¿Qué es un ataque de préstamos flash y cómo puedo prevenirlo?

La forma en que la gente ve y utiliza las criptomonedas ha cambiado mucho desde el desarrollo de las finanzas descentralizadas (DeFi), especialmente con las plataformas financieras independientes que ofrecen diferentes tipos de préstamos de criptomonedas, lo que a su vez proporciona mucho valor tanto a los prestatarios como a los prestamistas.

Uno de estos tipos de préstamos que ha aumentado su popularidad en el ecosistema DeFi es el préstamo flash (préstamo instantáneo), ya que permite a los prestatarios beneficiarse rápidamente de las oportunidades de arbitraje. Proporciona los fondos prestados para comprar un criptoactivo, venderlo, devolver el préstamo y obtener un beneficio.

Por desgracia, aunque la idea es excelente y funciona bien, hay quienes se aprovechan de esta forma de préstamo. Sigue leyendo para saber más sobre los ataques de préstamos flash y cómo prevenirlos.

¿Qué es un ataque de préstamos flash?

Un ataque de préstamos flash es un abuso de la seguridad de los contratos inteligentes de una plataforma concreta en la que un atacante suele pedir prestados muchos fondos que no requieren garantía. Luego, manipulan el precio de un criptoactivo en una plataforma de intercambio y lo revenden rápidamente en otra.

El proceso es rápido, y el atacante repite el proceso varias veces antes de terminar y marcharse sin dejar rastro.

¿Qué es un préstamo flash?

El desarrollo del espacio de préstamos DeFi ha hecho que los préstamos de criptomonedas sean muy populares. Como aprovechan toda la potencia de las tecnologías disponibles en la actualidad, los préstamos flash se han convertido en una forma de préstamo muy atractiva.

El término "préstamo flash" describe cuando un prestatario toma un préstamo sin necesitar una garantía. Te preguntarás: ¿cómo es posible? Utilizando un contrato inteligente de la plataforma, todo el proceso de préstamo y devolución se produce dentro de una única transacción en la blockchain.

Eso significa que el prestatario tiene que actuar con rapidez y devolver el préstamo en poco tiempo. Si el prestamista incurre en algún tipo de incumplimiento, toda la transacción se anula como si no hubiera ocurrido nada.

El principio es sencillo y muy práctico. A diferencia de los préstamos tradicionales con garantía, para tramitar un préstamo sin garantía no se necesita ningún tipo de garantía, puntuación de crédito o administración. Puedes hacerte con grandes cantidades de stablecoin en cuestión de segundos, y utilizarlas en tu beneficio con la misma rapidez.

Eso es lo que hacen algunos traders en varias plataformas de DeFi. Por ejemplo, los usuarios de Aave pueden obtener estos préstamos, utilizar los fondos en una oportunidad de arbitraje, devolver el préstamo y quedarse con los beneficios.

El proceso de préstamo y de crédito está automatizado, y cuando todo sale bien, tanto el prestamista como el prestatario se benefician del préstamo. Si algo va mal, la transacción se cancela y no hay beneficio para ninguna de las partes.

¿Son comunes los ataques de préstamos flash?

Dado que la tecnología sigue evolucionando, los ataques de préstamos flash de las DeFi son actualmente comunes. En la actualidad, se han utilizado más de 70 vulnerabilidades en las DeFi para robar cantidades masivas, por valor de unos $1,500 millones. Es probable que la tendencia continúe en los próximos años, porque hacer impenetrable la seguridad de una plataforma es una tarea difícil.

El primer desafío se reduce a la incapacidad del desarrollador para cubrir todos los posibles puntos débiles, ya que la tecnología de la blockchain es bastante nueva. Otro problema es que los sistemas se desarrollan rápidamente y hay mucho dinero en cada uno de estos proyectos. Hay mucho en juego, y muchos desarrolladores prueban diferentes métodos para encontrar los fallos del sistema. Algunos atacantes de préstamos flash aprovechan los cálculos incorrectos de los fondos de liquidez. Otros son ataques de mineros o errores de codificación.

Por desgracia, lo que hace que todo sea posible también es una debilidad. 

El desafío de los contratos inteligentes es que tienen un control total sobre los protocolos DeFi. Una vez que los atacantes comprenden el funcionamiento de estos con detalles, pueden manipular las deficiencias de un contrato y utilizarlas en su beneficio.

Esto significa que la seguridad de las DeFi es una pelea entre la habilidad del creador del contrato del protocolo por un lado y el hacker por otro.

