inmunele dijo a BeInCrypto.
“Los protocolos no solo deberían protegerse contra posibles ataques habilitados para préstamos flash, sino también contra los ataques de Whale, es decir, ¿qué pasaría si los grandes jugadores de repente usaran sus fondos masivos para usar nuestro protocolo? ¿Se comportaría el sistema según lo previsto? ¿Cuál es nuestro flujo comercial ‘previsto’?” Hetman continuó. “El modelado de amenazas ayudaría a revelar posibles debilidades del sistema”.
“Usando el precio promedio ponderado en el tiempo (TWAP), los oráculos pueden ayudar a minimizar la manipulación de precios promediando los precios durante un período de tiempo específico, lo que dificulta que los atacantes manipulen los precios en una sola transacción. Además, la implementación de sistemas de múltiples oráculos puede proporcionar redundancia y verificación cruzada de datos de precios, lo que fortalece aún más las defensas contra la manipulación”, agregó Hetman.
Mediante la implementación de disyuntores, se puede evitar que los atacantes de préstamos relámpago se beneficien de los precios manipulados cuando se detectan oscilaciones de precios significativas, explicó Hetman. “Una vez que se identifica y aborda la causa de la oscilación de precios, se puede reanudar la negociación. Esto debe incluir operaciones válidas potenciales que solo pueden parecer sospechosas desde el exterior”.
“También es importante no permitir que las principales acciones del protocolo sucedan en una sola cuadra. Los préstamos flash, la mayoría de las veces, solo se pueden tomar en una transacción por un bloque”, agregó Hetman.
Descargo de responsabilidad
Toda la información contenida en nuestro sitio web se publica de buena fe y solo con fines de información general. Cualquier acción que el lector realice sobre la información que se encuentra en nuestro sitio web es estrictamente bajo su propio riesgo.
