Ataques financieros a DeFi: la nueva fiebre para los auditores y atacantes

Compartir artículo
EN RESUMEN
  • La evolución en apenas un año del ecosistema cripto ha sido asombrosamente exponencial, así como el volumen de ataques.

  • Los flash loans (préstamos flash) dificultan mucha la trazabilidad.

  • En mi opinión, hasta que no haya una correcta regulación, auditar la parte financiera de las plataforma va a ser uno de los servicios más demandados en esta década.

  • promo

    Los mejores servicios de minería en la nube (cloud mining) en 2021

El Trust Project es un consorcio internacional de organizaciones de noticias que establecen un estandar de transparencia.

Comprobar el saldo de nuestra cuenta antes de realizar una transferencia bancaria es algo que hacemos habitualmente, a no ser que sea una cantidad pequeña. Sin embargo, nos sorprendería saber que la mayoría de los ataques llevados a cabo hasta ahora contra los Smart Contracts han sido realizados aprovechando una vulnerabilidad (conocida como Re-Entrancy) que aprovecha la no comprobación del saldo de una cuenta antes de realizar algún movimiento ya sea transferencia o retiro, pudiendo efectuar el movimiento independientemente del saldo de esa cuenta.

Patrocinado



Patrocinado

Gracias al auge de las auditorías de Smart Contracts, es posible que dicha vulnerabilidad deje de existir en contratos en producción y por lo tanto deje de ser explotada

Llegados a este punto, los “malos” que se suelen mover más rápido que los “buenos” han decidido dar un giro de tuerca realizando ataques que son ante todo legales (no vamos a hablar de la ética) y que pueden hacer variar el precio de un token y realizar arbitraje con él haciendo perder mucho dinero a los usuarios y prestigio al token.

Patrocinado



Patrocinado

La creación de los flash loans, las dos caras de la moneda

Desde julio de 2020 hasta ahora, la evolución en apenas un año del ecosistema cripto ha sido asombrosamente exponencial. El lanzamiento de Uniswap, en mi opinión, ha sido un antes y un después y todo lo que ha venido como consecuencia. Poder intercambiar tokens basados en Ethereum (ERC20) en una transacción fue una auténtica revolución, aunque ahora nos parezca lo más normal del mundo. Después de Uniswap, apareció SushiSwap, PancakeSwap y una infinidad de “Swaps”.

Uniswap permite crear pares y añadir liquidez, la idea principal es que el par siempre esté equilibrado por esto cuando aportas liquidez en un par, por ejemplo MANA-ETH, Uniswap divide la cantidad que pongas entre dos, para que así el par esté siempre en equilibrio y no se pueda influir en el precio de un token. 

Tras convertir los “bancos” en pools de liquidez llegó la hora de los préstamos. Como en todo banco tradicional, para pedir un préstamo hay que poner una garantía. De esta manera, se puede sacar la liquidez y el pool tendrá la seguridad que el dinero se va a devolver. 

Al igual que en el mundo fuera de cripto, nacieron los préstamos sin garantía, conocidos como flash loans (Préstamos flash), el típico préstamo que puedes pedir cierta cantidad sin garantía alguna sin embargo en este caso la diferencia es que las comisiones no son abusivas. Lo interesante de estos préstamos es que toda la operación se realiza en una sola transacción, por lo que la transacción no se cierra hasta que no se ha devuelto la cantidad solicitada.

Esto ha sido un gran cambio dentro del mundo de las finanzas descentralizadas. Poder tener liquidez sin aportar garantía está siendo la herramienta más utilizada por parte de los atacantes para desequilibrar los pools de liquidez o influir en la gobernanza etc. El problema de esto es que esas acciones no se pueden controlar en una auditoría al uso… hasta ahora.

Ante nuevos problemas, nuevas soluciones

Cada vez más las empresas están solicitando test financieros a sus Smart Contracts y esto está empezando a ser un quebradero de cabeza para los auditores. ¿Cómo se hace una auditoría financiera de una aplicación que utiliza Smart Contracts?. Es una pregunta a la que muchos auditores están buscando respuesta y hacer su propia aproximación. 

En mi opinión, lo primero es preguntarse ¿de dónde viene el dinero?, de los préstamos flash. Por lo tanto, lo primero sería controlar a los usuarios que adquieren un préstamo flash porque puede ser tanto para realizar arbitraje (algo que está permitido y que no influye en el precio de ningún activo) o para realizar acciones contra los pools de liquidez y así influir en el valor de un activo en un par. La cuestión es que la transacción no se cierra hasta que no se devuelve el préstamo por lo que es complicada una trazabilidad. 

Quizás una solución puede ser detectar los bloques con más comisiones de gas y ahí capturar las direcciones porque seguro que hay un préstamo involucrado. Cuando se aporta liquidez a un pool, las propias plataformas te obligan a dividirlo en 2 para no desequilibrar el par, la forma de influir en el valor de un activo con respecto a otro es intercambiando una gran cantidad de activos de dicho pool y así dejar ese activo casi sin liquidez. Es lo que se llama los pool zombie. 

Por lo tanto las medidas más efectivas serán las que se aporten a la hora de depositar y retirar liquidez en el pool o en los intercambios. Hasta ahora las plataformas te avisan del impacto que vas a causar… pero no te lo impiden… y si sumamos que los mineros no pagan comisiones, la tarea se complica aún más.

Las auditorías DeFi verán un aumento de su demanda

Desde luego el mundo de las finanzas descentralizadas está viviendo un momento importantísimo y los ataques que vemos hoy en día no son los ataques del mañana, eso seguro. Sin embargo, ya estamos sufriendo una adaptación de ataques al código a ataques a la implementación.

Ataques más de economista que de hacker y los atacantes se están adaptando… y a los auditores no les queda más remedio que hacer lo mismo. Por lo tanto, en mi opinión, hasta que no haya una correcta regulación, auditar la parte financiera de las plataforma va a ser uno de los servicios más demandados en esta década.

Descargo de responsabilidad

Toda la información contenida en nuestro sitio web se publica con buena fe y sólo con fines de información general. Cualquier acción que el lector tome sobre la información encontrada en nuestro sitio web es estrictamente bajo su propio riesgo.
Patrocinado
Share Article

Lead Offensive Security Engineer en Halborn, que ofrece ciberseguridad a empresas cuyo core es Blockchain. Ha auditado cientos de proyectos de Ethereum, Cosmos, Polkadot o Tezos. Es co-autor del curso de SANS Institute: SEC554 Blockchain and Smart Contract Security.

SEGUIR AL AUTOR

¡Predicciones cripto en el Mejor Canal de Telegram con +70% de precisión!

Únase ahora

Los mejores servicios GRATIS de minería Bitcoin en la nube.

Ir Ahora