Otra vulnerabilidad son los datos de precios de la plataforma. Como hay muchas plataformas de intercambio en todo el mundo, encontrar un precio verdadero para los criptoactivos digitales es prácticamente imposible. Esta diferencia de precios es lo que hace que las operaciones de arbitraje sean atractivas. El seguimiento de los mercados es una gran manera de obtener beneficios, debido a las legítimas fluctuaciones de los precios. Sin embargo, los ataques de préstamos flash manipulan los precios y se aprovechan del cambio repentino de los mismos. 

Cuando el atacante consigue el préstamo flash, crea una venta artificial, lo que provoca una fuerte caída en el precio de un criptoactivo.

Por suerte, ya existen sistemas para evitar este tipo de abusos en los préstamos sin garantía. Hablaremos de estos sistemas después de explorar un par de ejemplos de ataques de préstamos flash.

Ejemplos de ataques de préstamos flash

Hasta ahora, se han producido decenas de ataques de préstamos flash. Estos son algunos de los más importantes.

Cream Finance

C.R.E.A.M. Finance ha sufrido múltiples ataques en 2021. Uno de los mayores robos fue de $130 millones. Los culpables robaron tokens de liquidez de CREAM, por un valor de millones de dólares durante un tiempo no revelado. Todas las pérdidas son visibles en la cadena, y los culpables aún no han sido atrapados.

Por suerte, la brecha fue solo en una parte del sistema de DeFi de Cream, ya que la plataforma de su socio fundador, Yearn Finance, se mantuvo segura. Como en la mayoría de los hackeos del protocolo DeFi, los atacantes utilizaron múltiples préstamos flash y manipularon el precio del oráculo.

Con la ayuda del equipo de Yearn, la plataforma parcheó rápidamente la vulnerabilidad.

Alpha Homora

En febrero de 2021, un hackeo del protocolo Alpha Homora provocó una pérdida de $37 millones. El atacante del préstamo flash también utilizó Iron Bank de C.R.E.A.M. Finance a través de una serie de préstamos flash. Iron Bank es la rama de préstamos del protocolo Alpha Homora. 

Los hackers repitieron el proceso varias veces hasta acumular CreamY USD (o cyUSD), y luego utilizaron los tokens para pedir prestadas otras criptomonedas. El hackeo era bastante complejo e implicaba numerosos pasos. Esencialmente, el atacante manipuló fuertemente el fondo de sUSD de HomoraBank v2.

Realizaron una serie de transacciones y préstamos flash, lo que les permitió abusar del protocolo de préstamos entre HomoraBank v2 y el Iron Bank. Puedes explorar el ataque de Alpha Homora con más detalle para ver lo que hicieron los hackers.

Además, aprovecharon el error de redondeo de los cálculos de los préstamos en situaciones en las que hay un solo prestatario. 

dYdX

Hay casos en los que el juego de los protocolos requiere el momento adecuado y la manipulación de los precios. Ese fue el caso de una falla de dYdX a principios de 2020. El atacante utilizó la plataforma para obtener el préstamo flash, luego dividió los fondos y los utilizó en dos plataformas de comercio: Fulcrum y Compound.

La primera parte se utilizó en Fulcrum en el intercambio de ETH a WBTC. En el proceso, la red Kyber recibió la orden a través de una DEX de Uniswap. El problema es que la escasa liquidez de Uniswap hizo que el precio de WBTC fuera increíblemente alto.

Simultáneamente, el atacante utilizó la segunda parte del préstamo en la plataforma Compound para obtener un préstamo flash de WBTC. Como el precio se disparó en Uniswap, el atacante no tardó en realizar el intercambio, y obtener un importante beneficio ilegal.

PancakeBunny

En mayo de 2021, un hacker puso a prueba la plataforma PancakeBunny y robó cerca de $3 millones. El hacker primero aprovechó PancakeSwap para conseguir un gran préstamo de BNB. Durante el ataque, el hacker manipuló los pares de trading BUNNY/BNB y USDT/BNB.

Después, un gran préstamo flash proporcionó al hacker una enorme cantidad de tokens BUNNY, de los que se deshizo inmediatamente, devolvió los BNB y desapareció con los beneficios. Todo este calvario provocó una impactante caída del precio de PancakeBunny, que pasó de $146 a $6.17.

¿Cómo puedo prevenir un ataque de préstamos flash?

A medida que se producen más ataques, los expertos en seguridad están aprendiendo más sobre varias fallas en préstamos flash. Todas las vulnerabilidades de los ejemplos mencionados anteriormente han sido parcheadas, y su aparición ha dado lugar a dos soluciones populares.

Oráculos de precios descentralizados

Como la mayoría de los ataques de préstamos flash dependen de la manipulación de los precios, es necesario contrarrestar este enfoque con oráculos de precios descentralizados. Buenos ejemplos son Chainlink y Band Protocol. Estas plataformas mantienen todos los protocolos seguros presentando el precio exacto de las diferentes criptomonedas.

