El gran riesgo de los protocolos DeFi que puede culminarlos en un fraude

El apogeo de las finanzas descentralizadas (DeFi)

Yendo hacia una investigación más profunda, una grandísima parte de la evolución del ecosistema cripto está liderada por las finanzas descentralizadas nativas de las redes de contratos inteligentes, mejor conocidas como DeFi. Gracias a las plataformas de código abierto y participación libre, cualquiera desde su casa con los conocimientos suficientes puede lanzar su nuevo proyecto DeFi en una red como Ethereum sin la necesidad de trámites burocráticos, reclutamiento de un gran equipo y ni siquiera la difusión de su identidad propia ni de alguna empresa. Según el sitio defipulse.com, dedicado a enlistar los protocolos DeFi más importantes y ordenarlos según su valor total bloqueado (dentro de los contratos inteligentes de cada protocolo), sólo en lo que va de año 2020 la cantidad de dinero dentro de dichos protocolos pasó de 690 millones a 7.840 millones de dólares, un incremento de más de mil por ciento. De hecho, dicho valor llegó a tener la cifra de 9.600 millones de dólares en los inicios de septiembre. DeFi es una clara muestra de lo que el código es capaz de hacer. Un nuevo lenguaje digital que todos podemos hablar, y en el que todos podemos participar. Es, sin lugar a dudas, un nuevo camino capaz de marcar el futuro de las criptomonedas y quizás yendo más lejos, el futuro de las finanzas globales.

Que esté en Ethereum no significa a priori que sea seguro

No cabe duda de que muchos podemos percibir al entorno DeFi como una “máquina de hacer dinero”. Impresionantes rendimientos se han visto en ejemplos como yearn.finance: con tan sólo ingresar tus criptomonedas en un contrato inteligente estabas listo para ver cómo te hacían crecer los números de más de mil por ciento anual. La llegada del “yield farming” infló aún más los números, ahora combinando una pre-selección de distintos protocolos que pueden ir desde aportes de liquidez hasta préstamos, cada porcentaje era capaz de multiplicarse en cadena con los siguientes para llevar los rendimientos a otro nivel. Tal y como en la fiebre de las ICO, aquellos atraídos por los grandes rendimientos están listos para poner su dinero en lo que promocione ganancias antes de leer los términos y condiciones.

Aunque podamos creer que la presencia de un contrato inteligente afianza la seguridad a un nivel más alto que una ICO gracias a su transparencia y percepción tecnológica más avanzada, la realidad es que vale casi lo mismo enviar dinero a un contrato inteligente que enviarlo a una wallet. En efecto, invertir en un contrato inteligente que sólo te promociona ganancias sin nada detrás, podría significar lo mismo que enviar tus fondos a una ICO fraudulenta. No vale de nada que el contrato exista en la red de Ethereum, que de hecho, éste factor es usado como excusa para incentivar a la confianza. Lo que realmente vale es el código que está detrás. Aunque para algunos parece fácil identificar una estafa con las características anteriores, las situaciones también se pueden complicar cuando el protocolo es de código abierto y resulta atractivo como un experimento del nuevo mundo de las finanzas descentralizadas.

Las vulnerabilidades intencionales y no intencionales

Que un protocolo sea de código abierto y tenga una considerable cantidad de dinero en posesión, lamentablemente, tampoco es razón de seguridad. Del top 10 protocolos DeFi por su valor total bloqueado según Defipulse, 3 de los incluidos recién nacieron en 2020, y algunos de los integrantes del top 20 con decenas y centenas de millones de dólares en custodia, son experimentos que no tienen sus códigos auditados. Hace aparición una palabra clave, la auditoría. Un protocolo puede ser de código abierto, pero dicho código puede ser manipulado con el fin de engañar a sus inversores para hacerlos caer en un vacío sin fondo, o como se le conoce en el ecosistema cripto, una “puerta trasera”. El aparente robusto smart contract puede tener un hoyo directo a las manos de los perpetradores e identificarlo no es tarea fácil. Aunque el “open-source” inspira confianza, si el código no es un lenguaje que maneja el inversor común, sigue siendo un riesgo.

“Depositar esas acciones de LP fue increíblemente arriesgado, el código no había sido auditado y @NomiChef —creador de SushiSwap— podría haber escondido una puerta trasera para robar todo, pero las recompensas de $SUSHI eran muy altas, así que no nos importaba. En las primeras cinco horas, se depositaron 500 millones de dólares en acciones de LP”. Explicación de Raul Marcos sobre las prácticas riesgosas en el experimento DeFi SushiSwap.

