Cómo se utilizan los préstamos flash para manipular el mercado de criptomonedas

Según un informe reciente, los ataques de préstamos rápidos van en aumento. ¿Qué son y cuáles son los riesgos?

Imagine poder obtener un préstamo de tamaño casi ilimitado sin proporcionar ninguna garantía. Solo hay un problema. Tienes que devolverle el dinero casi al instante. ¿Suena extraño? Probablemente si. Pero eso es exactamente lo que es un préstamo flash. Como sugiere el nombre, estos préstamos ocurren casi instantáneamente. (Piense en el superhéroe de DC Comic, The Flash, que puede viajar a la velocidad de la luz).

Un informe reciente de De.Fi sugiere que los préstamos rápidos están en aumento y que los malos actores los están utilizando en un número cada vez mayor de exploits. En el primer trimestre de este año, se perdieron $200 millones debido a este estilo de explotación.

Pero, ¿por qué alguien querría sacar un préstamo casi instantáneo? Bueno, como muchas cosas en las criptomonedas, se trata de buenos rendimientos.

Préstamos flash y ataques de préstamos flash explicados

La lógica de los préstamos flash se basa en el arbitraje, el proceso de aprovechar pequeñas diferencias de precios. A diferencia de otros tipos de préstamos, los préstamos flash no requieren un largo proceso de aprobación, por lo que se pueden realizar rápidamente. «Dadas las bajas tarifas involucradas en el préstamo en una transacción, existe un gran potencial para obtener altos rendimientos», explicó Artem Bondarenko, arquitecto de software en De.Fi, en una entrevista con BeInCrypto. “Para los acreedores de un préstamo flash, no hay riesgo ya que el préstamo se paga de inmediato. De lo contrario, la transacción falla.

En las finanzas tradicionales, no existen los préstamos rápidos. Es similar a una opción de compra pero con algunas diferencias significativas. Con un préstamo flash puedes usar el dinero prestado de inmediato, mientras que con una opción de compra tienes que esperar. Además, en las finanzas tradicionales, las transacciones generalmente se realizan de una en una, mientras que con los préstamos flash se realizan en bloques. Sin embargo, estas herramientas a corto plazo no carecen por completo de inconvenientes, como señala el informe De.Fi.

«Un ataque relámpago ocurre cuando alguien puede pedir prestada una gran cantidad en un lugar y usarla para manipular los precios comprando o vendiendo en grandes cantidades, lo que afecta el precio de un activo», dijo Bondarenko. «Luego, usar ese cambio de precio para aprovechar la compra o venta opuesta de otra parte, crear un arbitraje entre los precios en los dos lugares, luego pagar el préstamo original y embolsarse la diferencia».

“Si el protocolo de liquidez está diseñado correctamente con los oráculos de fijación de precios correctos, esto no debería ser un problema, pero en los casos en que el diseño es deficiente, es una vulnerabilidad que puede explotarse y conducir a un evento de liquidación masiva”, agregó Bondarenko.

¿Quiénes son las víctimas?

Los préstamos flash son atractivos para los atacantes porque le permiten pedir prestadas grandes sumas de criptomonedas sin proporcionar garantías. Para prevenir tales ataques, se pueden implementar mejores medidas de seguridad, como verificaciones de código y un diseño sólido de contrato inteligente, y se puede aumentar la conciencia de los posibles vectores de ataque dentro del ecosistema DeFi.

El 13 de marzo, Euler Finanzasun conocido protocolo de préstamo basado en Ethereum fue pirateado y el atacante robó millones de dólares en diferentes criptomonedas, como Dai, USDC, Staked Ethereum y Wrapped Bitcoin, realizando múltiples transacciones.

La cantidad total robada fue de casi $196 millones, con $8,7 millones en Dai, $18,5 millones en WBTC, $135,8 millones en StETH y $33,8 millones en USDC.

El atacante movió los fondos robados de Binance Smart Chain a Ethereum utilizando un puente multicadena y luego llevó a cabo el ataque de préstamo rápido. Depositaron los fondos robados en Tornado Cash, un conocido mezclador de criptomonedas, para complicar los esfuerzos de recuperación y ocultar sus identidades.

El mes anterior, el 16 de febrero, Platypus Finance, un creador de mercado automatizado, sufrió otro ataque de préstamo rápido. El atacante robó $ 8,500,887 en monedas estables, incluidas USDC, USDT, BUSD y DAI.

En este caso, el atacante aprovechó una vulnerabilidad en el mecanismo de verificación de crédito de USP. En el proceso, el atacante obtuvo un préstamo rápido de 44 000 000 USDC y luego lo cambió por 44 000 000 Platypus LP-USD. Luego acuñaron 41 700 000 tokens USP de forma gratuita, que se intercambiaron por varias monedas estables.

Platypus Finance ha trabajado con servicios de terceros para congelar los activos robados y algunos ya han sido congelados. Se eliminó el contrato malicioso y se implementaron medidas de seguridad adicionales para prevenir futuros ataques. Sin embargo, el atacante logró transferir parte de los fondos sustraídos.

¿Cómo reducir los riesgos?

En cierto sentido, los préstamos flash son uno de los grandes ecualizadores de las criptomonedas. Permiten a los comerciantes con menos capital participar en operaciones de alto rendimiento que normalmente solo estarían abiertas a las llamadas ballenas. «Pero como hemos visto en numerosas ocasiones, los préstamos rápidos también representan un gran riesgo para los protocolos DeFi que no tienen en cuenta esas cosas», Adrian Hetman, líder técnico del equipo de triaje en Inmunele dijo a BeInCrypto.

“Los protocolos no solo deberían proteger contra posibles ataques habilitados para préstamos flash, sino también contra ataques de Whale, es decir, ¿qué pasa si los grandes jugadores de repente usan sus enormes fondos para usar nuestro protocolo? ¿Se comportaría el sistema como se esperaba? ¿Cuál es nuestro flujo comercial «esperado»?», continuó Hetman. «El modelado de amenazas ayudaría a revelar posibles debilidades en el sistema».

“Usando el precio promedio ponderado en el tiempo (TWAP), los oráculos pueden ayudar a minimizar la manipulación de precios promediando los precios durante un período de tiempo específico, lo que dificulta que los atacantes manipulen los precios en una sola transacción. Además, la implementación de sistemas de múltiples oráculos puede proporcionar redundancia y verificación cruzada de datos de precios, lo que fortalece aún más las defensas contra la manipulación”, agregó Hetman.

Mediante la implementación de disyuntores, se puede evitar que los atacantes de préstamos instantáneos se beneficien de los precios manipulados cuando se detectan oscilaciones de precios significativas, explicó Hetman. “Una vez que se haya identificado y abordado la causa de la oscilación de precios, se puede reanudar la negociación. Esto debe incluir operaciones potencialmente válidas que solo pueden parecer sospechosas desde el exterior.

“También es importante no permitir que las principales acciones del protocolo sucedan en un solo bloque. Los préstamos rápidos, en la mayoría de los casos, se pueden tomar en una transacción por un bloque”, agregó Hetman.