Por ejemplo, los ataques a DeFi como el que le ocurrió a dYdX no serán posibles porque los protocolos no obtendrán su información de precios de una única DEX.

Alpha Homora utiliza ahora Alpha Oracle Aggregator para evitar que la historia se repita. Veremos más sistemas como este a medida que el tamaño del mercado de las DeFi siga creciendo.

Implantación de plataformas de seguridad para las DeFi

El ecosistema de las DeFi utiliza tecnologías de vanguardia que están cambiando las perspectivas de los sistemas financieros internacionales. Este tipo de atención supone una gran carga para todo el sistema.

La buena noticia es que ya existen plataformas específicas que abordan los actuales desafíos de seguridad. OpenZeppelin es el ejemplo perfecto. Su función en todo el ecosistema es proteger los contratos inteligentes y las plataformas de DeFi en su conjunto.

Además de las capacidades de auditoría de los contratos inteligentes, las soluciones como Defender Sentinels proporcionan una protección continua contra los ataques de los préstamos flash. Los desarrolladores pueden utilizar la herramienta para automatizar sus estrategias de defensa, lo que detiene rápidamente sistemas completos y despliega correcciones.

Este tipo de respuesta rápida es esencial para mitigar los posibles daños que puede ocasionar un ataque de préstamos flash.

Grandes empresas como Yearn.finance, Foundation Labs, dYdX, Opyn, The Graph, PoolTogether y muchas otras ya utilizan la plataforma para neutralizar los ataques a sus sistemas.

¿Están libres de riesgo los préstamos flash?

Cuando todo funciona como debe, los préstamos flash están totalmente exentos de riesgos. El prestatario y el prestamista pueden beneficiarse de la transacción si cumplen todas las condiciones del contrato inteligente.

Desde la perspectiva del prestamista, nunca están regalando dinero. Todo es artificial y pasa a formar parte de la información de la blockchain si el prestatario realiza todos los pasos necesarios. Si el prestatario incumple, la misma operación simplemente se rechaza.

El prestamista sigue teniendo sus fondos, y el prestatario no debe dinero a nadie.

Por otro lado, el prestatario solo puede obtener un beneficio. Pueden utilizar los fondos prestados para obtener un beneficio de un arbitraje en el mercado de criptomonedas. Si la transacción fracasa, el dinero simplemente vuelve al prestamista.

Lo ideal es que el diseño del sistema garantice la concesión de préstamos y créditos instantáneos y sin riesgo. Sin embargo, para garantizar que todo esté libre de riesgos, los contratos inteligentes deben cubrir todos los detalles de la transacción. De esta manera, no hay susceptibilidades que los atacantes puedan aprovechar.

Por lo tanto, en lo que respecta a los préstamos flash, los mayores riesgos que actualmente afectan al ecosistema de las DeFi son las filtraciones de datos, además de los fallos de los contratos inteligentes que permiten estos ataques.

Aunque las cosas no parezcan perfectas ahora, con el tiempo, estos sistemas acabarán siendo seguros. Con plataformas como Chainlink y OpenZeppelin, es probable que los ataques de préstamos flash pasen a formar parte de la historia.

Conclusión

Los préstamos flash son otra gran adición al ecosistema de las DeFi. Aunque actualmente son propensos a los ataques, la tendencia cambiará en el futuro. 

A medida que los desarrolladores escriban mejores contratos inteligentes y más sistemas desplieguen herramientas de seguridad y oráculos descentralizados para la fijación de precios, veremos un número cada vez menor de ataques procedentes de hackers.

Si estás pensando en si los préstamos flash son una buena inversión, creemos que la respuesta es sí. Recuerda que siempre hay un bajo riesgo de que se produzca un ataque de préstamos flash, así que utiliza con cuidado tus criptomonedas cuando las prestes en plataformas de DeFi.

¿Quieres saber más sobre los préstamos de DeFi? Puedes encontrar todos los detalles en una guía detallada en nuestro blog.

REGÍSTRATE AHORA MISMO para obtener hasta $3000 en Recompensas.

* Descargo de responsabilidad: este artículo está destinado a ser utilizado únicamente con fines de referencia. Ninguna información proporcionada a través de Bybit constituye un consejo o una recomendación de que cualquier inversión o estrategia de trading sea adecuada para una persona específica. Estas previsiones se basan en las tendencias del sector, las circunstancias de los clientes y otros factores, y conllevan riesgos, variables e incertidumbres. No existe ninguna garantía presentada o implícita en cuanto a la exactitud de las previsiones, proyecciones o declaraciones predictivas específicas en este documento. Los usuarios de este artículo aceptan que Bybit no se hace responsable de ninguna de sus decisiones de inversión. Busca asesoramiento profesional antes de realizar trading.