Un fin de semana para olvidar
 
La asombrosa cifra de 70 millones de dólares fue desviada ilegalmente de varias plataformas durante el fin de semana. Curve Finance, una influyente y reputada bolsa descentralizada, fue una de las primeras víctimas de estos ciberataques. De hecho, el precio del token de la bolsa, el CRV, se desplomó pocas horas después de los ataques.


Otras víctimas de esta trama insidiosa son el protocolo de préstamo Alchemix, la plataforma de rendimiento Pendle y la herramienta de activos sintéticos Metronome, todos ellos actores importantes en el ecosistema DeFi.


Temerosos de perder su botín, los prestamistas DeFi retiraron sus fondos de otras plataformas, como niños pillados con las manos en la masa. Este efecto cascada desencadenó entonces un repunte de los costes de los préstamos en este subsector financiero de nicho.

Por ejemplo, el fondo de liquidez USDC de Aave se utilizó casi al 93%, lo que elevó los tipos de interés de los préstamos hasta el 22,4%. El USDT también se utilizó en un 89,5%, y los prestatarios pagaron intereses de casi el 38%. El aumento de los costes de los préstamos da fe del nerviosismo del mercado durante estos periodos oscuros del DeFi.

Las consecuencias de estos ataques podrían haber sido mucho más graves de no haber sido por la oportuna intervención de los "white-hat hackers", hackers éticos que utilizan sus habilidades para ayudar en lugar de perjudicar. Estos cibercaballeros consiguieron asegurar los activos de varios grupos de préstamos en Curve Finance, evitando así nuevos robos y consecuencias que podrían haber sido mucho más desastrosas.

Más concretamente, los expertos especializados en Valor Máximo Extraíble (VME) o Maximal Extractable Value (MEV) pudieron anticipar tres de los cinco ataques maliciosos totales. Sin entrar en detalles, MEV permite a terceros y a sistemas automatizados localizar y reorganizar transacciones pendientes de validación para aprovecharse de ellas.

Cabe destacar que un criptohéroe, bajo el seudónimo Coffeebabe.eth, desempeñó un papel crucial en la neutralización de al menos dos de estos ataques maliciosos mediante la ejecución preventiva de transacciones. Además, Chainlink, un proveedor de datos en la cadena descrito como un sistema "oracle", fue elogiado por su papel en la prevención de daños colaterales más amplios tras el ataque. Para saber más sobre la propuesta de valor de Chainlink, lea aquí un artículo sobre su ecosistema: Chainlink, conectando el mundo a blockchain.

La causa subyacente de estas intrusiones parece provenir de vulnerabilidades en Vyper, un lenguaje de programación diseñado específicamente para ejecutar contratos inteligentes en Ethereum. El equipo principal que está detrás de este lenguaje de programación, que cuenta con el respaldo del equipo Curve, ha admitido que las versiones más antiguas de Vyper son susceptibles de sufrir ataques de "réentrance". Aunque llevará tiempo comprender todas las implicaciones de este incidente, los representantes de Vyper han aconsejado a todos los proyectos que utilicen las versiones 0.2.15, 0.2.16 y 0.3.0 que se pongan en contacto con ellos.

Los ciberataques no muestran signos de disminuir

 
Siendo realistas, tenemos que reconocer que cada vez es más común que los atacantes devuelvan los fondos robados -o al menos una gran parte de ellos- que, por su propia naturaleza, son siempre rastreables en la blockchain, lo que puede hacer que sea increíblemente difícil para la gente gastar dinero sucio o en efectivo en cualquier lugar sin que todo el mundo lo sepa.

 
Se podría pensar que esto significa que los ataques son menos comunes en la criptoesfera, pero aparentemente no es el caso. Hoy mismo, la empresa de auditoría de seguridad CertiK ha afirmado que los usuarios de criptodivisas perdieron al menos 303 millones de dólares por ciberataques solo en julio de 2023.

Un gran reto para DeFi

De hecho, las plataformas de intercambio descentralizadas (DEX) buscan alternativas para seguir siendo seguras y ofrecer precios atractivos. Más concretamente, cada vez más DEX tratan de aprovechar los mecanismos fuera de la cadena, es decir, fuera de las cadenas de bloques y, por tanto, de las finanzas tradicionales, para ejecutar las transacciones, con el objetivo de reducir los costes de transacción para sus usuarios. Se trata de una evolución lógica en un mercado en el que la feroz competencia empuja a los proveedores de servicios a innovar sin descanso y a reducir costes. Una gran parte de los operadores de las plataformas de DeFi están dispuestos a sacrificar algunas de las garantías que ofrecen las criptomonedas totalmente integradas en blockchains, o on-chain, a cambio de precios más favorables, transacciones más rápidas y mayor comodidad.

Sin embargo, estos ataques a DeFi plantean una cuestión crucial: ¿es prudente arriesgar las ventajas únicas que ofrece blockchain -a saber, inmutabilidad y transparencia- para realizar transacciones al margen de blockchain? Aunque algunos sostienen que este es el futuro inevitable del comercio en el espacio digital, sin duda vale la pena preguntarse si la industria se está apresurando a alejarse de un modelo que todavía tiene sus propios puntos fuertes.

Aunque los contornos exactos del futuro de blockchain, y de las finanzas descentralizadas en particular, siguen siendo objeto de especulación, algunos expertos predicen que podría evolucionar hacia un modelo más programático y automatizado, en lugar del panorama actual dominado por los creadores automáticos de mercado (AMM).

 
Sin embargo, antes de que esta visión se haga realidad, sería sin duda prudente abordar y rectificar las vulnerabilidades y lagunas existentes en DeFi. Este último incidente pone de manifiesto la necesidad de un sistema más seguro y sólido antes de que el sector pueda seguir evolucionando y ganar popularidad generalizada.