Los ataques de los préstamos flash al DeFi empeorarán, advierte el cofundador de Chainlink

Los ataques de los préstamos flash al DeFi empeorarán, advierte el cofundador de Chainlink

En resumen

En el último episodio del podcast del Daily, el cofundador de Chainlink, Sergey Nazarov, explicó cómo funcionan los ataques de préstamos flash en el DeFi.Muchos proyectos descuidan el alcance de su cobertura de datos de precios para ahorrar tiempo de desarrollo, señaló.Esto da lugar a graves vulnerabilidades y abre las plataformas de DeFi a los ataques.

En los últimos meses, varias de las plataformas de financiación descentralizada (DeFi) de Ethereum se convirtieron en víctimas de los denominados “ataques de préstamos rápidos”, que permiten a los agentes malintencionados desviar decenas de millones de dólares en forma criptográfica. Sin embargo, lo que vimos hasta ahora fue sólo la versión más simple de esas incursiones, según explicó Sergey Nazarov, cofundador de la red oracle Chainlink, en el último episodio del podcast del Daily.

Según Nazarov, el mayor cuello de botella de muchos proyectos de DeFi son sus mecanismos de descubrimiento de precios. A saber, sus oráculos de precios -aplicaciones que permiten que los contratos inteligentes interactúen con datos externos- a menudo utilizan uno o sólo un par de intercambios descentralizados en cadena (DEX) como su fuente.

“La verdadera naturaleza del ataque es que hay un solo proveedor de datos de precio, hay un solo intercambio. En los casos que estamos viendo ahora mismo en el DeFi, básicamente, por la facilidad y la velocidad de desarrollo, ha habido algunos casos en los que la gente ha utilizado intercambios descentralizados en cadena y la infraestructura de intercambio en cadena para recuperar el precio que desencadena su aplicación de DeFi”, explicó Nazarov.

Aún así, un atacante debe tener un capital considerable para manipular los precios, incluso en una sola bolsa, y aquí es donde entran en juego los préstamos flash DeFi. Estos mecanismos permiten que cualquiera que tenga incluso una pequeña cantidad de activos se capitalice bien durante un corto período de tiempo.

De esta manera, los atacantes pueden manipular los precios de los tokens en la bóveda de un proyecto sesgando los datos proporcionados por el oráculo de la plataforma y en el DEX del que proviene estos datos. Entonces, los atacantes pueden comprar rápidamente los tokens fuertemente abaratados y devolver el préstamo flash poco después. Lo que hace que estos ataques sean más fáciles y más peligrosos es que ni siquiera requieren tantos conocimientos técnicos.

“Todo lo que alguien tiene que hacer es manipular el libro de pedidos de ese intercambio, lo que significa que ni siquiera necesitan saber cómo codificar. Estos ataques ahora mismo ni siquiera requieren que la gente sea muy buena en el desarrollo de software o hackeo o algo así. Sólo requieren que la gente tenga suficiente dinero para manipular el precio de un solo intercambio que la gente pensó que sería seguro”, continuó Nazarov.

Lo que es peor es que la obtención de sus datos incluso de dos o cinco intercambios en cadena, por ejemplo, no protegerá a las plataformas de DeFi contra los ataques de préstamos flash. Sólo haría que tales hazañas sean más complejas y costosas de ejecutar, pero aún así perfectamente viables, advirtió Nazarov.

“Porque la siguiente versión, más sofisticada, de este ataque no es ‘manipulo un oráculo de un solo precio’, es, ‘Todo lo que necesito hacer es manipular dos o tres intercambios, y manipulo el precio’, señaló. “Y en lugar de manipular una bolsa, lo cual es obviamente más fácil, la versión más avanzada de este ataque es la manipulación de dos, tres o cuatro bolsas en las que un protocolo DeFi se basa para obtener sus datos de precios. Y sabemos absolutamente que eso es posible porque miramos los datos de precios diariamente”.

Para contrarrestar estos ataques, las plataformas de DeFi deben ampliar significativamente la gama de datos de precios que están recogiendo, explicó Nazarov. De esta manera, alguien podría manipular el precio de un activo sólo mediante la distorsión de su precio global -que es el precio “real” en ese momento- y los protocolos de DeFi al menos reflejarán la realidad en este caso.

“Y una vez más, [los ataques más complejos] es algo que, lamentablemente, se avecina, y nuestro sistema fue diseñado para ser completamente resistente desde el principio mediante la obtención de datos de cientos de bolsas, creando efectivamente una cobertura de mercado”, señaló Nazarov.

Añadió que los ataques de préstamos flash son algo que le preocupaba a Chainlink en 2018 y que actualmente está sucediendo “casi exactamente paso a paso como predijimos”. Para evitar estas hazañas, las plataformas de DeFi “no quieren usar un solo intercambio por un oráculo de precio, punto”.

Como se ha informado, los hackers están drenando 10 millones de dólares al mes del DeFi en promedio en estos días, así que tal vez ha llegado el momento de echar un largo y duro vistazo a la seguridad de las “aplicaciones asesinas” de Ethereum.