Por Hannah Pérez  

Al final del día, parece que los hackers de DeFi no son ni tan malos. Informes también indicaron que los ataques de flash loans se están volviendo más frecuentes en el espacio.

***

Muchos de los hackers del espacio de finanzas descentralizadas (DeFi) no tienen malas intenciones, y parece que la mayoría son del grupo de los “sombrero blanco“. (El término refiere a expertos en ciberseguridad que buscan vulnerabilidades en plataformas informáticas de forma ética para alertar a sus desarrolladores).

De acuerdo con datos recopilados por The Block Research, los piratas informáticos han extraído una asombrosa suma de USD $1,4 mil millones a los protocolos DeFi durante 2021. Los robos se han llevado a cabo a través de ataques o errores. Sin embargo, más de la mitad del dinero sustraído a las plataformas ha sido devuelto a su billetera original.

En total, los atacantes han regresado USD $760 millones de los fondos robados. Esto deja la cantidad total de dinero extraído a las DeFi durante el año en una cifra significativamente inferior de alrededor de 681.000.000 dólares estadounidenses.

Las cuatro principales cadenas de bloques, Ethereum, Binance Smart Chain (BSC), Polygon y Avalanche, fueron testigo de los 70 mayores ataques a protocolos de finanzas descentralizadas, según el informe. La red Ethereum, la plataforma líder en el ecosistema DeFi, fue la que presenció el mayor número de hackeos, 34 específicamente, de los cuales se extrajeron el mayor porcentaje de fondos.

Binance Smart Chain, la plataforma de contratos inteligentes de Binance, ocupó el segundo lugar con 25 ataques a DeFi. También se registraron tres exploits en Polygon y dos en Avalanche.

Los ataques de flash loans son los más populares

Los datos, que recogen únicamente los ataques derivados por fallas o errores en los códigos de los protocolos DeFi y no aborda fraudes o estafas, también revelaron que la estrategia de ataque preferida por los piratas informáticos parece ser la de los préstamos rápidos. Según el informe, 34 de los setenta ataques más significativos se llevaron a cabo a través de préstamos relámpago o flash loans.

Relativamente reciente pero muy popular en el espacio de finanzas descentralizadas, los flash loans son préstamos sin garantía que se realizan mediante un contrato inteligente. Como su nombre lo dice son rápidos, prácticamente inmediatos: los usuarios lo toman, lo utilizan para un fin y lo devuelven, todo en un mismo bloque de transacción.

Como señala CoinDesk, este tipo de préstamo puede ser útil en ciertos casos, como para los comerciantes que buscan beneficiarse rápidamente de las oportunidades de arbitraje cuando dos mercados están tasando una criptomoneda de manera diferente. Además, pueden ser muy grandes e incurrir en muy bajos costos. Sin embargo, al ser una innovación tan reciente, aún representa muchos desafíos.

La tendencia creciente de los ataques con flash loans pone de manifiesto los problemas de este desarrollo. De hecho, datos de The Block indican que los exploits de este tipo se están volviendo cada vez más populares. Durante octubre, los préstamos rápidos fueron el principal método utilizado por los atacantes, permitiéndoles drenar USD $150 millones de fondos a las plataformas DeFi.

Ataques que utilizaron préstamos rápidos (azul) vs ataques que no utilizaron (rosa) – fuente: The Block Crypto

El hackeo de más de USD $100 millones que sufrió Cream Finance el mes pasado, y que ha sido uno de los más grandes ataques a DeFi de este año, utilizó préstamos rápidos. No ha sido el único exploit que ha sufrido ese protocolo basado en Ethereum durante 2021. Cream ha sido víctima de tres hackeos este año, con pérdidas cercanas a los 140.000.000 de dólares; aunque en una de las oportunidades los atacantes fueron piadosos y devolvieron los fondos robados a la plataforma.

También el protocolo DeFi xToken sufrió un exploit de préstamos rápidos en mayo. El perpetrador tomó prestado 61.800 ETH (cerca de 270 millones de dólares) para alterar el sistema y luego se retiró con más de USD $24 millones en el bolsillo. La magnitud del préstamo relámpago hizo que el ataque fuera más rentable.

Hackers ¿malintencionados o buena gente?

Por otro lado, si bien se observa que los flash loans se han convertido en un vector de ataque importante para las plataformas DeFi, los datos sugieren que los piratas informáticos han optado por hacer el bien en muchos de los casos, devolviendo los fondos robados a su propietario original. 

Uno de los mayores ataques a DeFi de la historia lo experimentó Poly Network este año, cuando un atacante misterioso drenó más de USD $600 millones al protocolo. Un error en la plataforma de cadena cruzada permitió al perpetrador vulnerar el protocolo desde tres redes: Ethereum, BSC y Polygon. Sin embargo, el hacker manifestó muy pronto sus intenciones de devolver el dinero, y finalmente lo hizo.

Fondos recuperados (rosa) y fondos no devueltos (azul) – fuente: The Block Crypto

Esto ha ocurrido en varias oportunidades, por ejemplo en uno de los hackeos a Cream Finance. También cuando Compound sufrió una pérdida de varios millones de dólares en septiembre debido a un error en la plataforma que permitía recompensas más elevadas de lo usual, muchos usuarios que aprovecharon la falla luego decidieron devolver los fondos.

Aunque ha sido una actitud presente entre los atacantes de DeFi de este año, el caso más curioso ha sido el del hacker de Poly Network. Lejos de lo usual, el pirata informático desconocido dejó varios mensajes en múltiples transacciones Blockchain donde reveló que había actuado éticamente al drenar el dinero, poniéndolo a salvo de otro hacker con malas intenciones.

Pero más allá de eso, él dio algunas pistas sobre las razones por las cuales los atacantes cibernéticos hacen lo que hacen. Si bien dijo que había perpetrado el ataque “por diversión”, también insinuó que los DeFi representaban un desafío entre las comunidades de hackers.La piratería entre [protocolos DeFi de] cadenas cruzadas está de moda“.


Lecturas recomendadas


Fuentes: The Block, The Block Crypto, archivo

Artículo de Hannah Estefanía Pérez / DiarioBitcoin

Imagen de Unsplash