En pocas palabras, la “puerta trasera” significa que en el código del contrato inteligente existe un apartado que le otorga el poder de los fondos que ingresen los usuarios al poseedor de la llave de dicho contrato, significando ésto una característica disfuncional para el protocolo DeFi en sí; el dueño del mismo no necesita tener ese poder para que el protocolo funcione. La conclusión más probable, es que sea una trampa. La “puerta trasera” es una vulnerabilidad que en la mayoría de ocasiones se podría considerar como intencional. Sin embargo, los experimentos DeFi pueden tener otras vulnerabilidades involuntarias que hagan terminar su existencia con una catástrofe de pérdida de fondos. El experimento DeFi no auditado YAM, fue un claro ejemplo de cómo una simple línea de código lo llevó a un final triste mientras manejaba cientos de millones de dólares. Para evitar estas fallas intencionales o no intencionales existen empresas especializadas de renombre en auditorías para plataformas y proyectos blockchain, en los que claramente están incluidos los contratos inteligentes de finanzas descentralizadas. Quantstamp lidera este sector, siendo la responsable de auditorías en los códigos de Curve Protocol, Maker, Binance, Chainlink y Cardano, sólo por mencionar algunos.

Aun así, el mismísimo creador de Yearn.Finance, Andre Cronje, después de publicar las auditorías de su propio proyecto expresó su opinión al respecto:

“Siempre me negué a publicar las auditorías porque no quiero que la gente tenga una falsa sensación de seguridad debido a ellas”.

Afirmó que protocolos líderes como Compound y Aave pueden presentar vulnerabilidades a pesar de la percepción de seguridad que todas sus auditorías les puedan otorgar, dejando claro que, después de una exhaustiva revisión, al ser humano se le puede escapar cualquier detalle fatal. Además, aclaró que la publicación de las auditorías de Yearn eran dirigidas a un público que las necesitaba.

“Pero en vista de la narrativa ‘yolo sin auditoría’, decidí compartirlas, para que la gente entienda, todavía hago auditorías, simplemente no las comparto, porque quiero que la gente entienda el riesgo” culminó Andre en su referencia a las auditorías de protocolos.

El peligro de la inversión en tokens propios del protocolo

Más allá del propio funcionamiento del protocolo, actualmente la esfera de proyectos DeFi está acostumbrada a emitir sus propios tokens con diferentes fines. Uno de ellos es recompensar a los usuarios que contribuyen al contrato inteligente con su liquidez, sin embargo, para muchos su significado se enfoca en el precio, cuya subida o bajada se definiría como el éxito o fracaso. La compra desmesurada de un token de protocolo DeFi basada en la confianza de su funcionamiento y futuro desarrollo, puede terminar mal si no se toman los riesgos pertinentes. Habitualmente, los dueños, creadores y desarrolladores del proyecto son los que poseen un mayor porcentaje del suministro total de dichos tokens, y éste poder requiere una gran responsabilidad. Que un grupo reducido posea la mayor parte de los tokens implica la posibilidad de causar una venta cuya fuerza produzca un crash en el precio, dañando directamente a los inversores que compraron el criptoactivo con la esperanza de una revalorización. Aquí existe un punto clave a resaltar: la cifra que indique la capitalización total de cualquier criptomoneda no significa que todo ese dinero está respaldando a dicha cripto, ni tampoco quiere decir que esa suma de dinero fue la que se utilizó para comprar todos los tokens del suministro. Simplemente un proyecto puede emitir 1.000.000 tokens, vender 10 a un precio de 1.000 USD cada uno, y ya su capitalización del mercado alcanzó la multiplicación del suministro total por el precio de la última operación, es decir, mil millones de dólares en este ejemplo. En palabras más sencillas, para calcular la capitalización del mercado de cualquier cripto se toma en cuenta sólo el precio de las últimas operaciones, que pueden representar un porcentaje irrisorio del suministro total; quiere decir que los demás tokens no necesariamente valgan lo mismo. Si se venden 70% de todos los tokens en circulación en una sola operación, no significa que se tomarán al precio de los principales indicadores, al contrario, la venta causaría una sobreoferta inmediata que desplome con mucha fuerza el precio de la criptomoneda. Aquí se entiende el poder de acumular tantas unidades de una misma cripto.

El factor de la confianza afecta a los tokens de DeFi

Otro factor importante es la confianza cuando una operación de este tipo se hace pública. ¿Qué significaría para la comunidad que sigue un proyecto el efecto de que su propio líder venda todos los tokens del protocolo? Como ejemplo reciente, el fundador de SushiSwap vendió toda la cantidad de tokens SUSHI perteneciente al fondo de desarrolladores de su organización, guardados en una wallet a la que sólo él tenía acceso.  La operación se realizó a través de un exchange descentralizado de su propia competencia, Uniswap, y resultó pública gracias a la transparencia que ofrece un contrato inteligente de este tipo. En definitiva, utilizó su poder sin importar lo que causaría a los tenedores del token de su propio proyecto, y lo que representaría en sí dicha venta, interpretada por muchos como un “exit scam”.

14. Chaos ensued.$SUSHI holders were furious, other SushiSwap team members were furious, and the price kept tanking.@NomiChef argued that "I stop caring about price and I will focus on the technicality of the migration" 🤣🤣🤣https://t.co/6W2a8ZgTMw pic.twitter.com/hiR1ortusW

— Raúl Marcos (@raulmarcosl) September 10, 2020

Si bien después Chef Nomi asumió su error y anunció la devolución al fondo de los 14 millones de dólares en ETH vendidos, su historia es un ejemplo claro de lo delicada que puede ser la definición de descentralización.